Usando o AWS Organizations para segurança - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando o AWS Organizations para segurança

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa.

O AWS Organizations ajuda a gerenciar e governar centralmente seu ambiente à medida que você expande e escala seus recursos da AWS da. Ao usar o AWS Organizations, você pode criar programaticamente novas contas da AWS, alocar recursos, agrupar contas para organizar suas cargas de trabalho e aplicar políticas a contas ou grupos de contas para fins de governança. Uma organização da AWS consolida suas contas da AWS para que você possa administrá-las como uma única unidade. Ele tem uma conta de gerenciamento junto com zero ou mais contas de membros. A maioria das suas cargas de trabalho reside em contas de membros, exceto alguns processos gerenciados centralmente que devem residir na conta de gerenciamento ou em contas designadas como administradores delegados para serviços específicos da AWS. Você pode fornecer ferramentas e acesso a partir de um local central para que sua equipe de segurança gerencie as necessidades de segurança em nome de uma organização da AWS. Você pode reduzir a duplicação de recursos compartilhando recursos essenciais em sua organização da AWS. Você pode agrupar contas em unidades organizacionais da AWS (OUs), que podem representar ambientes diferentes com base nos requisitos e na finalidade da carga de trabalho. O AWS Organizations também fornece várias políticas que permitem que você aplique centralmente controles de segurança adicionais a todas as contas membros em suas organizações. Esta seção se concentra nas políticas de controle de serviços (SCPs), nas políticas de controle de recursos (RCPs) e nas políticas declarativas.

Com o AWS Organizations, você pode usar SCPse RCPsaplicar proteções de permissão no nível da organização, da OU ou da conta da AWS. SCPs são proteções que se aplicam aos diretores na conta de uma organização, com exceção da conta de gerenciamento (que é um dos motivos para não executar cargas de trabalho nessa conta). Quando você anexa um SCP a uma OU, a SCP é herdada pela criança OUs e pelas contas dessa OU. SCPs não conceda nenhuma permissão. Em vez disso, eles especificam as permissões máximas para uma organização, OU ou conta da AWS. Você ainda precisa anexar políticas baseadas em identidade ou em recursos aos diretores ou recursos em suas contas da AWS para realmente conceder permissões a eles. Por exemplo, se um SCP negar acesso a todo o Amazon S3, um principal afetado pelo SCP não terá acesso ao Amazon S3, mesmo que tenha acesso explícito por meio de uma política do IAM. Para obter mais informações sobre como as políticas do IAM são avaliadas, a função e como o acesso é finalmente concedido ou negado, consulte a lógica de avaliação de políticas na documentação do IAM. SCPs

RCPs são barreiras que se aplicam aos recursos nas contas de uma organização, independentemente de os recursos pertencerem à mesma organização. Por exemplo SCPs, RCPs não afete os recursos na conta de gerenciamento e não conceda nenhuma permissão. Quando você anexa um RCP a uma OU, o RCP é herdado pelo filho OUs e pelas contas da OU. RCPs forneça controle central sobre o máximo de permissões disponíveis para recursos em sua organização e atualmente ofereça suporte a um subconjunto de serviços da AWS. Ao projetar SCPs para o seu OUs, recomendamos que você avalie as alterações usando o simulador de políticas do IAM. Você também deve analisar os últimos dados acessados do serviço no IAM e usar CloudTrail a AWS para registrar o uso do serviço no nível da API para entender o impacto potencial das alterações do SCP.

SCPs e RCPs são controles independentes. Você pode optar por habilitar somente SCPs ou RCPs usar os dois tipos de política juntos com base nos controles de acesso que você deseja aplicar. Por exemplo, se você quiser impedir que os diretores da sua organização acessem recursos fora da sua organização, aplique esse controle usando. SCPs Se você quiser restringir ou impedir que identidades externas acessem seus recursos, aplique esse controle usando. RCPs Para obter mais informações e casos de uso de RCPs e SCPs, consulte Usando SCPs e RCPs na documentação do AWS Organizations.

Você pode usar as políticas declarativas do AWS Organizations para declarar e aplicar centralmente a configuração desejada para um determinado serviço da AWS em grande escala em toda a organização. Por exemplo, você pode bloquear o acesso público à Internet aos recursos da Amazon VPC em toda a sua organização. Diferentemente das políticas de autorização, como SCPs e RCPs, as políticas declarativas são aplicadas no plano de controle de um serviço da AWS. As políticas de autorização regulam o acesso ao APIs, enquanto as políticas declarativas são aplicadas diretamente no nível do serviço para impor uma intenção duradoura. Essas políticas ajudam a garantir que a configuração básica de um serviço da AWS seja sempre mantida, mesmo quando o serviço introduz novos recursos ou. APIs A configuração básica também é mantida quando novas contas são adicionadas a uma organização ou quando novos diretores e recursos são criados. As políticas declarativas podem ser aplicadas a uma organização inteira ou a contas específicas OUs .

Cada conta da AWS tem um único usuário raiz que tem permissões completas para todos os recursos da AWS por padrão.  Como prática recomendada de segurança, recomendamos que você não use o usuário root, exceto para algumas tarefas que exigem explicitamente um usuário root. Se você gerencia várias contas da AWS por meio do AWS Organizations, você pode desabilitar centralmente o login raiz e, em seguida, realizar ações privilegiadas de root em nome de todas as contas membros. Depois de gerenciar centralmente o acesso raiz às contas dos membros, você pode excluir a senha do usuário raiz, as chaves de acesso e os certificados de assinatura, além de desativar a autenticação multifator (MFA) das contas dos membros. Novas contas criadas com acesso raiz gerenciado centralmente não têm credenciais de usuário raiz por padrão. As contas dos membros não podem fazer login com o usuário raiz nem realizar a recuperação da senha do usuário raiz.

O AWS Control Tower oferece uma forma simplificada de configurar e administrar várias contas. Ele automatiza a configuração de contas em sua organização da AWS, automatiza o provisionamento, aplica grades de proteção (que incluem controles preventivos e de detetive) e fornece um painel para visibilidade. Uma política adicional de gerenciamento do IAM, um limite de permissões, é anexada a entidades específicas do IAM (usuários ou funções) e define as permissões máximas que uma política baseada em identidade pode conceder a uma entidade do IAM.

O AWS Organizations ajuda você a configurar os serviços da AWS que se aplicam a todas as suas contas. Por exemplo, você pode configurar o registro central de todas as ações realizadas em toda a sua organização da AWS usando a AWS CloudTrail e impedir que as contas dos membros desativem o registro. Você também pode agregar centralmente dados para regras que você definiu usando o AWS Config, para que você possa auditar suas cargas de trabalho para verificar a conformidade e reagir rapidamente às mudanças. Você pode usar CloudFormation StackSets a AWS para gerenciar centralmente as CloudFormation pilhas da AWS em todas as contas e OUs em sua organização da AWS, para que você possa provisionar automaticamente uma nova conta para atender aos seus requisitos de segurança.

A configuração padrão do AWS Organizations suporta o uso SCPs de listas de negação. Usando uma estratégia de lista de negação, os administradores de contas de membros podem delegar todos os serviços e ações até que você crie e anexe um SCP que negue um serviço específico ou um conjunto de ações. As declarações de negação exigem menos manutenção do que uma lista de permissões, porque você não precisa atualizá-las quando a AWS adiciona novos serviços. As declarações de negação geralmente têm caracteres mais curtos, então é mais fácil permanecer dentro do tamanho máximo SCPs. Em uma declaração em que o Effect elemento tem um valor deDeny, você também pode restringir o acesso a recursos específicos ou definir condições para quando SCPs estão em vigor. Por outro lado, uma instrução Permitir em um SCP se aplica a todos os recursos ("*") e não pode ser restringida por condições. Para obter mais informações e exemplos, consulte Estratégia para uso SCPs na documentação do AWS Organizations.

Considerações sobre design

  • Como alternativa, para usar SCPs como uma lista de permissões, você deve substituir o FullAWSAccess SCP gerenciado pela AWS por um SCP que permita explicitamente somente os serviços e ações que você deseja permitir. Para que uma permissão seja habilitada para uma conta específica, cada SCP (da raiz até cada OU no caminho direto para a conta e até mesmo anexado à própria conta) deve permitir essa permissão. Esse modelo é mais restritivo por natureza e pode ser adequado para cargas de trabalho altamente regulamentadas e sensíveis. Essa abordagem exige que você permita explicitamente cada serviço ou ação do IAM no caminho da conta da AWS até a OU.

  • Idealmente, você usaria uma combinação de estratégias de lista de negação e lista de permissões. Use a lista de permissões para definir a lista de serviços permitidos da AWS aprovados para uso em uma organização da AWS e anexe esse SCP na raiz da sua organização da AWS. Se você tiver um conjunto diferente de serviços permitidos por seu ambiente de desenvolvimento, anexe os respectivos SCPs em cada UO. Em seguida, você pode usar a lista de negação para definir proteções corporativas negando explicitamente ações específicas do IAM.

  • RCPs aplique aos recursos de um subconjunto dos serviços da AWS. Para obter mais informações, consulte a Lista de serviços da AWS que oferecem suporte RCPs na documentação do AWS Organizations. A configuração padrão do AWS Organizations suporta o uso RCPs de listas de negação. Quando você habilita RCPs em sua organização, uma política gerenciada pela AWS chamada RCPFullAWSAccess é automaticamente anexada à raiz da organização, a cada UO e a cada conta em sua organização. Você não pode desanexar essa política. Esse RCP padrão permite que todos os diretores e ações acessem a avaliação do RCP. Isso significa que, até você começar a criar e anexar RCPs, todas as suas permissões atuais do IAM continuarão funcionando da mesma forma. Essa política gerenciada pela AWS não concede acesso. Em seguida, você pode criar uma nova RCPs como uma lista de declarações de negação para bloquear o acesso aos recursos em sua organização.