SEC 3: Come si gestisce l'autenticazione per persone e macchine?

Gestisci le autorizzazioni per controllare l'accesso alle identità di persone e macchine che richiedono l'accesso ad AWS e al tuo carico di lavoro. Le autorizzazioni controllano chi può accedere a cosa e a quali condizioni.

Risorse

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

Best practice:

Piano di miglioramento

Definizione dei requisiti di accesso

  • Definizione dei privilegi necessari per la funzione lavorativa e le responsabilità: A partire dalla funzione lavorativa, dal ruolo o dalle responsabilità dell'utente, definisci a quali risorse deve accedere e le condizioni applicabili. Raggruppa gli utenti con requisiti comuni per semplificare la delega delle policy.
    IAM use cases
  • Concedi l'accesso con privilegi minimi

  • Implementa policy con privilegi minimi: Assegna policy di accesso con privilegi minimi a gruppi e ruoli IAM in modo da rispecchiare il ruolo o la funzione dell'utente che hai definito.
    Grant least privilege
  • Rimozione delle autorizzazioni superflue: Implementa il privilegio minimo rimuovendo le autorizzazioni superflue.
    Reducing policy scope by viewing user activity
    View role access
  • Possibilità di utilizzare limiti per le autorizzazioni: Un limite delle autorizzazioni è una caratteristica avanzata per utilizzare una policy gestita che imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM. Il limite delle autorizzazioni di un'entità le permette di eseguire solo le operazioni consentite dalle policy basate su identità e dai limiti delle autorizzazioni.
    Lab: IAM permissions boundaries delegating role creation
  • Possibilità di utilizzare tag delle risorse per le autorizzazioni: Puoi utilizzare i tag per controllare l'accesso alle risorse AWS che supportano il tagging. Puoi anche applicare tag a utenti e ruoli IAM per controllare a cosa possono accedere.
    Lab: IAM tag based access control for EC2
    Attribute-based access control (ABAC)
  • Determina un processo per l'accesso di emergenza

  • Preassegnazione dell'accesso di emergenza: La preassegnazione di un ruolo per l'accesso di emergenza da un account attendibile, ad esempio uno utilizzato per il team di sicurezza, può aiutarti a consentire un accesso rapido.
    Tutorial: Delegate Access Across AWS Accounts Using IAM Roles
  • Riduci le autorizzazioni in modo continuo

  • Configura IAM Access Analyzer: AWS IAM Access Analyzer aiuta a identificare le risorse dell'organizzazione e gli account, ad esempio i bucket Amazon S3 o i ruoli IAM, che sono condivisi con un'entità esterna.
    AWS IAM Access Analyzer
  • Definisci i guardrail per le autorizzazioni della tua organizzazione

  • Definisci le restrizioni comuni che si applicano a tutte le identità: In base ai requisiti specifici della tua organizzazione, ad esempio l'accesso solo a una regione AWS specifica, crea una serie di restrizioni che puoi applicare utilizzando AWS Organizations.
    AWS Organizations Service Control Policies
  • Utilizza AWS Control Tower per gestire i guardrail: In base ai requisiti specifici della tua organizzazione, ad esempio l'accesso solo a una regione AWS specifica, crea una serie di restrizioni che puoi applicare utilizzando AWS Organizations.
    AWS Control Tower Guardrails
  • Gestione degli accessi in base al ciclo di vita

  • Ciclo di vita dell'accesso utente: Implementa una policy per il ciclo di vita dell'accesso utente per i nuovi entranti, le modifiche alle funzioni lavorative e gli uscenti per garantire l'accesso solo agli utenti attuali.
  • Analizza l'accesso pubblico e tra account

  • Configura IAM Access Analyzer: AWS IAM Access Analyzer aiuta a identificare le risorse dell'organizzazione e gli account, ad esempio i bucket Amazon S3 o i ruoli IAM, che sono condivisi con un'entità esterna.
    AWS IAM Access Analyzer
  • Condivi le risorse in modo sicuro

  • Utilizza AWS Resource Access Manager: AWS Resource Access Manager (RAM) è un servizio che consente di condividere in modo semplice e sicuro le risorse AWS con qualsiasi account AWS o all'interno di AWS Organization.
    AWS Resource Access Manager