SEC 3: Como você gerencia permissões para pessoas e máquinas?

Gerencie permissões para controlar o acesso a identidades de pessoas e máquinas que precisam de acesso à AWS e à sua carga de trabalho. As permissões controlam quem pode acessar o quê e em quais condições.

Recursos

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

Melhores práticas:

• Definir requisitos de acesso: Cada componente ou recurso da carga de trabalho precisa ser acessado por administradores, usuários finais ou outros componentes. É necessário ter uma definição clara de quem ou do que deve ter acesso a cada componente ou recurso e, em seguida, escolher o tipo de identidade apropriado e o método de autenticação e autorização.

• Conceder menos privilégio: Conceda somente o acesso de que as identidades precisam, permitindo acesso a ações específicas em recursos específicos da AWS em condições específicas. Conte com grupos e atributos de identidade para definir permissões dinamicamente em grande escala, em vez de definir permissões para usuários individuais. Por exemplo, você pode permitir o acesso de um grupo de desenvolvedores para gerenciar apenas recursos de seu próprio projeto. Dessa forma, quando um desenvolvedor é removido do grupo, seu acesso é revogado em todos os lugares em que esse grupo foi usado para controle de acesso, sem precisar efetuar qualquer alteração nas políticas de acesso.

• Estabelecer processo de acesso de emergência: Um processo que permite o acesso de emergência à carga de trabalho no caso improvável de um problema no processo automatizado ou no pipeline. Isso ajudará você a confiar no acesso de privilégio mínimo e garantirá que os usuários possam obter o nível certo de acesso quando precisarem. Por exemplo, estabeleça um processo para que os administradores verifiquem e aprovem sua solicitação.

• Reduzir as permissões continuamente: À medida que as equipes e as cargas de trabalho determinam o acesso de que precisam, remova as permissões que eles não usam mais e estabeleça processos de análise para obter permissões de privilégio mínimo. Monitore e reduza continuamente identidades e permissões não utilizadas.

• Definir proteções de permissões para sua organização: Estabeleça controles comuns que restrinjam o acesso a todas as identidades na organização. Por exemplo, você pode restringir o acesso a regiões específicas da AWS ou impedir que os operadores excluam recursos comuns, como uma função do IAM usada pela equipe de segurança central.

• Gerenciar o acesso com base no ciclo de vida: Integre controles de acesso ao ciclo de vida do operador e do aplicativo e ao seu provedor de federação centralizado. Por exemplo, remova o acesso do usuário que sair da organização ou mudar de funções.

• Analisar o acesso público e entre contas: Monitore continuamente as descobertas que destacam o acesso público e entre contas. Reduza o acesso público e o acesso entre contas aos recursos que exigem esse tipo de acesso.

• Compartilhar recursos com segurança: Controle o consumo de recursos compartilhados entre contas ou dentro da organização da AWS. Monitore recursos compartilhados e revise o acesso a recursos compartilhados.

Plano de melhoria

Definir requisitos de acesso

Definir privilégios obrigatórios para função de trabalho e responsabilidades: Com base na função ou nas responsabilidades do trabalho do usuário, defina quais recursos eles precisam acessar e as condições que podem ser aplicadas. Agrupe os usuários com requisitos comuns para facilitar a delegação de políticas.
IAM use cases

Conceder menos privilégio

Implementar políticas de privilégio mínimo: Atribua políticas de acesso com privilégio mínimo a grupos e funções do IAM para refletir a função do usuário ou a função que você definiu.
Grant least privilege

Remover permissões desnecessárias: Implemente o privilégio mínimo removendo permissões desnecessárias.
Reducing policy scope by viewing user activity
View role access

Considerar limites de permissões: Um limite de permissões é um recurso avançado para usar uma política gerenciada que define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. O limite de permissões de uma entidade permite que ela execute apenas as ações aceitas por suas políticas baseadas em identidade e seus limites de permissões.
Lab: IAM permissions boundaries delegating role creation

Considerar tags de recursos para permissões: Você pode usar tags para controlar o acesso aos recursos da AWS que oferecem suporte à marcação. Você também pode marcar usuários e funções do IAM para controlar o que eles podem acessar.
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)

Estabelecer processo de acesso de emergência

Pré-provisionar acesso de emergência: O pré-provisionamento de uma função para acesso de emergência a partir de uma conta confiável, por exemplo, uma que seja usada para a equipe de segurança, pode ajudá-lo a obter acesso rápido.
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles

Reduzir as permissões continuamente

Configurar o IAM Access Analyzer: O AWS IAM Access Analyzer ajuda a identificar os recursos na organização e nas contas, como buckets do Amazon S3 ou funções do IAM, que são compartilhados com uma entidade externa.
AWS IAM Access Analyzer

Definir proteções de permissões para sua organização

Definir restrições comuns que se aplicam a todas as identidades: Com base nos requisitos exclusivos de suas organizações, por exemplo, para o acesso apenas a uma região específica da AWS, crie várias restrições que possam ser aplicadas com o AWS Organizations.
AWS Organizations Service Control Policies

Usar o AWS Control Tower para gerenciar proteções: Com base nos requisitos exclusivos de suas organizações, por exemplo, para o acesso apenas a uma região específica da AWS, crie várias restrições que possam ser aplicadas com o AWS Organizations.
AWS Control Tower Guardrails

Gerenciar o acesso com base no ciclo de vida

Ciclo de vida de acesso de usuários: Implemente uma política de ciclo de vida de acesso para novos usuários, alterações de função de trabalho e usuários que saem, para que apenas os usuários atuais tenham acesso.

Analisar o acesso público e entre contas

Configurar o IAM Access Analyzer: O AWS IAM Access Analyzer ajuda a identificar os recursos na organização e nas contas, como buckets do Amazon S3 ou funções do IAM, que são compartilhados com uma entidade externa.
AWS IAM Access Analyzer

Compartilhar recursos com segurança

Usar o AWS Resource Access Manager: O AWS Resource Access Manager (RAM) é um serviço que permite compartilhar com facilidade e segurança recursos da AWS com qualquer conta da AWS ou dentro da organização da AWS.
AWS Resource Access Manager