SEC 3: Como você gerencia permissões para pessoas e máquinas?
Gerencie permissões para controlar o acesso a identidades de pessoas e máquinas que precisam de acesso à AWS e à sua carga de trabalho. As permissões controlam quem pode acessar o quê e em quais condições.
Recursos
Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)
Melhores práticas:
-
Definir requisitos de acesso: Cada componente ou recurso da carga de trabalho precisa ser acessado por administradores, usuários finais ou outros componentes. É necessário ter uma definição clara de quem ou do que deve ter acesso a cada componente ou recurso e, em seguida, escolher o tipo de identidade apropriado e o método de autenticação e autorização.
-
Conceder menos privilégio: Conceda somente o acesso de que as identidades precisam, permitindo acesso a ações específicas em recursos específicos da AWS em condições específicas. Conte com grupos e atributos de identidade para definir permissões dinamicamente em grande escala, em vez de definir permissões para usuários individuais. Por exemplo, você pode permitir o acesso de um grupo de desenvolvedores para gerenciar apenas recursos de seu próprio projeto. Dessa forma, quando um desenvolvedor é removido do grupo, seu acesso é revogado em todos os lugares em que esse grupo foi usado para controle de acesso, sem precisar efetuar qualquer alteração nas políticas de acesso.
-
Estabelecer processo de acesso de emergência: Um processo que permite o acesso de emergência à carga de trabalho no caso improvável de um problema no processo automatizado ou no pipeline. Isso ajudará você a confiar no acesso de privilégio mínimo e garantirá que os usuários possam obter o nível certo de acesso quando precisarem. Por exemplo, estabeleça um processo para que os administradores verifiquem e aprovem sua solicitação.
-
Reduzir as permissões continuamente: À medida que as equipes e as cargas de trabalho determinam o acesso de que precisam, remova as permissões que eles não usam mais e estabeleça processos de análise para obter permissões de privilégio mínimo. Monitore e reduza continuamente identidades e permissões não utilizadas.
-
Definir proteções de permissões para sua organização: Estabeleça controles comuns que restrinjam o acesso a todas as identidades na organização. Por exemplo, você pode restringir o acesso a regiões específicas da AWS ou impedir que os operadores excluam recursos comuns, como uma função do IAM usada pela equipe de segurança central.
-
Gerenciar o acesso com base no ciclo de vida: Integre controles de acesso ao ciclo de vida do operador e do aplicativo e ao seu provedor de federação centralizado. Por exemplo, remova o acesso do usuário que sair da organização ou mudar de funções.
-
Analisar o acesso público e entre contas: Monitore continuamente as descobertas que destacam o acesso público e entre contas. Reduza o acesso público e o acesso entre contas aos recursos que exigem esse tipo de acesso.
-
Compartilhar recursos com segurança: Controle o consumo de recursos compartilhados entre contas ou dentro da organização da AWS. Monitore recursos compartilhados e revise o acesso a recursos compartilhados.
Plano de melhoria
Definir requisitos de acesso
IAM use cases
Conceder menos privilégio
Grant least privilege
Reducing policy scope by viewing user activity
View role access
Lab: IAM permissions boundaries delegating role creation
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)
Estabelecer processo de acesso de emergência
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles
Reduzir as permissões continuamente
AWS IAM Access Analyzer
Definir proteções de permissões para sua organização
AWS Organizations Service Control Policies
AWS Control Tower Guardrails
Gerenciar o acesso com base no ciclo de vida
Analisar o acesso público e entre contas
AWS IAM Access Analyzer
Compartilhar recursos com segurança
AWS Resource Access Manager