Esse conteúdo está desatualizado. Esta versão da Well-Architected Framework agora pode ser encontrada em: https://docs.aws.amazon.com/pt_br/wellarchitected/2022-03-31/framework/security.html

SEC 3: Como você gerencia permissões para pessoas e máquinas?

Gerencie permissões para controlar o acesso a identidades de pessoas e máquinas que precisam de acesso à AWS e à sua carga de trabalho. As permissões controlam quem pode acessar o quê e em quais condições.

Recursos

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

Melhores práticas:

Plano de melhoria

Definir requisitos de acesso

  • Definir privilégios obrigatórios para função de trabalho e responsabilidades: Com base na função ou nas responsabilidades do trabalho do usuário, defina quais recursos eles precisam acessar e as condições que podem ser aplicadas. Agrupe os usuários com requisitos comuns para facilitar a delegação de políticas.
    IAM use cases
  • Conceder menos privilégio

  • Implementar políticas de privilégio mínimo: Atribua políticas de acesso com privilégio mínimo a grupos e funções do IAM para refletir a função do usuário ou a função que você definiu.
    Grant least privilege
  • Remover permissões desnecessárias: Implemente o privilégio mínimo removendo permissões desnecessárias.
    Reducing policy scope by viewing user activity
    View role access
  • Considerar limites de permissões: Um limite de permissões é um recurso avançado para usar uma política gerenciada que define o número máximo de permissões que uma política baseada em identidade pode conceder a uma entidade do IAM. O limite de permissões de uma entidade permite que ela execute apenas as ações aceitas por suas políticas baseadas em identidade e seus limites de permissões.
    Lab: IAM permissions boundaries delegating role creation
  • Considerar tags de recursos para permissões: Você pode usar tags para controlar o acesso aos recursos da AWS que oferecem suporte à marcação. Você também pode marcar usuários e funções do IAM para controlar o que eles podem acessar.
    Lab: IAM tag based access control for EC2
    Attribute-based access control (ABAC)
  • Estabelecer processo de acesso de emergência

  • Pré-provisionar acesso de emergência: O pré-provisionamento de uma função para acesso de emergência a partir de uma conta confiável, por exemplo, uma que seja usada para a equipe de segurança, pode ajudá-lo a obter acesso rápido.
    Tutorial: Delegate Access Across AWS Accounts Using IAM Roles
  • Reduzir as permissões continuamente

  • Configurar o IAM Access Analyzer: O AWS IAM Access Analyzer ajuda a identificar os recursos na organização e nas contas, como buckets do Amazon S3 ou funções do IAM, que são compartilhados com uma entidade externa.
    AWS IAM Access Analyzer
  • Definir proteções de permissões para sua organização

  • Definir restrições comuns que se aplicam a todas as identidades: Com base nos requisitos exclusivos de suas organizações, por exemplo, para o acesso apenas a uma região específica da AWS, crie várias restrições que possam ser aplicadas com o AWS Organizations.
    AWS Organizations Service Control Policies
  • Usar o AWS Control Tower para gerenciar proteções: Com base nos requisitos exclusivos de suas organizações, por exemplo, para o acesso apenas a uma região específica da AWS, crie várias restrições que possam ser aplicadas com o AWS Organizations.
    AWS Control Tower Guardrails
  • Gerenciar o acesso com base no ciclo de vida

  • Ciclo de vida de acesso de usuários: Implemente uma política de ciclo de vida de acesso para novos usuários, alterações de função de trabalho e usuários que saem, para que apenas os usuários atuais tenham acesso.
  • Analisar o acesso público e entre contas

  • Configurar o IAM Access Analyzer: O AWS IAM Access Analyzer ajuda a identificar os recursos na organização e nas contas, como buckets do Amazon S3 ou funções do IAM, que são compartilhados com uma entidade externa.
    AWS IAM Access Analyzer
  • Compartilhar recursos com segurança

  • Usar o AWS Resource Access Manager: O AWS Resource Access Manager (RAM) é um serviço que permite compartilhar com facilidade e segurança recursos da AWS com qualquer conta da AWS ou dentro da organização da AWS.
    AWS Resource Access Manager