Uso de AWS Organizations para la seguridad - AWS Guía prescriptiva

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de AWS Organizations para la seguridad

Influya en el futuro de la arquitectura de referencia de AWS seguridad (AWS SRA) realizando una breve encuesta.

AWSOrganizations le ayuda a administrar y gobernar su entorno de forma centralizada a medida que crece y escala sus AWS recursos. Con AWS Organizations, puede crear nuevas AWS cuentas de forma programática, asignar recursos, agrupar cuentas para organizar sus cargas de trabajo y aplicar políticas a las cuentas o grupos de cuentas para su control. Una AWS organización consolida tus AWS cuentas para que puedas administrarlas como una sola unidad. Tiene una cuenta de administración y cero o más cuentas de miembros. La mayoría de las cargas de trabajo residen en las cuentas de los miembros, excepto algunos procesos gestionados de forma centralizada que deben residir en la cuenta de administración o en las cuentas asignadas como administradores delegados para servicios específicosAWS. Puede proporcionar herramientas y acceso desde una ubicación central para que su equipo de seguridad gestione las necesidades de seguridad en nombre de una AWS organización. Puede reducir la duplicación de recursos al compartir los recursos críticos dentro de su AWS organización. Puede agrupar las cuentas en unidades AWS organizativas (OUs), que pueden representar diferentes entornos en función de los requisitos y el propósito de la carga de trabajo.

Con AWS Organizations, puede usar las políticas de control de servicios (SCPs) para aplicar barreras de permisos a nivel de AWS organización, unidad organizativa o cuenta. Estas restricciones se aplican a los directores de la cuenta de una organización, con la excepción de la cuenta de administración (que es una de las razones para no ejecutar cargas de trabajo en esta cuenta). Al SCP adjuntar una unidad organizativa, la heredan el hijo OUs y las cuentas incluidas en la unidad organizativa. SCPsno conceda ningún permiso. En su lugar, SCPs especifique los permisos máximos para una AWS organización, unidad organizativa o cuenta. Aún así, debe adjuntar políticas basadas en la identidad o en los recursos a los principales o los recursos de sus AWS cuentas para poder concederles permisos. Por ejemplo, si una persona SCP niega el acceso a todo Amazon S3, el principal afectado no SCP tendrá acceso a Amazon S3 aunque se le conceda el acceso de forma explícita a través de una IAM política. Para obtener información detallada sobre cómo se evalúan IAM las políticas, su función y cómo se concede o deniega el acceso en última instancia, consulte la lógica de evaluación de políticas en la IAM documentación. SCPs 

AWSControl Tower ofrece una forma simplificada de configurar y gestionar varias cuentas. Automatiza la configuración de las cuentas en su AWS organización, automatiza el aprovisionamiento, aplica barreras (que incluyen controles preventivos y de detección) y le proporciona un panel de control para mayor visibilidad. Una política IAM de administración adicional, un límite de permisos, se adjunta a IAM entidades específicas (usuarios o roles) y establece los permisos máximos que una política basada en la identidad puede conceder a una entidad. IAM

AWSOrganizations le ayuda a configurar AWSlos servicios que se aplican a todas sus cuentas. Por ejemplo, puede configurar el registro centralizado de todas las acciones realizadas en su AWS organización mediante AWS CloudTrailel uso del registro y evitar que las cuentas de los miembros lo inhabiliten. También puede agregar datos de forma centralizada para las reglas que haya definido mediante AWSConfig, de modo que pueda auditar sus cargas de trabajo para comprobar su conformidad y reaccionar rápidamente ante los cambios. Puedes utilizarla AWS CloudFormation StackSetspara gestionar de forma centralizada las AWS CloudFormation pilas en todas las cuentas y OUs en tu AWS organización, de forma que puedas aprovisionar automáticamente una nueva cuenta para cumplir con tus requisitos de seguridad. 

La configuración predeterminada de AWS Organizations admite el uso SCPs de listas de denegación. Al utilizar una estrategia de listas de denegación, los administradores de las cuentas de los miembros pueden delegar todos los servicios y acciones hasta que se cree y adjunte una SCP que deniegue un servicio o conjunto de acciones específicos. Las declaraciones de rechazo requieren menos mantenimiento que una lista de permitidos, ya que no es necesario actualizarlas cuando se AWS añaden nuevos servicios. Las sentencias Deny suelen tener una longitud de caracteres más corta, por lo que es más fácil mantenerlas dentro del tamaño máximo deSCPs. En una declaración en la que el Effect elemento tenga un valor deDeny, también puede restringir el acceso a recursos específicos o definir las condiciones para cuando SCPs estén en vigor. Por el contrario, la instrucción Allow de un SCP se aplica a todos los recursos ("*") y no puede restringirse mediante condiciones. Para obtener más información y ejemplos, consulte Estrategias de uso SCPs en la documentación de AWS Organizations.

Consideraciones sobre el diseño

  • Como alternativa, para utilizarla SCPs como lista de permitidos, debe reemplazar la AWS FullAWSAccess SCP gestionada por una SCP que permita explícitamente solo los servicios y acciones que desee permitir. Para habilitar un permiso para una cuenta específica, todas las unidades organizativas SCP (desde la raíz hasta cada unidad organizativa que se encuentre en la ruta directa a la cuenta, e incluso las asociadas a la propia cuenta) deben permitir ese permiso. Este modelo es de naturaleza más restrictiva y podría ser adecuado para cargas de trabajo delicadas y altamente reguladas. Este enfoque requiere que permita de forma explícita todos los IAM servicios o acciones que se produzcan en la ruta desde la AWS cuenta hasta la OU.

  • Lo ideal sería utilizar una combinación de estrategias de listas de rechazos y listas de permitidos. Utilice la lista de servicios permitidos para definir la lista de AWS servicios permitidos para su uso en una AWS organización y adjúntela SCP a la raíz de la AWS organización. Si su entorno de desarrollo permite un conjunto de servicios diferente, adjunte el correspondiente SCPs a cada unidad organizativa. A continuación, puede utilizar la lista de denegaciones para definir las barreras empresariales denegando de forma explícita acciones específicasIAM.