Menggunakan AWS Organizations untuk keamanan - AWS Bimbingan Preskriptif

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan AWS Organizations untuk keamanan

Mempengaruhi masa depan Arsitektur Referensi AWS Keamanan (AWS SRA) dengan mengambil survei singkat.

AWSOrganizations membantu Anda mengelola dan mengatur lingkungan secara terpusat saat Anda tumbuh dan meningkatkan sumber daya AndaAWS. Dengan menggunakan AWS Organizations, Anda dapat membuat AWS akun baru secara terprogram, mengalokasikan sumber daya, mengelompokkan akun untuk mengatur beban kerja, dan menerapkan kebijakan ke akun atau grup akun untuk tata kelola. AWSOrganisasi mengkonsolidasikan AWS akun Anda sehingga Anda dapat mengelolanya sebagai satu unit. Ini memiliki satu akun manajemen bersama dengan nol atau lebih akun anggota. Sebagian besar beban kerja Anda berada di akun anggota, kecuali untuk beberapa proses yang dikelola secara terpusat yang harus berada di akun manajemen atau di akun yang ditetapkan sebagai administrator yang didelegasikan untuk layanan tertentu. AWS Anda dapat menyediakan alat dan akses dari lokasi pusat untuk tim keamanan Anda untuk mengelola kebutuhan keamanan atas nama AWS organisasi. Anda dapat mengurangi duplikasi sumber daya dengan berbagi sumber daya penting dalam AWS organisasi Anda. Anda dapat mengelompokkan akun ke dalam unit AWS organisasi (OUs), yang dapat mewakili lingkungan yang berbeda berdasarkan persyaratan dan tujuan beban kerja.

Dengan AWS Organizations, Anda dapat menggunakan kebijakan kontrol layanan (SCPs) untuk menerapkan pagar pembatas izin di tingkat AWS organisasi, OU, atau akun. Pagar pembatas ini berlaku untuk kepala sekolah dalam akun organisasi, dengan pengecualian akun manajemen (yang merupakan salah satu alasan untuk tidak menjalankan beban kerja di akun ini). Ketika Anda melampirkan SCP ke OU, itu diwarisi oleh anak OUs dan akun di bawah OU. SCPstidak memberikan izin apa pun. Sebagai gantinya, SCPs tentukan izin maksimum untuk AWS organisasi, OU, atau akun. Anda masih perlu melampirkan kebijakan berbasis identitas atau sumber daya ke prinsipal atau sumber daya di akun Anda untuk benar-benar memberikan izin kepada mereka. AWS Misalnya, jika SCP menolak akses ke semua Amazon S3, prinsipal yang terpengaruh oleh SCP tidak akan memiliki akses ke Amazon S3 bahkan jika mereka secara eksplisit diberikan akses melalui kebijakan. IAM Untuk informasi rinci tentang bagaimana IAM kebijakan dievaluasi, peranSCPs, dan bagaimana akses akhirnya diberikan atau ditolak, lihat logika evaluasi kebijakan dalam IAM dokumentasi. 

AWSControl Tower menawarkan cara sederhana untuk mengatur dan mengatur beberapa akun. Ini mengotomatiskan pengaturan akun di AWS organisasi Anda, mengotomatiskan penyediaan, menerapkan pagar pembatas (yang mencakup kontrol preventif dan detektif), dan memberi Anda dasbor untuk visibilitas. Kebijakan IAM manajemen tambahan, batas izin, dilampirkan ke IAM entitas tertentu (pengguna atau peran) dan menetapkan izin maksimum yang dapat diberikan oleh kebijakan berbasis identitas kepada entitas. IAM

AWSOrganizations membantu Anda mengonfigurasi AWSlayanan yang berlaku untuk semua akun Anda. Misalnya, Anda dapat mengonfigurasi pencatatan pusat dari semua tindakan yang dilakukan di seluruh AWS organisasi dengan menggunakan AWS CloudTrail, dan mencegah akun anggota menonaktifkan pencatatan. Anda juga dapat menggabungkan data secara terpusat untuk aturan yang telah ditentukan menggunakan AWSConfig, sehingga Anda dapat mengaudit beban kerja Anda untuk kepatuhan dan bereaksi cepat terhadap perubahan. Anda dapat menggunakan AWS CloudFormation StackSetsuntuk mengelola AWS CloudFormation tumpukan secara terpusat di seluruh akun dan OUs di AWS organisasi Anda, sehingga Anda dapat secara otomatis menyediakan akun baru untuk memenuhi persyaratan keamanan Anda. 

Konfigurasi default AWS Organizations mendukung using SCPs as deny lists. Dengan menggunakan strategi daftar tolak, administrator akun anggota dapat mendelegasikan semua layanan dan tindakan sampai Anda membuat dan melampirkan SCP yang menolak layanan atau serangkaian tindakan tertentu. Pernyataan penolakan memerlukan pemeliharaan yang lebih sedikit daripada daftar izinkan, karena Anda tidak perlu memperbaruinya saat AWS menambahkan layanan baru. Pernyataan penolakan biasanya lebih pendek dalam panjang karakter, jadi lebih mudah untuk tetap dalam ukuran maksimum untukSCPs. Dalam pernyataan di mana Effect elemen memiliki nilaiDeny, Anda juga dapat membatasi akses ke sumber daya tertentu, atau menentukan kondisi kapan SCPs berlaku. Sebaliknya, pernyataan Izinkan dalam SCP berlaku untuk semua sumber daya ("*") dan tidak dapat dibatasi oleh kondisi. Untuk informasi dan contoh selengkapnya, lihat Strategi untuk digunakan SCPs dalam dokumentasi AWS Organizations.

Pertimbangan desain

  • Atau, untuk digunakan SCPs sebagai daftar izinkan, Anda harus mengganti yang AWS dikelola FullAWSAccess SCP dengan SCP yang secara eksplisit hanya mengizinkan layanan dan tindakan yang ingin Anda izinkan. Agar izin diaktifkan untuk akun tertentu, setiap SCP (dari root melalui setiap OU di jalur langsung ke akun, dan bahkan dilampirkan ke akun itu sendiri) harus mengizinkan izin itu. Model ini bersifat lebih ketat dan mungkin cocok untuk beban kerja yang sangat diatur dan sensitif. Pendekatan ini mengharuskan Anda untuk secara eksplisit mengizinkan setiap IAM layanan atau tindakan di jalur dari AWS akun ke OU.

  • Idealnya, Anda akan menggunakan kombinasi daftar tolak dan mengizinkan strategi daftar. Gunakan daftar izinkan untuk menentukan daftar AWS layanan yang diizinkan yang disetujui untuk digunakan dalam AWS organisasi dan lampirkan ini SCP di akar AWS organisasi Anda. Jika Anda memiliki serangkaian layanan berbeda yang diizinkan per lingkungan pengembangan Anda, Anda akan melampirkan masing-masing SCPs di setiap OU. Anda kemudian dapat menggunakan daftar penolakan untuk menentukan pagar pembatas perusahaan dengan secara eksplisit menolak tindakan tertentu. IAM