Seleziona le tue preferenze relative ai cookie

Utilizziamo cookie essenziali e strumenti simili necessari per fornire il nostro sito e i nostri servizi. Utilizziamo i cookie prestazionali per raccogliere statistiche anonime in modo da poter capire come i clienti utilizzano il nostro sito e apportare miglioramenti. I cookie essenziali non possono essere disattivati, ma puoi fare clic su \"Personalizza\" o \"Rifiuta\" per rifiutare i cookie prestazionali.

Se sei d'accordo, AWS e le terze parti approvate utilizzeranno i cookie anche per fornire utili funzionalità del sito, ricordare le tue preferenze e visualizzare contenuti pertinenti, inclusa la pubblicità pertinente. Per continuare senza accettare questi cookie, fai clic su \"Continua\" o \"Rifiuta\". Per effettuare scelte più dettagliate o saperne di più, fai clic su \"Personalizza\".

Preferenze
Contattaci
Feedback
AWS Documentation
Crea un Account AWS

Establish permissions guardrails using data perimeters

PDF
RSS
Modalità Focus
Establish permissions guardrails using data perimeters - AWS Identity and Access Management
Controlli perimetrali dei datiPerimetro di identitàPerimetro di risorsePerimetro di reteRisorse per ulteriori informazioni sui perimetri di dati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

I guardrail del perimetro dei dati sono pensate per fungere da confini sempre attivi per proteggere i dati su un'ampia gamma di account e risorse AWS. I perimetri dei dati seguono le best practice di sicurezza IAM per stabilire guardrail di autorizzazioni su più account. Questi guardrail di autorizzazione a livello di organizzazione non sostituiscono i controlli di accesso dettagliati esistenti. Funzionano invece come controlli di accesso generalizzati che aiutano a migliorare la strategia di sicurezza assicurando che utenti, ruoli e risorse aderiscano a una serie di standard di sicurezza definiti.

Un perimetro di dati è un insieme di guardrail di autorizzazioni nell'ambiente AWS che aiutano a garantire che solo le identità attendibili accedano a risorse attendibili dalle reti previste.

  • Identità attendibili: i principali (ruoli o utenti IAM) dei tuoi account AWS e servizi AWS che agiscono per tuo conto.

  • Risorse attendibili: risorse di proprietà dei tuoi account AWS o di servizi AWS che agiscono per tuo conto.

  • Reti previste: i data center on-premises e i cloud privati virtuali (VPC) o le reti dei servizi AWS che agiscono per conto dell'utente.

Nota

In alcuni casi, potrebbe essere necessario estendere il perimetro di dati in modo da includere anche l'accesso da parte di partner commerciali fidati. È necessario prendere in considerazione tutti i modelli di accesso ai dati previsti quando si crea una definizione di identità attendibili, risorse attendibili e reti previste specifiche per l'azienda e l'utilizzo dei Servizi AWS.

I controlli perimetrali dei dati devono essere trattati come qualsiasi altro controllo di sicurezza nell'ambito del programma di sicurezza delle informazioni e di gestione del rischio. Ciò significa che è necessario eseguire un'analisi delle minacce per identificare i potenziali rischi all'interno del proprio ambiente cloud e quindi, in base ai propri criteri di accettazione del rischio, selezionare e implementare controlli perimetrali dei dati appropriati. Per definire meglio l'approccio iterativo basato sul rischio all'implementazione del perimetro dei dati, è necessario comprendere quali rischi e vettori di minaccia vengono affrontati dai controlli perimetrali dei dati, nonché le priorità di sicurezza.

Controlli perimetrali dei dati

I controlli granulari sul perimetro dei dati aiutano a raggiungere sei obiettivi di sicurezza distinti su tre perimetri di dati attraverso l'implementazione di diverse combinazioni di Tipi di policy e chiavi di condizioni.

Perimetro Obiettivo di controllo Utilizzo Applicato il Chiavi di contesto della condizione globale

Identità

Solo le identità attendibili possono accedere alle mie risorse

RCP

Risorse

aws:PrincipalOrgID

aws:PrincipalOrgPaths

aws:PrincipalAccount

aws:PrincipalIsAwsService

aws:SourceOrgID

aws:SourceOrgPath

aws:SourceAccount

Nella mia rete sono consentite solo identità attendibili

Policy degli endpoint VPC

Rete

Risorse

Le tue identità possono accedere solo a risorse attendibili

SCP

Identità

aws:ResourceOrgID

aws:ResourceOrgPaths

aws:ResourceAccount

Dalla rete è possibile accedere solo a risorse attendibili

Policy degli endpoint VPC

Rete

Rete

Le tue identità possono accedere alle risorse solo dalle reti previste

SCP

Identità

aws:SourceIp

aws:SourceVpc

aws:SourceVpce

aws:ViaAWSService

aws:PrincipalIsAwsService

Le tue risorse sono accessibili solo dalle reti previste

RCP

Risorse

Puoi pensare ai perimetri dei dati come alla creazione di un confine preciso attorno ai dati per prevenire schemi di accesso non intenzionali. Sebbene i perimetri dei dati possano impedire ampi accessi involontari, è comunque necessario prendere decisioni granulari sul controllo degli accessi. La definizione di un perimetro di dati non riduce la necessità di ottimizzare continuamente le autorizzazioni utilizzando strumenti come Sistema di analisi degli accessi IAM come parte del percorso verso il privilegio minimo.

Per applicare i controlli perimetrali dei dati su risorse che attualmente non sono supportate dagli RCP, puoi utilizzare policy basate sulle risorse collegate direttamente alle risorse. Per un elenco di servizi che supportano le RCP e le policy basate sulle risorse, consulta Policy di controllo delle risorse (RCP) e AWS servizi che funzionano con IAM.

Perimetro di identità

Un perimetro di identità è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che solo le identità attendibili possano accedere alle risorse e che solo le identità affidabili siano consentite dalla rete. Le identità attendibili includono i principali (ruoli o utenti IAM) dei tuoi account AWS e servizi AWS che agiscono per tuo conto. Tutte le altre identità sono considerate non attendibili e sono impedite dal perimetro dell'identità, a meno che non venga concessa un'eccezione esplicita.

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali delle identità. Utilizza queste chiavi nelle policy di controllo delle risorse per limitare l'accesso alle risorse o nelle policy degli endpoint VPC per limitare l'accesso alle tue reti.

  • Leggi: ID PrincipalOrg: è possibile utilizzare questa chiave di condizione per garantire che i principali IAM che effettuano la richiesta appartengano all'organizzazione specificata in AWS Organizations.

  • leggi: PrincipalOrgPaths: è possibile utilizzare questa chiave di condizione per garantire che l'utente IAM, il ruolo IAM, l'utente federato o AUtente root dell'account AWS che effettua la richiesta appartengano all'unità organizzativa (UO) specificata in AWS Organizations.

  • leggi: PrincipalAccount: è possibile utilizzare questa chiave di condizione per garantire che le risorse siano accessibili solo all'account principale specificato nella policy.

  • Leggi: PrincipalIs AWSService e leggi: ID SourceOrg (alternativamente leggi: SourceOrgPaths e leggi: SourceAccount): è possibile utilizzare queste chiavi di condizione per garantire che, quando i principali del Servizio AWS accedono alle risorse, lo facciano solo per conto di una risorsa dell'organizzazione, dell'unità organizzativa o di un account in AWS Organizations.

Per ulteriori informazioni, consulta Stabilire un perimetro di dati su AWS: Consenti solo identità attendibili per accedere ai dati aziendali.

Perimetro di risorse

Un perimetro di risorse è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che solo le identità attendibili possano accedere alle risorse e che solo le identità attendibili siano consentite dalla rete. Le risorse attendibili includono risorse di proprietà dei tuoi account AWS o di servizi AWS che agiscono per tuo conto.

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali delle risorse. Utilizza queste chiavi nelle policy di controllo dei servizi (SCP) per limitare le risorse a cui possono accedere le tue identità o nelle policy degli endpoint VPC per limitare le risorse a cui è possibile accedere dalle tue reti.

  • Leggi: ResourceOrg ID: è possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga all'organizzazione specificata in AWS Organizations.

  • Leggi: ResourceOrgPaths: è possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga all'unità organizzativa (UO) specificata in AWS Organizations.

  • leggi: ResourceAccount: è possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga all'account specificato in AWS Organizations.

In alcuni casi, potrebbe essere necessario consentire l'accesso a risorse di proprietà di AWS, risorse che non appartengono all'organizzazione e a cui accedono i principali o i servizi AWS che agiscono per conto dell'utente. Per ulteriori informazioni su questi scenari, consulta Stabilire un perimetro di dati su AWS: consenti solo risorse attendibili della mia organizzazione.

Perimetro di rete

Un perimetro di rete è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che le proprie identità possano accedere solo dalle reti previste e che le risorse siano accessibili solo dalle reti previste. Le reti previste includono i data center on-premises e i cloud privati virtuali (VPC) e le reti dei servizi AWS che agiscono per tuo conto.

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali della rete. Utilizza queste chiavi nelle policy di controllo dei servizi (SCP) per limitare le reti da cui le identità possono comunicare o nelle policy di controllo delle risorse (RCP) per limitare l'accesso alle risorse alle reti previste.

  • leggi: SourceIp: è possibile utilizzare questa chiave di condizione per garantire che l'indirizzo IP del richiedente rientri in un intervallo IP specificato.

  • come: SourceVpc: è possibile utilizzare questa chiave di condizione per garantire che l'endpoint VPC attraverso cui viaggia la richiesta appartenga al VPC specificato.

  • Leggi: SourceVpce: è possibile utilizzare questa chiave di condizione per garantire che la richiesta viaggi attraverso l'endpoint VPC specificato.

  • AWS: via AWSService: è possibile utilizzare questa chiave condizionale per assicurarsi che Servizi AWS possa effettuare richieste per conto del principale mediante Inoltro delle sessioni di accesso (FAS).

  • Leggi: PrincipalIs AWSService: è possibile utilizzare questa chiave di condizione per assicurarsi che Servizi AWS possa accedere alle risorse tramite AWS presidi del servizio.

Esistono altri scenari in cui è necessario consentire l'accesso a Servizi AWS che accedono alle risorse dall'esterno della rete. Per ulteriori informazioni, consulta Stabilire un perimetro di dati su AWS: Consenti l'accesso ai dati aziendali solo dalle reti previste.

Risorse per ulteriori informazioni sui perimetri di dati

Le seguenti risorse possono rivelarsi utili per saperne di più sui perimetri di dati su AWS.

In questa pagina

PrivacyCondizioni del sitoPreferenze cookie
© 2025, Amazon Web Services, Inc. o società affiliate. Tutti i diritti riservati.