Esempi di policy di controllo delle risorse - AWS Organizations
Esempi generali

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy di controllo delle risorse

Gli esempi di politiche di controllo delle risorse (RCPs) visualizzati in questo argomento sono solo a scopo informativo. Per esempi di perimetri dei dati, vedere Esempi di policy perimetrali dei dati in. GitHub

Prima di utilizzare questi esempi

Prima di utilizzare questi esempi RCPs nella tua organizzazione, procedi come segue:

  • Esamina e personalizzali attentamente in base alle tue esigenze specifiche. RCPs

  • Esegui test approfonditi RCPs nel tuo ambiente con i AWS servizi che utilizzi.

Le politiche di esempio in questa sezione dimostrano l'implementazione e l'uso diRCPs. Non devono essere interpretate come suggerimenti o best practice AWS ufficiali da implementare esattamente come mostrato. È responsabilità dell'utente testare attentamente qualsiasi politica per verificarne l'idoneità a risolvere i requisiti aziendali del proprio ambiente. Le politiche di controllo delle risorse basate sulla negazione possono limitare o bloccare involontariamente l'uso dei AWS servizi, a meno che non si aggiungano le eccezioni necessarie alla politica.

Esempi generali

RCPFullAWSAccess

La seguente politica è una politica AWS gestita e viene automaticamente associata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione, quando si abilitano le politiche di controllo delle risorse (). RCPs Non è possibile scollegare questa politica. Questa impostazione predefinita RCP consente a tutti i principali e le azioni di accedere alle risorse, il che significa che finché non inizi a creare e allegareRCPs, tutte le IAM autorizzazioni esistenti continueranno a funzionare come prima. Non è necessario testare l'effetto di questa politica in quanto consentirà il proseguimento del comportamento di autorizzazione esistente per le risorse.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": "*",
            "Action": "*",
            "Resource": "*"
        }
    ]
}

Protezione dei deputati confusa tra diversi servizi

Alcuni Servizi AWS (servizi di chiamata) utilizzano il proprio Servizio AWS principale per accedere alle AWS risorse di altri Servizi AWS (denominati servizi). Quando un attore non destinato ad avere accesso a una AWS risorsa tenta di sfruttare la fiducia di un Servizio AWS committente per interagire con risorse a cui non è destinato ad avere accesso, si parla del problema del vicario confuso tra servizi diversi. Per ulteriori informazioni, consulta La problematica del deputato confuso nella Guida per l'IAMutente

La seguente politica richiede che Servizio AWS i responsabili accedano alle risorse dell'utente solo per conto di richieste provenienti dall'organizzazione. Questa politica applica il controllo solo sulle richieste aws:SourceAccount presenti, in modo da non influire sulle integrazioni di servizi che non richiedono l'uso diaws:SourceAccount. Se aws:SourceAccount è presente nel contesto della richiesta, la Null condizione verrà valutata come ugualetrue, determinando l'applicazione della aws:SourceOrgID chiave.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "RCPEnforceConfusedDeputyProtection",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "s3:*",
                "sqs:*",
                "secretsmanager:*"
            ],
            "Resource": "*",
            "Condition": {
                "StringNotEqualsIfExists": {
                    "aws:SourceOrgID": "my-org-id"
                },
                "Bool": {
                    "aws:PrincipalIsAWSService": "true"
                },
                "Null": {
                    "aws:SourceAccount": "false"
                }
            }
        }
    ]
}

Limita l'accesso solo alle HTTPS connessioni alle tue risorse

La seguente politica richiede che l'accesso alle risorse avvenga solo su connessioni crittografate tramite HTTPS (TLS). Questo può aiutarti a impedire a potenziali aggressori di manipolare il traffico di rete.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnforceSecureTransport",
            "Effect": "Deny",
            "Principal": "*",
            "Action": [
                "sts:*",
                "s3:*",
                "sqs:*",
                "secretsmanager:*",
                "kms:*"
            ],
            "Resource": "*",
            "Condition": {
                "BoolIfExists": {
                    "aws:SecureTransport": "false"
                }
            }
        }
    ]
}

Controlli coerenti delle policy relative ai bucket Amazon S3

Di seguito sono RCP riportate diverse istruzioni per applicare controlli di accesso coerenti sui bucket Amazon S3 della tua organizzazione.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "EnforceS3TlsVersion",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:*",
            "Resource": "*",
            "Condition": {                
                "NumericLessThan": {
                    "s3:TlsVersion": [
                        "1.2"
                    ]
                }
            }
        },
        {
            "Sid": "EnforceKMSEncryption",
            "Effect": "Deny",
            "Principal": "*",
            "Action": "s3:PutObject",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "s3:x-amz-server-side-encryption-aws-kms-key-id": "true"
                }
            }
        }
    ]
}

  • L'ID della dichiarazioneEnforceS3TlsVersion: è necessaria una TLS versione minima di 1.2 per l'accesso ai bucket S3.

  • L'ID dell'istruzioneEnforceKMSEncryption: richiede che gli oggetti siano crittografati sul lato server con chiavi. KMS