Account di gestione dell'organizzazione - AWS Guida prescrittiva
Policy di controllo dei serviziIAMIdentity CenterIAMconsulente di accessoAWS Systems ManagerAWS Control TowerAWSArtefattoGuardrail dei servizi di sicurezza distribuiti e centralizzati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Account di gestione dell'organizzazione

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

Il diagramma seguente illustra i servizi AWS di sicurezza configurati nell'account Org Management.

Servizi di sicurezza per l'account Org Management

Le sezioni Using AWS Organizations for security e The management account, trusted access e delegated administrators precedenti di questa guida hanno discusso in modo approfondito lo scopo e gli obiettivi di sicurezza dell'account di gestione dell'organizzazione. Segui le best practice di sicurezza per il tuo account di gestione dell'organizzazione. Queste includono l'utilizzo di un indirizzo e-mail gestito dall'azienda, la gestione delle corrette informazioni di contatto amministrative e di sicurezza (ad esempio allegando un numero di telefono all'account nel caso in cui sia AWS necessario contattare il proprietario dell'account), l'attivazione dell'autenticazione a più fattori (MFA) per tutti gli utenti e la verifica regolare di chi ha accesso all'account di gestione dell'organizzazione. I servizi distribuiti nell'account di gestione dell'organizzazione devono essere configurati con ruoli, politiche di attendibilità e altre autorizzazioni appropriati in modo che gli amministratori di tali servizi (che devono accedervi nell'account di gestione dell'organizzazione) non possano accedere in modo inappropriato anche ad altri servizi.

Policy di controllo dei servizi

Con AWSOrganizations, puoi gestire centralmente le policy su più AWS account. Ad esempio, è possibile applicare le politiche di controllo del servizio (SCPs) a più AWS account membri di un'organizzazione. SCPsconsentono di definire quale AWS servizio APIs può e non può essere eseguito da entità AWSIdentity and Access Management (IAM) (come IAM utenti e ruoli) negli AWS account dei membri dell'organizzazione. SCPsvengono creati e applicati dall'account di gestione dell'organizzazione, che è l'AWSaccount utilizzato al momento della creazione dell'organizzazione. Per ulteriori informazioni, SCPs consulta la sezione Using AWS Organizations for security riportata più avanti in questo riferimento. 

Se utilizzi AWS Control Tower per gestire la tua AWS organizzazione, implementerà una serie di barriere preventive (classificate SCPs come obbligatorie, fortemente consigliate o facoltative). Questi guardrail ti aiutano a gestire le tue risorse applicando i controlli di sicurezza a livello di organizzazione. Questi utilizzano SCPs automaticamente un tag con un valore di aws-control-tower. managed-by-control-tower 

Considerazione di natura progettuale

  • SCPsriguardano solo gli account dei membri dell'AWSorganizzazione. Sebbene vengano applicati dall'account di gestione dell'organizzazione, non hanno alcun effetto sugli utenti o sui ruoli di tale account. Per ulteriori informazioni su come funziona la logica di SCP valutazione e per visualizzare esempi di strutture consigliate, consulta il post AWS sul blog How to Use Service Control Policies in AWS Organizations.

IAMIdentity Center

AWSIAMIdentity Center (successore di AWS Single Sign-On) è un servizio di federazione delle identità che consente di gestire centralmente SSO l'accesso a tutti gli AWS account, i principali e i carichi di lavoro cloud. IAMIdentity Center consente inoltre di gestire l'accesso e le autorizzazioni alle applicazioni SaaS (Software as a Service) di terze parti di uso comune. I provider di identità si integrano con IAM Identity Center utilizzando SAML la versione 2.0. Il bulk e il just-in-time provisioning possono essere eseguiti utilizzando il System for Cross-Domain Identity Management (). SCIM IAMIdentity Center può anche integrarsi con domini AWS Microsoft Active Directory (AD) locali o gestiti come provider di identità tramite l'uso di Directory ServiceAWS. IAMIdentity Center include un portale utenti in cui gli utenti finali possono trovare e accedere agli AWS account, ai ruoli, alle applicazioni cloud e alle applicazioni personalizzate assegnati in un unico posto.

IAMIdentity Center si integra nativamente con AWS Organizations e viene eseguito nell'account Org Management per impostazione predefinita. Tuttavia, per esercitare il minimo privilegio e controllare rigorosamente l'accesso all'account di gestione, l'amministrazione di IAM Identity Center può essere delegata a un account membro specifico. In AWSSRA, l'account Shared Services è l'account amministratore delegato per Identity Center. IAM Prima di abilitare l'amministrazione delegata per IAM Identity Center, esamina queste considerazioni. Ulteriori informazioni sulla delega sono disponibili nella sezione relativa all'account di Shared Services. Anche dopo aver abilitato la delega, IAM Identity Center deve comunque essere eseguito nell'account di gestione dell'organizzazione per eseguire determinate attività relative all'IAMIdentity Center, tra cui la gestione dei set di autorizzazioni forniti nell'account di gestione dell'organizzazione. 

All'interno della console di IAM Identity Center, gli account vengono visualizzati in base all'unità organizzativa incapsulata. Ciò consente di individuare rapidamente AWS gli account, applicare set comuni di autorizzazioni e gestire l'accesso da una posizione centrale. 

IAMIdentity Center include un archivio di identità in cui devono essere archiviate informazioni utente specifiche. Tuttavia, IAM Identity Center non deve essere la fonte autorevole per le informazioni sulla forza lavoro. Nei casi in cui l'azienda dispone già di una fonte autorevole, IAM Identity Center supporta i seguenti tipi di provider di identità (). IdPs

  • IAMIdentity Center Identity Store: scegli questa opzione se le due opzioni seguenti non sono disponibili. Gli utenti vengono creati, le assegnazioni di gruppo e le autorizzazioni vengono assegnate nell'archivio di identità. Anche se la fonte autorevole è esterna a IAM Identity Center, una copia degli attributi principali verrà archiviata nell'archivio di identità.

  • Microsoft Active Directory (AD): scegli questa opzione se desideri continuare a gestire gli utenti nella tua directory in Directory Service per Microsoft AWS Active Directory o nella directory autogestita in Active Directory.

  • Provider di identità esterno: scegli questa opzione se preferisci gestire gli utenti in un IdP esterno di terze parti SAML basato su base.

Puoi fare affidamento su un IdP esistente già presente all'interno della tua azienda. Ciò semplifica la gestione dell'accesso su più applicazioni e servizi, poiché l'accesso viene creato, gestito e revocato da un'unica posizione. Ad esempio, se qualcuno lascia il tuo team, puoi revocare il suo accesso a tutte le applicazioni e i servizi (inclusi gli AWS account) da un'unica posizione. Ciò riduce la necessità di più credenziali e offre l'opportunità di integrarsi con i processi relativi alle risorse umane (HR).

Considerazione di natura progettuale

  • Utilizza un IdP esterno se tale opzione è disponibile per la tua azienda. Se il tuo IdP supporta System for Cross-Domain Identity Management (SCIM), sfrutta la SCIM funzionalità di IAM Identity Center per automatizzare il provisioning (sincronizzazione) di utenti, gruppi e autorizzazioni. Ciò consente ad AWS Access di rimanere sincronizzato con il flusso di lavoro aziendale per i nuovi assunti, i dipendenti che si trasferiscono in un altro team e i dipendenti che stanno lasciando l'azienda. In qualsiasi momento, è possibile collegare solo una directory o un provider di identità SAML 2.0 a IAM Identity Center. Tuttavia, puoi passare a un altro provider di identità.

IAMconsulente di accesso

IAMaccess advisor fornisce dati di tracciabilità sotto forma di informazioni sull'ultimo accesso al servizio per i vostri AWS account e. OUs Utilizzate questo controllo investigativo per contribuire a una strategia con privilegi minimi. Per IAM le entità, è possibile visualizzare due tipi di informazioni sull'ultimo accesso: informazioni sul AWS servizio consentito e informazioni sulle azioni consentite. Le informazioni includono la data e l'ora in cui è stato effettuato il tentativo. 

IAMl'accesso all'account di gestione dell'organizzazione consente di visualizzare i dati dell'ultimo accesso al servizio per l'account di gestione dell'organizzazione, l'unità organizzativa, l'account membro o la IAM politica AWS dell'organizzazione. Queste informazioni sono disponibili nella IAM console all'interno dell'account di gestione e possono anche essere ottenute a livello di codice utilizzando IAM access advisor APIs in AWS Command Line Interface (AWSCLI) o un client programmatico. Le informazioni indicano quali entità di un'organizzazione o di un account hanno tentato l'ultimo accesso al servizio e quando. Le informazioni sull'ultimo accesso forniscono informazioni sull'utilizzo effettivo del servizio (vedi scenari di esempio), in modo da poter ridurre IAM le autorizzazioni solo ai servizi effettivamente utilizzati.

AWS Systems Manager

Quick Setup ed Explorer, che sono funzionalità di AWSSystems Manager, supportano entrambi AWS Organizations e operano dall'account Org Management. 

Quick Setup è una funzionalità di automazione di Systems Manager. Consente all'account Org Management di definire facilmente le configurazioni per consentire a Systems Manager di intervenire per conto dell'utente tra gli account AWS dell'organizzazione. È possibile abilitare la configurazione rapida in tutta l'AWSorganizzazione o sceglierne di specificheOUs. Quick Setup può pianificare AWS Systems Manager SSM Agent (Agent) per eseguire aggiornamenti bisettimanali sulle EC2 istanze e può impostare una scansione giornaliera di tali istanze per identificare le patch mancanti. 

Explorer è una dashboard operativa personalizzabile che riporta informazioni sulle risorse. AWS Explorer mostra una visualizzazione aggregata dei dati operativi per i tuoi AWS account e tra AWS le regioni. Ciò include i dati sulle EC2 istanze e i dettagli sulla conformità delle patch. Dopo aver completato la configurazione integrata (che include anche Systems Manager OpsCenter) all'interno di AWS Organizations, è possibile aggregare i dati in Explorer per unità organizzativa o per un'intera AWS organizzazione. Systems Manager aggrega i dati nell'account AWS Org Management prima di visualizzarli in Explorer.

La sezione Workloads OU più avanti in questa guida illustra l'uso dell'agente Systems Manager (SSMAgent) sulle EC2 istanze nell'account dell'applicazione.

AWS Control Tower

AWSControl Tower offre un modo semplice per configurare e gestire un AWS ambiente sicuro con più account, chiamato landing zone. AWSControl Tower crea la landing zone utilizzando AWS Organizations e fornisce una gestione e una governance degli account continue, nonché le migliori pratiche di implementazione. È possibile utilizzare AWS Control Tower per effettuare il provisioning di nuovi account in pochi passaggi, assicurando al contempo che gli account siano conformi alle politiche organizzative. Puoi persino aggiungere account esistenti a un nuovo ambiente AWS Control Tower. 

AWSControl Tower dispone di un set di funzionalità ampio e flessibile. Una caratteristica fondamentale è la sua capacità di orchestrare le funzionalità di diversi altri AWSservizi, tra cui AWS Organizations, AWS Service Catalog e IAM Identity Center, per creare una landing zone. Ad esempio, per impostazione predefinita AWS Control Tower utilizza AWS CloudFormation per stabilire una linea di base, AWS Organizations service control policies (SCPs) per prevenire modifiche alla configurazione e le regole AWS Config per rilevare continuamente le non conformità. AWSControl Tower utilizza progetti che consentono di allineare rapidamente l'AWSambiente multi-account ai principi di progettazione delle basi di sicurezza di AWSWell Architected. Tra le funzionalità di governance, AWS Control Tower offre barriere che impediscono l'implementazione di risorse non conformi a politiche selezionate. 

Puoi iniziare a implementare le AWS SRA linee guida con AWS Control Tower. Ad esempio, AWS Control Tower stabilisce un'AWSorganizzazione con l'architettura multi-account consigliata. Fornisce progetti per fornire la gestione delle identità, fornire l'accesso federato agli account, centralizzare la registrazione, stabilire controlli di sicurezza su più account, definire un flusso di lavoro per il provisioning di nuovi account e implementare le linee di base degli account con le configurazioni di rete. 

In AWSSRA, AWS Control Tower si trova all'interno dell'account Org Management perché AWS Control Tower utilizza questo account per configurare automaticamente un'AWSorganizzazione e designa quell'account come account di gestione. Questo account viene utilizzato per la fatturazione all'interno dell'organizzazioneAWS. Viene anche utilizzato per la fornitura di account da parte di Account Factory, per gestire OUs e gestire i guardrail. Se si avvia AWS Control Tower in un'AWSorganizzazione esistente, è possibile utilizzare l'account di gestione esistente. AWSControl Tower utilizzerà quell'account come account di gestione designato.

Considerazione di natura progettuale

  • Se desideri eseguire ulteriori linee di base dei controlli e delle configurazioni dei tuoi account, puoi utilizzare Customizations for Control Tower AWS (cFCT). Con cFct, puoi personalizzare la tua landing zone di AWS Control Tower utilizzando un AWS CloudFormation modello e politiche di controllo del servizio (SCPs). È possibile distribuire il modello e le politiche personalizzati su singoli account e OUs all'interno dell'organizzazione. cFct si integra con gli eventi del ciclo di vita di AWS Control Tower per garantire che l'implementazione delle risorse rimanga sincronizzata con la landing zone. 

AWSArtefatto

AWSArtifact fornisce l'accesso su richiesta ai report di sicurezza e conformità e AWS ad accordi online selezionati. I report disponibili in AWS Artifact includono report System and Organization Controls SOC (), report Payment Card Industry PCI () e certificazioni di organismi di accreditamento in tutte le aree geografiche e verticali di conformità che convalidano l'implementazione e l'efficacia operativa dei controlli di sicurezza. AWS AWSArtifact ti aiuta a eseguire la dovuta diligenza con maggiore trasparenza nel nostro AWS ambiente di controllo della sicurezza. Inoltre, consente di monitorare continuamente la sicurezza e la conformità AWS con accesso immediato ai nuovi report. 

AWSGli Artifact Agreements consentono di esaminare, accettare e tenere traccia dello stato AWS di accordi come il Business Associate Addendum BAA () per un account individuale e per gli account che fanno parte della propria organizzazione in Organizations. AWS 

È possibile fornire gli elementi di controllo ai AWS revisori o alle autorità di regolamentazione come prova dei controlli di sicurezza. AWS Puoi anche utilizzare le indicazioni sulla responsabilità fornite da alcuni degli elementi di AWS audit per progettare la tua architettura cloud. Questa guida aiuta a determinare i controlli di sicurezza aggiuntivi che è possibile mettere in atto per supportare i casi d'uso specifici del sistema. 

AWSArtifacts è ospitato nell'account di gestione dell'organizzazione per fornire una posizione centrale con cui è possibile rivedere, accettare e gestire gli accordi. AWS Questo perché gli accordi accettati nell'account di gestione confluiscono negli account dei membri. 

Considerazione di natura progettuale

  • Gli utenti all'interno dell'account Org Management devono essere limitati a utilizzare solo la funzionalità Accordi di AWS Artifact e nient'altro. Per implementare la separazione dei compiti, AWS Artifact è anche ospitato nell'account Security Tooling, dove puoi delegare le autorizzazioni alle parti interessate alla conformità e ai revisori esterni per accedere agli artefatti di audit. È possibile implementare questa separazione definendo politiche di autorizzazione granulari. IAM Per alcuni esempi, consulta IAMPolitiche di esempio nella documentazione. AWS

Guardrail dei servizi di sicurezza distribuiti e centralizzati

In AWS Security Hub AWSSRA, Amazon, AWS Config GuardDuty, IAM Access Analyzer, gli itinerari AWS CloudTrail organizzativi e spesso Amazon Macie vengono distribuiti con l'amministrazione delegata o l'aggregazione appropriata all'account Security Tooling. Ciò consente una serie coerente di barriere tra gli account e fornisce anche monitoraggio, gestione e governance centralizzati in tutta l'organizzazione. AWS Troverai questo gruppo di servizi in ogni tipo di account rappresentato in. AWS SRA Questi dovrebbero far parte dei AWS servizi che devono essere forniti come parte del processo di registrazione e baseline del tuo account. L'archivio del GitHub codice fornisce un esempio di implementazione di servizi AWS incentrati sulla sicurezza in tutti gli account, incluso l'account di gestione dell'organizzazione. AWS 

Oltre a questi servizi, AWS SRA include due servizi incentrati sulla sicurezza, Amazon Detective e AWS Audit Manager, che supportano l'integrazione e la funzionalità di amministratore delegato in Organizations. AWS Tuttavia, questi non sono inclusi tra i servizi consigliati per la baseline degli account. Abbiamo visto che questi servizi vengono utilizzati al meglio nei seguenti scenari:

  • Disponi di un team o di un gruppo di risorse dedicato che svolgono tali funzioni di analisi forense digitale e audit IT. Amazon Detective viene utilizzato al meglio dai team di analisti della sicurezza e AWS Audit Manager è utile per i team interni di audit o conformità.

  • Desideri concentrarti su un set di strumenti di base come GuardDuty Security Hub all'inizio del progetto e poi sfruttarli utilizzando servizi che offrono funzionalità aggiuntive.