Account di gestione dell'organizzazione - AWS Guida prescrittiva
Policy di controllo dei serviziIAM Identity CenterConsulente di accesso IAMAWS Systems ManagerAWS Control TowerAWS ArtifactGuardrail dei servizi di sicurezza distribuiti e centralizzati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Account di gestione dell'organizzazione

Influenza il futuro della AWS Security Reference Architecture (AWSSRA) rispondendo a un breve sondaggio.

Il diagramma seguente illustra i servizi di sicurezza AWS configurati nell'account Org Management.

Servizi di sicurezza per l'account Org Management

Le sezioni Using AWS Organizations for security e L'account di gestione, l'accesso affidabile e gli amministratori delegati precedenti di questa guida hanno discusso in modo approfondito lo scopo e gli obiettivi di sicurezza dell'account di gestione dell'organizzazione. Segui le migliori pratiche di sicurezza per il tuo account di gestione dell'organizzazione. Questi includono l'utilizzo di un indirizzo e-mail gestito dalla tua azienda, il mantenimento delle corrette informazioni di contatto amministrative e di sicurezza (ad esempio allegando un numero di telefono all'account nel caso in cui AWS debba contattare il proprietario dell'account), l'attivazione dell'autenticazione a più fattori (MFA) per tutti gli utenti e la verifica regolare di chi ha accesso all'account di gestione dell'organizzazione. I servizi distribuiti nell'account di gestione dell'organizzazione devono essere configurati con ruoli, politiche di attendibilità e altre autorizzazioni appropriati in modo che gli amministratori di tali servizi (che devono accedervi nell'account di gestione dell'organizzazione) non possano accedere in modo inappropriato anche ad altri servizi.

Policy di controllo dei servizi

Con AWS Organizations, puoi gestire centralmente le policy su più account AWS. Ad esempio, puoi applicare policy di controllo dei servizi (SCP) su più account AWS membri di un'organizzazione. Gli SCP consentono di definire quali API di servizio AWS possono e non possono essere eseguite da entità AWS Identity and Access Management (IAM) (come utenti e ruoli IAM) negli account AWS membri della tua organizzazione. Gli SCP vengono creati e applicati dall'account di gestione dell'organizzazione, che è l'account AWS che hai usato quando hai creato l'organizzazione. Scopri di più sugli SCP nella sezione Using AWS Organizations for security più avanti in questo riferimento. 

Se utilizzi AWS Control Tower per gestire la tua organizzazione AWS, questa implementerà una serie di SCP come barriere preventive (classificate come obbligatorie, fortemente consigliate o facoltative). Questi guardrail ti aiutano a gestire le tue risorse applicando i controlli di sicurezza a livello di organizzazione. Questi SCP utilizzano automaticamente un tag con un valore di. aws-control-tower managed-by-control-tower 

Considerazione progettuale

  • Gli SCP influiscono solo sugli account dei membri dell'organizzazione AWS. Sebbene vengano applicati dall'account di gestione dell'organizzazione, non hanno alcun effetto sugli utenti o sui ruoli di quell'account. Per scoprire come funziona la logica di valutazione SCP e per vedere esempi di strutture consigliate, consulta il post del blog AWS How to Use Service Control Policies in AWS Organizations.

IAM Identity Center

AWS IAM Identity Center (successore di AWS Single Sign-On) è un servizio di federazione delle identità che ti aiuta a gestire centralmente l'accesso SSO a tutti i tuoi account, principali e carichi di lavoro cloud AWS. IAM Identity Center ti aiuta anche a gestire l'accesso e le autorizzazioni alle applicazioni SaaS (Software as a Service) di terze parti di uso comune. I provider di identità si integrano con IAM Identity Center utilizzando SAML 2.0. Il bulk e il just-in-time provisioning possono essere eseguiti utilizzando il System for Cross-Domain Identity Management (SCIM). IAM Identity Center può anche integrarsi con domini Microsoft Active Directory (AD) locali o gestiti da AWS come provider di identità tramite l'uso di AWS Directory Service. IAM Identity Center include un portale utenti in cui gli utenti finali possono trovare e accedere agli account AWS, ai ruoli, alle applicazioni cloud e alle applicazioni personalizzate assegnati in un unico posto.

IAM Identity Center si integra nativamente con AWS Organizations e viene eseguito nell'account Org Management per impostazione predefinita. Tuttavia, per esercitare il minimo privilegio e controllare rigorosamente l'accesso all'account di gestione, l'amministrazione di IAM Identity Center può essere delegata a un account membro specifico. In AWS SRA, l'account Shared Services è l'account amministratore delegato per IAM Identity Center. Prima di abilitare l'amministrazione delegata per IAM Identity Center, esamina queste considerazioni. Ulteriori informazioni sulla delega sono disponibili nella sezione relativa all'account di Shared Services. Anche dopo aver abilitato la delega, IAM Identity Center deve comunque essere eseguito nell'account di gestione dell'organizzazione per eseguire determinate attività relative a IAM Identity Center, tra cui la gestione dei set di autorizzazioni forniti nell'account di gestione dell'organizzazione. 

All'interno della console IAM Identity Center, gli account vengono visualizzati in base all'unità organizzativa incapsulata. Ciò ti consente di scoprire rapidamente i tuoi account AWS, applicare set di autorizzazioni comuni e gestire l'accesso da una posizione centrale. 

IAM Identity Center include un archivio di identità in cui devono essere archiviate informazioni utente specifiche. Tuttavia, IAM Identity Center non deve essere la fonte autorevole per le informazioni sulla forza lavoro. Nei casi in cui l'azienda dispone già di una fonte autorevole, IAM Identity Center supporta i seguenti tipi di provider di identità (). IdPs

  • IAM Identity Center Identity Store: scegli questa opzione se le seguenti due opzioni non sono disponibili. Gli utenti vengono creati, le assegnazioni ai gruppi e le autorizzazioni vengono assegnate nell'archivio di identità. Anche se la fonte autorevole è esterna a IAM Identity Center, una copia degli attributi principali verrà archiviata nell'archivio di identità.

  • Microsoft Active Directory (AD): scegli questa opzione se desideri continuare a gestire gli utenti nella tua directory in AWS Directory Service per Microsoft Active Directory o nella directory autogestita in Active Directory.

  • Provider di identità esterno: scegli questa opzione se preferisci gestire gli utenti in un IdP esterno di terze parti basato su SAML.

Puoi fare affidamento su un IdP esistente già presente all'interno della tua azienda. Ciò semplifica la gestione dell'accesso su più applicazioni e servizi, poiché l'accesso viene creato, gestito e revocato da un'unica posizione. Ad esempio, se qualcuno lascia il tuo team, puoi revocare il suo accesso a tutte le applicazioni e i servizi (inclusi gli account AWS) da un'unica posizione. Ciò riduce la necessità di più credenziali e ti offre l'opportunità di integrarti con i tuoi processi relativi alle risorse umane (HR).

Considerazione progettuale

  • Utilizza un IdP esterno se tale opzione è disponibile per la tua azienda. Se il tuo IdP supporta System for Cross-Domain Identity Management (SCIM), sfrutta la funzionalità SCIM di IAM Identity Center per automatizzare il provisioning (sincronizzazione) di utenti, gruppi e autorizzazioni. Ciò consente ad AWS Access di rimanere sincronizzato con il flusso di lavoro aziendale per i nuovi assunti, i dipendenti che si trasferiscono in un altro team e i dipendenti che stanno lasciando l'azienda. In qualsiasi momento, puoi avere solo una directory o un provider di identità SAML 2.0 connesso a IAM Identity Center. Tuttavia, puoi passare a un altro provider di identità.

Consulente di accesso IAM

IAM access advisor fornisce dati di tracciabilità sotto forma di informazioni sull'ultimo accesso al servizio per gli account AWS e le unità organizzative. Usa questo controllo investigativo per contribuire a una strategia con privilegi minimi. Per le entità IAM, puoi visualizzare due tipi di informazioni sull'ultimo accesso: informazioni sui servizi AWS consentiti e informazioni sulle azioni consentite. Le informazioni includono la data e l'ora in cui è stato effettuato il tentativo. 

L'accesso IAM all'interno dell'account Org Management ti consente di visualizzare i dati dell'ultimo accesso al servizio per l'account Org Management, l'unità organizzativa, l'account membro o la policy IAM nella tua organizzazione AWS. Queste informazioni sono disponibili nella console IAM all'interno dell'account di gestione e possono anche essere ottenute a livello di codice utilizzando le API IAM access advisor in AWS Command Line Interface (AWS CLI) o un client programmatico. Le informazioni indicano quali entità di un'organizzazione o di un account hanno tentato l'ultimo accesso al servizio e quando. Le ultime informazioni a cui si accede forniscono informazioni sull'utilizzo effettivo del servizio (vedi scenari di esempio), quindi puoi ridurre le autorizzazioni IAM solo ai servizi effettivamente utilizzati.

AWS Systems Manager

Quick Setup ed Explorer, che sono funzionalità di AWS Systems Manager, supportano entrambi AWS Organizations e operano dall'account Org Management. 

Quick Setup è una funzionalità di automazione di Systems Manager. Consente all'account Org Management di definire facilmente le configurazioni in modo che Systems Manager interagisca per tuo conto tra gli account della tua organizzazione AWS. Puoi abilitare Quick Setup nell'intera organizzazione AWS o scegliere unità organizzative specifiche. Quick Setup può pianificare AWS Systems Manager Agent (SSM Agent) per eseguire aggiornamenti bisettimanali sulle istanze EC2 e può impostare una scansione giornaliera di tali istanze per identificare le patch mancanti. 

Explorer è una dashboard operativa personalizzabile che riporta informazioni sulle tue risorse AWS. Explorer mostra una vista aggregata dei dati operativi per i tuoi account AWS e tra le regioni AWS. Ciò include i dati sulle istanze EC2 e i dettagli sulla conformità delle patch. Dopo aver completato l'Integrated Setup (che include anche Systems Manager OpsCenter) in AWS Organizations, puoi aggregare i dati in Explorer per unità organizzativa o per un'intera organizzazione AWS. Systems Manager aggrega i dati nell'account AWS Org Management prima di visualizzarli in Explorer.

La sezione Workloads OU più avanti in questa guida illustra l'uso di Systems Manager Agent (SSM Agent) sulle istanze EC2 nell'account Application.

AWS Control Tower

AWS Control Tower offre un modo semplice per configurare e gestire un ambiente AWS sicuro e multi-account, chiamato landing zone. AWS Control Tower crea la landing zone utilizzando AWS Organizations e fornisce gestione e governance degli account continue, nonché best practice di implementazione. Puoi utilizzare AWS Control Tower per effettuare il provisioning di nuovi account in pochi passaggi, assicurando al contempo che gli account siano conformi alle politiche organizzative. Puoi persino aggiungere account esistenti a un nuovo ambiente AWS Control Tower. 

AWS Control Tower offre un set di funzionalità ampio e flessibile. Una caratteristica fondamentale è la sua capacità di orchestrare le funzionalità di diversi altri servizi AWS, tra cui AWS Organizations, AWS Service Catalog e IAM Identity Center, per creare una landing zone. Ad esempio, per impostazione predefinita AWS Control Tower utilizza AWS CloudFormation per stabilire una linea di base, AWS Organizations service control policy (SCP) per prevenire modifiche alla configurazione e regole AWS Config per rilevare continuamente le non conformità. AWS Control Tower utilizza blueprint che ti aiutano ad allineare rapidamente il tuo ambiente AWS multi-account ai principi di progettazione delle basi di sicurezza di AWS Well Architected. Tra le funzionalità di governance, AWS Control Tower offre barriere che impediscono la distribuzione di risorse non conformi a policy selezionate. 

Puoi iniziare a implementare le linee guida AWS SRA con AWS Control Tower. Ad esempio, AWS Control Tower stabilisce un'organizzazione AWS con l'architettura multi-account consigliata. Fornisce progetti per fornire la gestione delle identità, fornire l'accesso federato agli account, centralizzare la registrazione, stabilire controlli di sicurezza su più account, definire un flusso di lavoro per il provisioning di nuovi account e implementare le linee di base degli account con le configurazioni di rete. 

In AWS SRA, AWS Control Tower si trova all'interno dell'account Org Management perché AWS Control Tower utilizza questo account per configurare automaticamente un'organizzazione AWS e designa tale account come account di gestione. Questo account viene utilizzato per la fatturazione all'interno della tua organizzazione AWS. Viene anche utilizzato per il provisioning degli account di Account Factory, per gestire le unità organizzative e per gestire i guardrail. Se stai lanciando AWS Control Tower in un'organizzazione AWS esistente, puoi utilizzare l'account di gestione esistente. AWS Control Tower utilizzerà quell'account come account di gestione designato.

Considerazioni sulla progettazione

  • Se desideri eseguire ulteriori linee di base di controlli e configurazioni tra i tuoi account, puoi utilizzare Customizations for AWS Control Tower (cFCT). Con cFct, puoi personalizzare la tua landing zone di AWS Control Tower utilizzando un CloudFormation modello AWS e policy di controllo dei servizi (SCP). Puoi distribuire il modello e le policy personalizzati su singoli account e unità organizzative all'interno della tua organizzazione. cFct si integra con gli eventi del ciclo di vita di AWS Control Tower per garantire che le distribuzioni delle risorse rimangano sincronizzate con la landing zone. 

AWS Artifact

AWS Artifact fornisce accesso su richiesta ai report di sicurezza e conformità di AWS e ad accordi online selezionati. I report disponibili in AWS Artifact includono report SOC (System and Organization Controls), report Payment Card Industry (PCI) e certificazioni di organismi di accreditamento di diverse aree geografiche e verticali di conformità che convalidano l'implementazione e l'efficacia operativa dei controlli di sicurezza AWS. AWS Artifact ti aiuta a eseguire la due diligence di AWS con una maggiore trasparenza nel nostro ambiente di controllo della sicurezza. Inoltre, consente di monitorare continuamente la sicurezza e la conformità di AWS con accesso immediato a nuovi report. 

AWS Artifact Agreements ti consente di esaminare, accettare e monitorare lo stato degli accordi AWS come il Business Associate Addendum (BAA) per un account individuale e per gli account che fanno parte della tua organizzazione in AWS Organizations. 

Puoi fornire gli artefatti di audit di AWS ai tuoi revisori o autorità di regolamentazione come prova dei controlli di sicurezza di AWS. Puoi anche utilizzare le linee guida sulla responsabilità fornite da alcuni degli artefatti di audit di AWS per progettare la tua architettura cloud. Questa guida aiuta a determinare i controlli di sicurezza aggiuntivi che puoi mettere in atto per supportare i casi d'uso specifici del tuo sistema. 

AWS Artifacts è ospitato nell'account Org Management per fornire una posizione centrale in cui è possibile rivedere, accettare e gestire gli accordi con AWS. Questo perché gli accordi accettati nell'account di gestione confluiscono negli account dei membri. 

Considerazioni progettuali

  • Gli utenti all'interno dell'account Org Management devono essere limitati a utilizzare solo la funzionalità Agreements di AWS Artifact e nient'altro. Per implementare la separazione delle mansioni, AWS Artifact è anche ospitato nell'account Security Tooling, dove puoi delegare le autorizzazioni alle parti interessate alla conformità e ai revisori esterni per accedere agli artefatti di audit. Puoi implementare questa separazione definendo politiche di autorizzazione IAM granulari. Per esempi, consulta Esempi di politiche IAM nella documentazione AWS.

Guardrail dei servizi di sicurezza distribuiti e centralizzati

In AWS SRA, AWS Security Hub, Amazon, AWS Config GuardDuty, IAM Access Analyzer, gli itinerari organizzativi CloudTrail AWS e spesso Amazon Macie vengono distribuiti con un'amministrazione delegata o un'aggregazione appropriata all'account Security Tooling. Ciò consente una serie coerente di barriere tra gli account e fornisce anche monitoraggio, gestione e governance centralizzati in tutta l'organizzazione AWS. Troverai questo gruppo di servizi in ogni tipo di account rappresentato nell'AWS SRA. Questi dovrebbero far parte dei servizi AWS che devono essere forniti come parte del processo di onboarding e baselining dell'account. Il GitHubcode repository fornisce un esempio di implementazione dei servizi AWS incentrati sulla sicurezza nei tuoi account, incluso l'account AWS Org Management. 

Oltre a questi servizi, AWS SRA include due servizi incentrati sulla sicurezza, Amazon Detective e AWS Audit Manager, che supportano l'integrazione e la funzionalità di amministratore delegato in AWS Organizations. Tuttavia, questi non sono inclusi tra i servizi consigliati per il baselining degli account. Abbiamo visto che questi servizi vengono utilizzati al meglio nei seguenti scenari:

  • Disponi di un team o di un gruppo di risorse dedicato che svolgono tali funzioni di analisi forense digitale e audit IT. Amazon Detective viene utilizzato al meglio dai team di analisti della sicurezza e AWS Audit Manager è utile per i team di audit o conformità interni.

  • Desideri concentrarti su un set di strumenti di base come GuardDuty Security Hub all'inizio del progetto e poi sfruttarli utilizzando servizi che offrono funzionalità aggiuntive.