Utilizzo di AWS Organizations per la sicurezza - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di AWS Organizations per la sicurezza

Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio.

AWSOrganizations ti aiuta a gestire e governare centralmente il tuo ambiente man mano che cresci e scalerai AWS le tue risorse. Utilizzando AWS Organizations, puoi creare nuovi AWS account in modo programmatico, allocare risorse, raggruppare account per organizzare i carichi di lavoro e applicare politiche agli account o ai gruppi di account per la governance. Un'AWSorganizzazione consolida AWS gli account in modo da poterli amministrare come un'unica unità. Ha un account di gestione oltre a zero o più account membri. La maggior parte dei carichi di lavoro risiede negli account dei membri, ad eccezione di alcuni processi gestiti centralmente che devono risiedere nell'account di gestione o negli account assegnati come amministratori delegati per servizi specifici. AWS Puoi fornire strumenti e accesso da una posizione centrale al tuo team di sicurezza per gestire le esigenze di sicurezza per conto di un'organizzazione. AWS È possibile ridurre la duplicazione delle risorse condividendo le risorse critiche all'interno AWS dell'organizzazione. Puoi raggruppare gli account in unità AWS organizzative (OUs), che possono rappresentare ambienti diversi in base ai requisiti e allo scopo del carico di lavoro.

Con AWS Organizations, puoi utilizzare le policy di controllo del servizio (SCPs) per applicare barriere di autorizzazione a livello di AWS organizzazione, unità organizzativa o account. Questi guardrail si applicano ai responsabili all'interno dell'account di un'organizzazione, ad eccezione dell'account di gestione (che è uno dei motivi per non eseguire carichi di lavoro in questo account). Quando si collega un'unità organizzativa SCP a un'unità organizzativa, questa viene ereditata dal figlio OUs e dagli account dell'unità organizzativa. SCPsnon concedete alcuna autorizzazione. SCPsSpecificate invece le autorizzazioni massime per un'AWSorganizzazione, un'unità organizzativa o un account. È comunque necessario allegare politiche basate sull'identità o sulle risorse ai responsabili o alle risorse dei propri AWS account per concedere loro effettivamente le autorizzazioni. Ad esempio, se un utente SCP nega l'accesso a tutto Amazon S3, SCP il principale interessato non avrà accesso ad Amazon S3 anche se gli viene esplicitamente concesso l'accesso tramite una policy. IAM Per informazioni dettagliate su come vengono valutate IAM le politiche, sul ruolo e su come l'accesso viene infine concesso o negatoSCPs, consulta la logica di valutazione delle politiche nella documentazione. IAM 

AWSControl Tower offre un modo semplificato per configurare e gestire più account. Automatizza la configurazione degli account nell'AWSorganizzazione, automatizza il provisioning, applica barriere (che includono controlli preventivi e investigativi) e fornisce una dashboard per la visibilità. Una politica di IAM gestione aggiuntiva, un limite di autorizzazioni, è associata a IAM entità specifiche (utenti o ruoli) e stabilisce le autorizzazioni massime che una politica basata sull'identità può concedere a un'entità. IAM

AWSOrganizations ti aiuta a configurare AWSservizi che si applicano a tutti i tuoi account. Ad esempio, puoi configurare la registrazione centralizzata di tutte le azioni eseguite all'interno AWS dell'organizzazione utilizzando AWS CloudTraile impedendo agli account dei membri di disabilitare la registrazione. Puoi anche aggregare centralmente i dati per le regole che hai definito utilizzando AWSConfig, in modo da controllare la conformità dei carichi di lavoro e reagire rapidamente ai cambiamenti. Puoi utilizzarli AWS CloudFormation StackSetsper gestire centralmente gli AWS CloudFormation stack tra gli account e all'interno AWS dell'organizzazione, OUs in modo da poter fornire automaticamente un nuovo account per soddisfare i tuoi requisiti di sicurezza. 

La configurazione predefinita di AWS Organizations supporta l'utilizzo SCPs come liste di rifiuto. Utilizzando una strategia basata su una lista negata, gli amministratori degli account membri possono delegare tutti i servizi e le azioni fino a quando non si crea e si allega una strategia SCP che nega un servizio o una serie di azioni specifici. Le dichiarazioni di rifiuto richiedono meno manutenzione rispetto a un elenco consentito, perché non è necessario aggiornarle quando si aggiungono nuovi servizi. AWS Le istruzioni Deny sono generalmente più corte nella lunghezza dei caratteri, quindi è più facile rispettare la dimensione massima per. SCPs In un'istruzione in cui l'Effect elemento ha un valore diDeny, è inoltre possibile limitare l'accesso a risorse specifiche o definire le condizioni relative all'entrata SCPs in vigore. Al contrario, un'istruzione Allow in un SCP si applica a tutte le risorse ("*") e non può essere limitata da condizioni. Per ulteriori informazioni ed esempi, vedere Strategie per l'utilizzo SCPs nella documentazione di AWS Organizations.

Considerazioni di natura progettuale

  • In alternativa, per utilizzarlo SCPs come elenco consentito, è necessario sostituire quello AWS gestito FullAWSAccess SCP con uno SCP che consenta esplicitamente solo i servizi e le azioni che si desidera consentire. Affinché un'autorizzazione sia abilitata per un account specifico, tutte le unità organizzative SCP (dalla radice a ciascuna unità organizzativa nel percorso diretto verso l'account e anche quelle collegate all'account stesso) devono consentire tale autorizzazione. Questo modello è di natura più restrittiva e potrebbe essere adatto a carichi di lavoro altamente regolamentati e sensibili. Questo approccio richiede l'autorizzazione esplicita di ogni IAM servizio o azione nel percorso dall'AWSaccount all'unità organizzativa.

  • Idealmente, si utilizzerebbe una combinazione di strategie di elenco negato e elenco consentito. Utilizzate l'elenco dei servizi consentiti per definire l'elenco dei AWS servizi consentiti approvati per l'uso all'interno di un'AWSorganizzazione e SCP allegatelo alla radice dell'AWSorganizzazione. Se disponi di un set diverso di servizi consentiti per il tuo ambiente di sviluppo, devi allegare il rispettivo SCPs a ciascuna unità organizzativa. È quindi possibile utilizzare l'elenco di rifiuto per definire i guardrail aziendali negando esplicitamente azioni specifiche. IAM