Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo AWS Organizations per la sicurezza
| Influenza il futuro della AWS Security Reference Architecture (AWS SRA) rispondendo a un breve sondaggio |
AWS Organizations
Con AWS Organizations, puoi utilizzare SCP e RCP per applicare barriere di autorizzazione a livello di organizzazione, unità organizzativa o account. AWS Gli SCP sono barriere che si applicano ai responsabili all'interno dell'account di un'organizzazione, ad eccezione dell'account di gestione (che è uno dei motivi per non eseguire carichi di lavoro in questo account). Quando si collega un SCP a un'unità organizzativa, l'SCP viene ereditato dalle unità organizzative secondarie e dagli account appartenenti a tale unità organizzativa. Gli SCP non concedono alcuna autorizzazione. Al contrario, specificano le autorizzazioni massime disponibili per i responsabili di un' AWS organizzazione, un'unità organizzativa o un account. È comunque necessario allegare politiche basate sull'identità o sulle risorse ai responsabili o alle risorse dell'azienda per concedere loro effettivamente le autorizzazioni. Account AWS Ad esempio, se un SCP nega l'accesso a tutto Amazon S3, un principale interessato dall'SCP non avrà accesso ad Amazon S3 anche se gli viene esplicitamente concesso l'accesso tramite una policy IAM. Per ulteriori informazioni su come vengono valutate le politiche IAM, sul ruolo degli SCP e su come l'accesso viene infine concesso o negato, consulta Logica di valutazione delle politiche nella documentazione IAM.
Gli RCP sono barriere che si applicano alle risorse all'interno degli account di un'organizzazione, indipendentemente dal fatto che le risorse appartengano alla stessa organizzazione. Come gli SCP, gli RCP non influiscono sulle risorse dell'account di gestione e non concedono alcuna autorizzazione. Quando si collega un RCP a un'unità organizzativa, l'RCP viene ereditato dalle unità organizzative secondarie e dagli account appartenenti all'unità organizzativa. Gli RCP forniscono il controllo centralizzato sulle autorizzazioni massime disponibili per le risorse dell'organizzazione e attualmente supportano un sottoinsieme di. Servizi AWSQuando progetti SCP per le tue unità organizzative, ti consigliamo di valutare le modifiche utilizzando il simulatore di policy IAM. È inoltre necessario esaminare i dati dell'ultimo accesso al servizio in IAM e utilizzarli AWS CloudTrail per registrare l'utilizzo del servizio a livello di API per comprendere il potenziale impatto delle modifiche SCP.
SCP e RCP sono controlli indipendenti. Puoi scegliere di abilitare solo SCP o RCP o utilizzare entrambi i tipi di policy insieme in base ai controlli di accesso che desideri applicare. Ad esempio, se si desidera impedire ai responsabili dell'organizzazione di accedere a risorse esterne all'organizzazione, è possibile imporre questo controllo utilizzando gli SCP. Se desideri limitare o impedire alle identità esterne di accedere alle tue risorse, imponi questo controllo utilizzando gli RCP. Per ulteriori informazioni e casi d'uso per RCP e SCP, consulta Uso di SCP e RCP nella documentazione. AWS Organizations
È possibile utilizzare le politiche AWS Organizations dichiarative per dichiarare e applicare centralmente la configurazione desiderata per un determinato aspetto su larga scala all'interno dell'organizzazione. Servizio AWS Ad esempio, puoi bloccare l'accesso pubblico a Internet alle risorse Amazon VPC in tutta l'organizzazione. A differenza delle politiche di autorizzazione come SCP e RCP, le politiche dichiarative vengono applicate nel piano di controllo di un servizio. AWS Le politiche di autorizzazione regolano l'accesso alle API, mentre le politiche dichiarative vengono applicate direttamente a livello di servizio per imporre un intento duraturo. Queste politiche aiutano a garantire che la configurazione di base di an Servizio AWS venga sempre mantenuta, anche quando il servizio introduce nuove funzionalità o API. La configurazione di base viene mantenuta anche quando vengono aggiunti nuovi account a un'organizzazione o quando vengono creati nuovi responsabili e risorse. Le politiche dichiarative possono essere applicate a un'intera organizzazione o a unità organizzative o account specifici.
Ognuno Account AWS ha un singolo utente root che dispone di autorizzazioni complete per tutte le AWS risorse per impostazione predefinita. Come best practice di sicurezza, si consiglia di non utilizzare l'utente root ad eccezione di alcune attività che richiedono esplicitamente un utente root. Se gestisci più account Account AWS AWS Organizations, puoi disabilitare centralmente l'accesso root e quindi eseguire azioni con privilegi root per conto di tutti gli account membri. Dopo aver gestito centralmente l'accesso root per gli account dei membri, puoi eliminare la password dell'utente root, le chiavi di accesso e i certificati di firma e disattivare l'autenticazione a più fattori (MFA) per gli account membro. Per impostazione predefinita, i nuovi account creati con accesso root gestito centralmente non hanno credenziali utente root. Gli account membro non possono accedere con il proprio utente root o eseguire il recupero della password per il proprio utente root.
AWS Control Tower
AWS Organizations ti aiuta a configurare Servizi AWSin modo che si applichino a tutti i tuoi account. Ad esempio, puoi configurare la registrazione centralizzata di tutte le azioni eseguite all'interno AWS dell'organizzazione utilizzando CloudTrail e impedire agli account dei membri di disabilitare la registrazione.
La configurazione predefinita AWS Organizations supporta l'utilizzo di SCP come liste di rifiuto. Utilizzando una strategia di elenco di utenti non autorizzati, gli amministratori degli account membri possono delegare tutti i servizi e le azioni fino a quando non si crea e si allega un SCP che neghi un servizio o una serie di azioni specifici. Le dichiarazioni di rifiuto richiedono meno manutenzione rispetto a un elenco consentito, perché non è necessario aggiornarle quando si aggiungono nuovi servizi. AWS Le dichiarazioni di rifiuto sono generalmente più corte nella lunghezza dei caratteri, quindi è più facile rispettare la dimensione massima per gli SCP. In un'istruzione in cui l'elemento Effect ha un valore Deny, è anche possibile limitare l'accesso a risorse specifiche o definire condizioni di attivazione delle SCP. Al contrario, una Allow dichiarazione in un SCP si applica a tutte le risorse ("*") e non può essere limitata da condizioni. Per ulteriori informazioni ed esempi, consulta Strategie per l'utilizzo di SCP nella AWS Organizations documentazione.
Considerazioni di natura progettuale
-
In alternativa, per utilizzare SCP come elenco consentito, devi sostituire l'SCP gestito da AWS con un
FullAWSAccessSCP che consenta esplicitamente solo i servizi e le azioni che desideri consentire. Affinché un'autorizzazione sia abilitata per un account specifico, ogni SCP (dalla radice a ciascuna unità organizzativa nel percorso diretto verso l'account e persino collegato all'account stesso) deve consentire tale autorizzazione. Questo modello è di natura più restrittiva e potrebbe essere adatto a carichi di lavoro altamente regolamentati e sensibili. Questo approccio richiede l'autorizzazione esplicita di ogni servizio o azione IAM nel percorso dall'unità organizzativa all'unità organizzativa Account AWS . -
Idealmente, si utilizzerebbe una combinazione di strategie di elenco di rifiuto e di elenco consentito. Utilizzate l'elenco delle autorizzazioni consentite per definire l'elenco delle autorizzazioni Servizi AWS approvate da utilizzare all'interno di un' AWS organizzazione e allegate questo SCP alla radice dell'organizzazione AWS . Se disponi di un set diverso di servizi consentiti per il tuo ambiente di sviluppo, collegherai i rispettivi SCP a ciascuna unità organizzativa. È quindi possibile utilizzare l'elenco di rifiuto per definire i guardrail aziendali negando esplicitamente azioni IAM specifiche.
-
Gli RCP si applicano alle risorse per un sottoinsieme di. Servizi AWS Per ulteriori informazioni, consulta Elenco di quelli Servizi AWS che supportano gli RCP nella documentazione. AWS Organizations La configurazione predefinita dei AWS Organizations supporti che utilizzano RCP come liste di rifiuto. Quando si abilitano gli RCP nell'organizzazione, una policy AWS gestita chiamata
RCPFullAWSAccessviene automaticamente allegata alla radice dell'organizzazione, a ogni unità organizzativa e a ogni account dell'organizzazione. Non è possibile scollegare questa politica. Questo RCP predefinito consente l'accesso a tutti i principali e alle azioni tramite la valutazione RCP. Ciò significa che finché non inizierai a creare e allegare RCP, tutte le autorizzazioni IAM esistenti continueranno a funzionare come prima. Questa policy AWS gestita non concede l'accesso. È quindi possibile creare nuovi RCP sotto forma di elenco di dichiarazioni di rifiuto per bloccare l'accesso alle risorse dell'organizzazione.