SEC02-BP05 Verifica e rotazione periodica delle credenziali

Quando non puoi fare affidamento sulle credenziali temporanee e devi richiedere credenziali a lungo termine, verificale per assicurarti che siano applicati i controlli prestabiliti (ad esempio, la MFA), siano soggette regolarmente a rotazione e dispongano di un livello di accesso appropriato. La convalida periodica, preferibilmente tramite uno strumento automatizzato, è necessaria per verificare che vengano applicati i controlli corretti. Per le identità umane, è necessario richiedere agli utenti di modificare periodicamente le password e ritirare le chiavi di accesso a favore delle credenziali temporanee. Nella fase di passaggio da utenti AWS Identity and Access Management (IAM) a identità centralizzate, puoi generare un report sulle credenziali per un audit degli utenti IAM. Ti consigliamo inoltre di monitorare le impostazioni MFA nel tuo provider di identità. È possibile configurare Regole di AWS Config per monitorare queste impostazioni. Per le identità di macchine, devi fare affidamento sulle credenziali temporanee utilizzando i ruoli IAM. Per situazioni in cui ciò non è possibile, è necessario eseguire audit frequenti e ruotare le chiavi di accesso.

Livello di rischio associato se questa best practice non fosse adottata: Medio

Guida all'implementazione

Esegui una verifica regolare delle credenziali: usa report di credenziali e Identify and Access Management (IAM) Access Analyzer per verificare le credenziali e le autorizzazioni IAM.
Usa i livelli di accesso per verificare le autorizzazioni IAM: per migliorare la sicurezza dell'account Account AWS, rivedi e monitora regolarmente ciascuna delle policy IAM, assicurandoti che concedano il privilegio minimo necessario per eseguire solo le operazioni indispensabili.
- Utilizzo di livelli di accesso per rivedere le autorizzazioni IAM

Prendi in considerazione l'automazione della creazione e degli aggiornamenti delle risorse IAM: AWS CloudFormation può essere utilizzato per automatizzare la distribuzione di risorse IAM, inclusi ruoli e policy, per ridurre gli errori umani, perché i modelli possono essere verificati e controllati a livello di versione.
- Laboratorio: Distribuzione automatizzata di gruppi e ruoli IAM

Risorse

Documenti correlati:

Video correlati:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC02-BP04 Fai affidamento su un provider di identità centralizzato

SEC02-BP06 Utilizzo dei gruppi di utenti e degli attributi