SEC02-BP04 Fai affidamento su un provider di identità centralizzato
Per le identità della forza lavoro, affidati a un provider di identità che ti consenta di gestire le identità in un luogo centralizzato. In questo modo è più semplice gestire l'accesso tra più applicazioni e servizi, perché crei, gestisci e revochi l'accesso da una singola posizione. Ad esempio, se qualcuno lascia la tua organizzazione, puoi revocare l'accesso per tutte le applicazioni e i servizi (incluso AWS) da un'unica posizione. Ciò riduce la necessità di molteplici credenziali e offre l'opportunità di integrarsi con i processi delle risorse umane esistenti.
Per la federazione con singoli account AWS, puoi utilizzare identità centralizzate per AWS con un provider basato su SAML 2.0 con AWS Identity and Access Management. Puoi utilizzare qualsiasi provider: in hosting su AWS, esterno ad AWS o fornito dalla AWS Partner, compatibile con il protocollo SAML 2.0 . Puoi utilizzare la federazione tra l'account AWS e il provider scelto per concedere a un utente o a un'applicazione l'accesso per chiamare le operazioni API AWS utilizzando un'asserzione SAML per ottenere le credenziali di sicurezza temporanee. È, inoltre, supportato il Single Sign-On basato sul Web, che consente agli utenti di accedere alla AWS Management Console dal portale di accesso.
Per la federazione a più account in AWS Organizations, puoi configurare l'origine di identità in AWS IAM Identity Center (IAM Identity Center)
IAM Identity Center si integra con AWS Organizations consentendoti di configurare il provider di identità una volta e quindi concedere l'accesso agli account nuovi e esistenti gestiti nella tua organizzazione. IAM Identity Center fornisce uno store predefinito che puoi utilizzare per gestire utenti e gruppi. Se scegli di utilizzare lo store IAM Identity Center, crea utenti e gruppi e assegna il loro livello di accesso agli account e alle applicazioni AWS, tenendo presente la best practice del privilegio minimo. In alternativa, puoi scegliere di connetterti al provider di identità esterno utilizzando SAML 2.0 o connetterti a Microsoft AD Directory utilizzando AWS Directory Service. Una volta configurate, puoi accedere alla AWS Management Console o all'app mobile AWS, eseguendo l'autenticazione tramite il tuo provider di identità centrale.
Per gestire gli utenti finali o i consumatori dei tuoi carichi di lavoro, ad esempio un'app per dispositivi mobili, puoi utilizzare
Amazon Cognito
Livello di rischio associato se questa best practice non fosse adottata: Alto
Guida all'implementazione
-
Centralizzazione dell'accesso amministrativo: crea un'entità di gestore dell'identità digitale Identity and Access Management (IAM) per stabilire una relazione consolidata tra l'Account AWS e il gestore dell'identità digitale (IdP). IAM supporta gli IdP compatibili con OpenID Connect (OIDC) o SAML 2.0 (Security Assertion Markup Language 2.0).
-
Centralizzazione dell'accesso alle applicazioni: considera Amazon Cognito per centralizzare l'accesso alle applicazioni. Si tratta di un servizio che consente di aggiungere il controllo di registrazione e accessi alle tue app Web e per dispositivi mobili in modo rapido e semplice. Amazon Cognito
ricalibra le risorse per milioni di utenti e supporta l'accesso con gestori di identità social, come Facebook, Google e Amazon, e gestori di identità aziendali attraverso SAML 2.0.
-
Rimozione di gruppi e utenti IAM obsoleti: dopo avere cominciato a utilizzare un gestore dell'identità digitale (IdP), rimuovi gli utenti e i gruppi IAM non più necessari.
Risorse
Documenti correlati:
Video correlati:
