SEC02-BP02 Utilizzo di credenziali temporanee

richiedi alle identità di acquisire dinamicamente credenziali temporanee. Per le identità della forza lavoro, utilizza AWS IAM Identity Center o la federazione con ruoli AWS Identity and Access Management (IAM) per accedere a Account AWS. Per le identità di macchine, ad esempio le istanze Amazon Elastic Compute Cloud(Amazon EC2) o le funzioni AWS Lambda, è necessario utilizzare ruoli IAM anziché utenti IAM con chiavi di accesso a lungo termine.

Per le identità umane che utilizzano AWS Management Console, è necessario che gli utenti acquisiscano credenziali temporanee ed eseguano la federazione in AWS. Puoi farlo con il portale utenti AWS IAM Identity Center. Per gli utenti che richiedono l'accesso alla CLI, assicurati di utilizzare AWS CLI v2, che supporta l'integrazione diretta con IAM Identity Center. Gli utenti possono creare profili CLI collegati ad account e ruoli IAM Identity Center. La CLI recupera automaticamente le credenziali AWS da IAM Identity Center e le aggiorna per tuo conto. In questo modo non è più necessario copiare e incollare credenziali AWS temporanee dalla console IAM Identity Center. Per l'SDK, gli utenti devono fare affidamento su AWS Security Token Service (AWS STS) per acquisire ruoli per ricevere credenziali temporanee. In alcuni casi, le credenziali temporanee potrebbero non essere pratiche. È necessario conoscere i rischi che comporta l'archiviazione delle chiavi di accesso, ruotarle spesso e richiedere l'autenticazione a più fattori (MFA) come condizione quando possibile. Uso delle informazioni a cui è stato eseguito l'ultimo accesso per stabilire quando ruotare o rimuovere le chiavi di accesso.

Per i casi in cui è necessario concedere ai consumatori l'accesso alle risorse AWS, utilizza i pool di identità di Amazon Cognito e assegna loro un set di credenziali temporanee con credenziali limitate per accedere alle risorse AWS. Le autorizzazioni per ciascun utente sono controllate tramite i ruoli IAM creati. Puoi definire regole per scegliere il ruolo per ogni utente in base alle registrazioni nel token ID dell'utente. Puoi definire un ruolo predefinito per gli utenti autenticati. Puoi anche definire un ruolo IAM separato con autorizzazioni limitate per gli utenti guest non autenticati.

Per le identità di macchine, è necessario fare affidamento sui ruoli IAM per concedere l'accesso ad AWS. Per le istanze Amazon Elastic Compute Cloud(Amazon EC2), puoi utilizzare i ruoli per Amazon EC2. Puoi collegare un ruolo IAM all'istanza Amazon EC2 per consentire alle applicazioni in esecuzione su Amazon EC2 di utilizzare credenziali di sicurezza temporanee create, distribuite e fatte ruotare automaticamente da AWS tramite Instance Metadata Service (IMDS). La versione più recente di IMDS aiuta a proteggere da vulnerabilità che espongono le credenziali temporanee e devono essere implementate. Per accedere alle istanze Amazon EC2 con chiavi o password, AWS Systems Manager è un modo più sicuro per accedere e gestire le istanze utilizzando un agente preinstallato senza il segreto archiviato. Inoltre, altri servizi AWS, ad esempio AWS Lambda, consentono di configurare un ruolo del servizio IAM per concedere le autorizzazioni al servizio per eseguire operazioni AWS utilizzando credenziali temporanee. In situazioni in cui non è possibile usare credenziali temporanee, usa strumenti programmatici come AWS Secrets Manager, per automatizzare la rotazione e la gestione delle credenziali.

Verifica e ruota periodicamente le credenziali: La convalida periodica, preferibilmente tramite uno strumento automatizzato, è necessaria per verificare che vengano applicati i controlli corretti. Per le identità umane, è necessario richiedere agli utenti di modificare periodicamente le password e ritirare le chiavi di accesso a favore delle credenziali temporanee. Nella fase di passaggio da utenti IAM a identità centralizzate, puoi generare un report sulle credenziali per un audit degli utenti IAM. Ti consigliamo inoltre di monitorare le impostazioni MFA nel tuo provider di identità. È possibile configurare Regole di AWS Config per monitorare queste impostazioni. Per le identità di macchine, devi fare affidamento sulle credenziali temporanee utilizzando i ruoli IAM. Per situazioni in cui ciò non è possibile, è necessario eseguire audit frequenti e ruotare le chiavi di accesso.

Archivia e utilizza i segreti in modo sicuro: Per le credenziali non correlate a IAM e che non possono sfruttare le credenziali temporanee, ad esempio gli accessi al database, utilizza un servizio progettato per gestire i segreti, ad esempio Secrets Manager. Secrets Manager semplifica la gestione, la rotazione e l'archiviazione sicura delle chiavi segrete crittografate utilizzando i servizi supportati. Le chiamate per accedere ai segreti vengono registrate in AWS CloudTrail ai fini dell'audit e le autorizzazioni IAM possono concedere loro un accesso con privilegi minimi.

Livello di rischio associato se questa best practice non fosse adottata: Alto

Guida all'implementazione

Implementazione di policy con privilegi minimi: assegna policy di accesso con privilegi minimi a gruppi e ruoli IAM in modo da rispecchiare il ruolo o la funzione dell'utente che hai definito.
- Assegnare il privilegio minimo
Rimozione delle autorizzazioni non necessarie: implementa il privilegio minimo rimuovendo le autorizzazioni superflue.
- Riduzione dell'ambito di applicazione della policy mediante visualizzazione dell'attività dell'utente
- Visualizzazione dell'accesso al ruolo

Considerazioni sui limiti delle autorizzazioni: un limite delle autorizzazioni è una caratteristica avanzata per utilizzare una policy gestita che imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM. Il limite delle autorizzazioni di un'entità le permette di eseguire solo le operazioni consentite dalle policy basate su identità e dai limiti delle autorizzazioni.
- Laboratorio: limiti delle autorizzazioni IAM per delegare la creazione di ruoli
Tag di risorse per le autorizzazioni: puoi utilizzare i tag per controllare l'accesso alle risorse AWS che supportano il tagging. Puoi anche applicare tag a utenti e ruoli IAM per controllare a cosa possono accedere.
- Laboratorio: controllo degli accessi basato su tag IAM per EC2
- Controllo dell'accesso basato su attributi (Attribute-Based Access Control, ABAC)

Risorse

Documenti correlati:

Video correlati:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC02-BP01 Utilizzo meccanismi di accesso efficaci

SEC02-BP03 Archiviazione e utilizzo dei segreti in modo sicuro