Conta de gerenciamento da organização - AWS Orientação prescritiva
Políticas de controle de serviçoIAMCentro de IdentidadeIAMconsultor de acessoAWS Systems ManagerAWS Control TowerAWS Artifact Guardrails de serviços de segurança distribuídos e centralizados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conta de gerenciamento da organização

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWS SRA) respondendo a uma breve pesquisa.

O diagrama a seguir ilustra os serviços AWS de segurança configurados na conta de gerenciamento da organização.

Serviços de segurança para a conta de gerenciamento de organizações

As seções Usando AWS Organizações para segurança e A conta de gerenciamento, acesso confiável e administradores delegados anteriormente neste guia discutiram detalhadamente a finalidade e os objetivos de segurança da conta de gerenciamento de organizações. Siga as melhores práticas de segurança para sua conta de gerenciamento de organizações. Isso inclui usar um endereço de e-mail gerenciado pela sua empresa, manter as informações de contato administrativas e de segurança corretas (como anexar um número de telefone à conta no caso de AWS precisar entrar em contato com o proprietário da conta), ativar a autenticação multifator (MFA) para todos os usuários e revisar regularmente quem tem acesso à conta de gerenciamento da organização. Os serviços implantados na conta de gerenciamento da organização devem ser configurados com funções, políticas de confiança e outras permissões apropriadas para que os administradores desses serviços (que devem acessá-los na conta de gerenciamento da organização) também não possam acessar outros serviços de forma inadequada.

Políticas de controle de serviço

Com o AWSOrganizations, você pode gerenciar centralmente as políticas em várias AWS contas. Por exemplo, você pode aplicar políticas de controle de serviço (SCPs) em várias AWS contas que são membros de uma organização. SCPspermitem que você defina qual AWS serviço APIs pode e não pode ser executado pelas entidades AWSIdentity and Access Management (IAM) (como IAM usuários e funções) nas AWS contas dos membros da sua organização. SCPssão criados e aplicados a partir da conta de gerenciamento da organização, que é a AWS conta que você usou ao criar sua organização. Leia mais sobre isso SCPs na seção Using AWS Organizations for security anteriormente nesta referência. 

Se você usar o AWS Control Tower para gerenciar sua AWS organização, ele implantará um conjunto de SCPs proteções preventivas (categorizadas como obrigatórias, altamente recomendadas ou eletivas). Essas grades de proteção ajudam você a controlar seus recursos aplicando controles de segurança em toda a organização. Eles usam SCPs automaticamente uma aws-control-tower tag que tem um valor de managed-by-control-tower. 

Considerações sobre design

  • SCPsafetam somente as contas dos membros na AWS organização. Embora sejam aplicados a partir da conta de gerenciamento da organização, eles não têm efeito sobre os usuários ou as funções dessa conta. Para saber como a lógica de SCP avaliação funciona e ver exemplos de estruturas recomendadas, consulte a postagem do AWS blog Como usar políticas de controle de serviços em AWS organizações.

IAMCentro de Identidade

AWSIAMO Identity Center (sucessor do AWS Single Sign-On) é um serviço de federação de identidades que ajuda você a gerenciar centralmente o SSO acesso a todas as suas AWS contas, diretores e cargas de trabalho na nuvem. IAM O Identity Center também ajuda você a gerenciar o acesso e as permissões aos aplicativos de software como serviço (SaaS) de terceiros comumente usados. Os provedores de identidade se integram ao IAM Identity Center usando SAML 2.0. O just-in-time provisionamento em massa e o provisionamento podem ser feitos usando o Sistema de Gerenciamento de Identidades entre Domínios (). SCIM IAM O Identity Center também pode se integrar a domínios locais ou AWS gerenciados do Microsoft Active Directory (AD) como um provedor de identidade por meio do uso do Directory ServiceAWS. IAM O Identity Center inclui um portal de usuário onde seus usuários finais podem encontrar e acessar suas AWS contas, funções, aplicativos em nuvem e aplicativos personalizados atribuídos em um só lugar.

IAMO Identity Center se integra nativamente ao AWS Organizations e é executado na conta de gerenciamento de organizações por padrão. No entanto, para exercer o mínimo de privilégios e controlar rigorosamente o acesso à conta de gerenciamento, a administração do IAM Identity Center pode ser delegada a uma conta de membro específica. No AWSSRA, a conta do Shared Services é a conta de administrador delegado do IAM Identity Center. Antes de habilitar a administração delegada para o IAM Identity Center, analise essas considerações. Você encontrará mais informações sobre delegação na seção Conta do Shared Services. Mesmo depois de habilitar a delegação, o IAM Identity Center ainda precisa ser executado na conta de Gerenciamento da Organização para realizar determinadas tarefas relacionadas ao IAM Identity Center, que incluem o gerenciamento de conjuntos de permissões que são provisionados na conta do Gerenciamento da Organização. 

No console do IAM Identity Center, as contas são exibidas por sua OU encapsuladora. Isso permite que você descubra rapidamente suas AWS contas, aplique conjuntos comuns de permissões e gerencie o acesso a partir de um local central. 

IAMO Identity Center inclui um repositório de identidades onde informações específicas do usuário devem ser armazenadas. No entanto, o IAM Identity Center não precisa ser a fonte autorizada de informações sobre a força de trabalho. Nos casos em que sua empresa já tem uma fonte autorizada, o IAM Identity Center oferece suporte aos seguintes tipos de provedores de identidade ()IdPs.

  • IAMIdentity Center Identity Store — Escolha essa opção se as duas opções a seguir não estiverem disponíveis. Os usuários são criados, as atribuições de grupos são feitas e as permissões são atribuídas no repositório de identidades. Mesmo que sua fonte autorizada seja externa ao IAM Identity Center, uma cópia dos atributos principais será armazenada no repositório de identidades.

  • Microsoft Active Directory (AD) — Escolha essa opção se quiser continuar gerenciando usuários em seu diretório no Directory Service for Microsoft AWS Active Directory ou em seu diretório autogerenciado no Active Directory.

  • Provedor de identidade externo — Escolha essa opção se você preferir gerenciar usuários em um IdP externo SAML baseado em terceiros.

Você pode confiar em um IdP existente que já esteja em vigor na sua empresa. Isso facilita o gerenciamento do acesso em vários aplicativos e serviços, porque você está criando, gerenciando e revogando o acesso em um único local. Por exemplo, se alguém deixar sua equipe, você poderá revogar o acesso dessa pessoa a todos os aplicativos e serviços (incluindo AWS contas) em um único local. Isso reduz a necessidade de várias credenciais e oferece a oportunidade de integração com seus processos de recursos humanos (RH).

Considerações sobre design

  • Use um IdP externo se essa opção estiver disponível para sua empresa. Se o seu IdP suportar o System for Cross-Domain Identity Management (SCIM), aproveite o SCIM recurso do IAM Identity Center para automatizar o provisionamento (sincronização) de usuários, grupos e permissões. Isso permite que o AWS acesso permaneça sincronizado com seu fluxo de trabalho corporativo para novos contratados, funcionários que estão mudando para outra equipe e funcionários que estão deixando a empresa. A qualquer momento, você pode ter somente um diretório ou um provedor de identidade SAML 2.0 conectado ao IAM Identity Center. No entanto, você pode mudar para outro provedor de identidade.

IAMconsultor de acesso

IAMO consultor de acesso fornece dados de rastreabilidade na forma de informações do último acesso do serviço para suas AWS contas e. OUs Use esse controle de detetive para contribuir com uma estratégia de privilégios mínimos. Para IAM entidades, você pode visualizar dois tipos de informações do último acesso: informações sobre AWS serviços permitidos e informações sobre ações permitidas. As informações incluem a data e a hora em que a tentativa foi feita. 

IAMo acesso na conta de gerenciamento da organização permite que você visualize os dados do último acesso do serviço para a conta de gerenciamento da organização, OU, conta do membro ou IAM política em sua AWS organização. Essas informações estão disponíveis no IAM console da conta de gerenciamento e também podem ser obtidas programaticamente usando o consultor de IAM acesso APIs na interface de linha de AWS comando (AWSCLI) ou um cliente programático. As informações indicam quais entidades principais de uma organização ou conta tentaram acessar o serviço pela última vez e quando. As informações do último acesso fornecem uma visão do uso real do serviço (veja exemplos de cenários), para que você possa reduzir IAM as permissões somente para os serviços que são realmente usados.

AWS Systems Manager

O Quick Setup e o Explorer, que são recursos do AWSSystems Manager, oferecem suporte a AWS Organizations e operam a partir da conta de gerenciamento de organizações. 

O Quick Setup é um recurso de automação do Systems Manager. Ele permite que a conta de gerenciamento da organização defina facilmente as configurações para que o Systems Manager interaja em seu nome em todas as contas AWS da sua organização. Você pode ativar a Configuração rápida em toda a AWS organização ou escolher uma opção específicaOUs. O Quick Setup pode programar o AWS Systems Manager SSM Agent (Agent) para executar atualizações quinzenais em suas EC2 instâncias e pode configurar uma verificação diária dessas instâncias para identificar os patches ausentes. 

O Explorer é um painel de operações personalizável que relata informações sobre seus AWS recursos. O Explorer exibe uma visão agregada dos dados operacionais de suas AWS contas e de todas AWS as regiões. Isso inclui dados sobre suas EC2 instâncias e detalhes de conformidade de patches. Depois de concluir a Configuração Integrada (que também inclui o Systems Manager OpsCenter) em AWS Organizations, você pode agregar dados no Explorer by OU para uma AWS organização inteira. O Systems Manager agrega os dados na conta de gerenciamento da AWS organização antes de exibi-los no Explorer.

A seção Workloads OU, mais adiante neste guia, discute o uso do Systems Manager Agent (SSMAgente) nas EC2 instâncias da conta do aplicativo.

AWS Control Tower

AWSO Control Tower fornece uma maneira simples de configurar e administrar um AWS ambiente seguro com várias contas, chamado de landing zone. AWS A Control Tower cria sua landing zone usando AWS Organizations e fornece gerenciamento e governança contínuos da conta, bem como as melhores práticas de implementação. Você pode usar o AWS Control Tower para provisionar novas contas em algumas etapas e, ao mesmo tempo, garantir que as contas estejam em conformidade com suas políticas organizacionais. Você pode até mesmo adicionar contas existentes a um novo ambiente AWS Control Tower. 

AWSO Control Tower tem um conjunto amplo e flexível de recursos. Um recurso importante é a capacidade de orquestrar os recursos de vários outros AWSserviços, incluindo AWS Organizations, AWS Service Catalog e IAM Identity Center, para criar uma landing zone. Por exemplo, por padrão, o AWS Control Tower usa AWS CloudFormation para estabelecer uma linha de base, AWS as políticas de controle de serviços da Organizations (SCPs) para evitar alterações na configuração e as regras do AWS Config para detectar continuamente a não conformidade. AWS A Control Tower emprega plantas que ajudam você a alinhar rapidamente seu AWS ambiente de várias contas aos princípios de design da base de segurança da AWSWell Architected. Entre os recursos de governança, o AWS Control Tower oferece proteções que impedem a implantação de recursos que não estejam em conformidade com as políticas selecionadas. 

Você pode começar a implementar a AWS SRA orientação com a AWS Control Tower. Por exemplo, a AWS Control Tower estabelece uma AWS organização com a arquitetura de várias contas recomendada. Ele fornece planos para fornecer gerenciamento de identidade, fornecer acesso federado às contas, centralizar o registro, estabelecer auditorias de segurança entre contas, definir um fluxo de trabalho para provisionar novas contas e implementar linhas de base de contas com configurações de rede. 

No AWSSRA, a AWS Control Tower está dentro da conta de gerenciamento da organização porque a AWS Control Tower usa essa conta para configurar uma AWS organização automaticamente e designa essa conta como a conta de gerenciamento. Essa conta é usada para cobrança em toda a sua AWS organização. Também é usado para o provisionamento de contas do Account Factory, para gerenciar OUs e gerenciar grades de proteção. Se você estiver lançando AWS o Control Tower em uma AWS organização existente, poderá usar a conta de gerenciamento existente. AWS A Control Tower usará essa conta como a conta de gerenciamento designada.

Considerações sobre design

  • Se você quiser criar uma linha de base adicional de controles e configurações em suas contas, você pode usar Customizations for AWS Control Tower (cFct). Com o CFct, você pode personalizar sua zona de pouso do AWS Control Tower usando um AWS CloudFormation modelo e políticas de controle de serviço (SCPs). Você pode implantar o modelo e as políticas personalizados em contas individuais e OUs dentro da sua organização. O cFct se integra aos eventos do ciclo de vida do AWS Control Tower para garantir que as implantações de recursos permaneçam sincronizadas com sua landing zone. 

AWS Artifact

AWSO Artifact fornece acesso sob demanda a relatórios de AWS segurança e conformidade e a contratos on-line selecionados. Os relatórios disponíveis no AWS Artifact incluem relatórios de Controles de Sistema e Organização (SOC), relatórios do Setor de Cartões de Pagamento (PCI) e certificações de órgãos de credenciamento de várias regiões e setores de conformidade que validam a implementação e a eficácia operacional dos controles de segurança. AWS AWS O Artifact ajuda você a realizar sua devida diligência AWS com maior transparência em nosso ambiente de controle de segurança. Também permite monitorar continuamente a segurança e a conformidade AWS com o acesso imediato a novos relatórios. 

AWSOs Artifact Agreements permitem que você revise, aceite e acompanhe o status de AWS contratos, como o Adendo de Associado Comercial (BAA) para uma conta individual e para as contas que fazem parte de sua organização em Organizations. AWS 

Você pode fornecer os artefatos de AWS auditoria aos seus auditores ou reguladores como evidência dos controles de AWS segurança. Você também pode usar a orientação de responsabilidade fornecida por alguns dos artefatos de AWS auditoria para projetar sua arquitetura de nuvem. Essa orientação ajuda a determinar os controles de segurança adicionais que você pode implementar para dar suporte aos casos de uso específicos do seu sistema. 

AWSO Artifacts é hospedado na conta de gerenciamento da organização para fornecer um local central onde você pode revisar, aceitar e gerenciar contratos comAWS. Isso ocorre porque os contratos aceitos na conta de gerenciamento fluem para as contas dos membros. 

Considerações sobre design

  • Os usuários da conta de gerenciamento da organização devem se restringir a usar somente o recurso Acordos do AWS Artifact e nada mais. Para implementar a segregação de funções, o AWS Artifact também é hospedado na conta do Security Tooling, onde você pode delegar permissões às partes interessadas em conformidade e aos auditores externos para acessar os artefatos de auditoria. Você pode implementar essa separação definindo políticas de permissão refinadasIAM. Para ver exemplos, consulte Exemplos de IAM políticas na AWS documentação.

Guardrails de serviços de segurança distribuídos e centralizados

No AWSSRA, o AWS Security Hub, o Amazon GuardDuty, o AWS Config, o IAM Access Analyzer, as trilhas AWS CloudTrail da organização e, frequentemente, o Amazon Macie são implantados com administração delegada ou agregação apropriada à conta do Security Tooling. Isso permite um conjunto consistente de barreiras em todas as contas e também fornece monitoramento, gerenciamento e governança centralizados em toda a organização. AWS Você encontrará esse grupo de serviços em cada tipo de conta representada no AWSSRA. Eles devem fazer parte dos AWS serviços que devem ser provisionados como parte do processo básico e de integração de sua conta. O repositório de GitHub código fornece um exemplo de implementação de serviços AWS focados na segurança em suas contas, incluindo a conta de gerenciamento da organização. AWS 

Além desses serviços, AWS SRA inclui dois serviços focados em segurança, o Amazon Detective e o Audit AWS Manager, que oferecem suporte à integração e à funcionalidade de administrador delegado no Organizations. AWS No entanto, eles não estão incluídos como parte dos serviços recomendados para a definição de base da conta. Vimos que esses serviços são melhor usados nos seguintes cenários:

  • Você tem uma equipe dedicada ou um grupo de recursos que executam essas funções forenses digitais e de auditoria de TI. O Amazon Detective é melhor utilizado pelas equipes de analistas de segurança, e o AWS Audit Manager é útil para suas equipes internas de auditoria ou conformidade.

  • Você quer se concentrar em um conjunto básico de ferramentas, como GuardDuty o Security Hub, no início do projeto e, em seguida, desenvolvê-las usando serviços que fornecem recursos adicionais.