Usando o AWS Organizations para segurança - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando o AWS Organizations para segurança

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWSSRA) respondendo a uma breve pesquisa.

O AWS Organizations ajuda você a gerenciar e governar centralmente seu ambiente à medida que você cresce e escala seus recursos da AWS. Ao usar o AWS Organizations, você pode criar programaticamente novas contas da AWS, alocar recursos, agrupar contas para organizar suas cargas de trabalho e aplicar políticas a contas ou grupos de contas para fins de governança. Uma organização da AWS consolida suas contas da AWS para que você possa administrá-las como uma única unidade. Ele tem uma conta de gerenciamento junto com zero ou mais contas de membros. A maioria das suas cargas de trabalho reside em contas de membros, exceto alguns processos gerenciados centralmente que devem residir na conta de gerenciamento ou em contas designadas como administradores delegados para serviços específicos da AWS. Você pode fornecer ferramentas e acesso a partir de um local central para que sua equipe de segurança gerencie as necessidades de segurança em nome de uma organização da AWS. Você pode reduzir a duplicação de recursos compartilhando recursos essenciais em sua organização da AWS. Você pode agrupar contas em unidades organizacionais (OUs) da AWS, que podem representar ambientes diferentes com base nos requisitos e na finalidade da carga de trabalho.

Com o AWS Organizations, você pode usar políticas de controle de serviços (SCPs) para aplicar barreiras de permissão no nível da organização, da OU ou da conta da AWS. Essas proteções se aplicam aos diretores na conta de uma organização, com exceção da conta de gerenciamento (que é um dos motivos para não executar cargas de trabalho nessa conta). Quando você anexa um SCP a uma OU, ele é herdado pelas OUs secundárias e pelas contas da OU. Os SCPs não concedem nenhuma permissão. Em vez disso, os SCPs especificam as permissões máximas para uma organização, OU ou conta da AWS. Você ainda precisa anexar políticas baseadas em identidade ou em recursos aos diretores ou recursos em suas contas da AWS para realmente conceder permissões a eles. Por exemplo, se um SCP negar acesso a todo o Amazon S3, um principal afetado pelo SCP não terá acesso ao Amazon S3, mesmo que tenha acesso explícito por meio de uma política do IAM. Para obter informações detalhadas sobre como as políticas do IAM são avaliadas, o papel dos SCPs e como o acesso é finalmente concedido ou negado, consulte a lógica de avaliação de políticas na documentação do IAM. 

O AWS Control Tower oferece uma forma simplificada de configurar e administrar várias contas. Ele automatiza a configuração de contas em sua organização da AWS, automatiza o provisionamento, aplica grades de proteção (que incluem controles preventivos e de detetive) e fornece um painel para visibilidade. Uma política adicional de gerenciamento do IAM, um limite de permissões, é anexada a entidades específicas do IAM (usuários ou funções) e define as permissões máximas que uma política baseada em identidade pode conceder a uma entidade do IAM.

O AWS Organizations ajuda você a configurar os serviços da AWS que se aplicam a todas as suas contas. Por exemplo, você pode configurar o registro central de todas as ações realizadas em toda a sua organização da AWS usando a AWS CloudTrail e impedir que as contas dos membros desativem o registro. Você também pode agregar centralmente dados para regras que você definiu usando o AWS Config, para que você possa auditar suas cargas de trabalho para verificar a conformidade e reagir rapidamente às mudanças. Você pode usar CloudFormation StackSets a AWS para gerenciar centralmente as CloudFormation pilhas da AWS entre contas e OUs em sua organização da AWS, para que você possa provisionar automaticamente uma nova conta para atender aos seus requisitos de segurança. 

A configuração padrão do AWS Organizations oferece suporte ao uso de SCPs como listas de negação. Usando uma estratégia de lista de negação, os administradores de contas de membros podem delegar todos os serviços e ações até que você crie e anexe um SCP que negue um serviço específico ou um conjunto de ações. As declarações de negação exigem menos manutenção do que uma lista de permissões, porque você não precisa atualizá-las quando a AWS adiciona novos serviços. As declarações de negação geralmente têm caracteres mais curtos, então é mais fácil permanecer dentro do tamanho máximo para SCPs. Em uma declaração em que o elemento Effect tem um valor de Deny, você também pode restringir o acesso a recursos específicos ou definir condições para quando as SCPs estão em vigor. Por outro lado, uma instrução Permitir em um SCP se aplica a todos os recursos ("*") e não pode ser restringida por condições. Para obter mais informações e exemplos, consulte Estratégias para usar SCPs na documentação do AWS Organizations.

Considerações sobre design

  • Como alternativa, para usar SCPs como uma lista de permissões, você deve substituir o FullAWSAccess SCP gerenciado pela AWS por um SCP que permita explicitamente somente os serviços e ações que você deseja permitir. Para que uma permissão seja habilitada para uma conta específica, cada SCP (da raiz até cada OU no caminho direto para a conta e até mesmo anexado à própria conta) deve permitir essa permissão. Esse modelo é mais restritivo por natureza e pode ser adequado para cargas de trabalho altamente regulamentadas e sensíveis. Essa abordagem exige que você permita explicitamente cada serviço ou ação do IAM no caminho da conta da AWS até a OU.

  • Idealmente, você usaria uma combinação de estratégias de lista de negação e lista de permissões. Use a lista de permissões para definir a lista de serviços permitidos da AWS aprovados para uso em uma organização da AWS e anexe esse SCP na raiz da sua organização da AWS. Se você tiver um conjunto diferente de serviços permitidos de acordo com seu ambiente de desenvolvimento, você anexaria os respectivos SCPs em cada UO. Em seguida, você pode usar a lista de negação para definir proteções corporativas negando explicitamente ações específicas do IAM.