Melhores práticas de segurança do Systems Manager

Ao conceder permissões, você decide quem receberá quais permissões para quais recursos do Systems Manager. Você permite ações específicas que quer permitir nesses recursos. Portanto, você deve conceder somente as permissões necessárias para executar uma tarefa. A implementação do privilégio de acesso mínimo é fundamental para reduzir o risco de segurança e o impacto que pode resultar de erros ou usuários mal-intencionados.

As ferramentas a seguir estão disponíveis para implementar o acesso de privilégio mínimo:

Se você configurar o SSM Agent para usar um proxy, use a variável no_proxy com o endereço IP do serviço de metadados da instância do Systems Manager para garantir que as chamadas para o Systems Manager não assumam a identidade do serviço de proxy.

Para ter mais informações, consulte Configurar o SSM Agent para usar um proxy em nós do Linux e Configurar o SSM Agent para usar um proxy para instâncias do Windows Server.

Em Parameter Store, um recurso do AWS Systems Manager, um parâmetro SecureString representa quaisquer dados sigilosos que precisem ser armazenados e referenciados com segurança. Se você tiver dados que não deseja que os usuários alterem ou façam referência em texto simples, como senhas ou chaves de licença, crie esses parâmetros usando o tipo de dados SecureString. O Parameter Store usa uma AWS KMS key no AWS Key Management Service (AWS KMS) para criptografar o valor do parâmetro. O AWS KMS usa uma chave gerenciada pelo cliente ou uma Chave gerenciada pela AWS ao criptografar o valor do parâmetro. Para segurança máxima, recomendamos usar sua própria chave do KMS. Se você usar a Chave gerenciada pela AWS, qualquer usuário com permissão para executar as ações GetParameter e GetParameters em sua conta poderá visualizar ou recuperar o conteúdo de todos os parâmetros SecureString. Se você estiver usando chaves gerenciadas pelo cliente para criptografar seus valores SecureString de segurança, será possível usar políticas de chave e políticas do IAM para gerenciar permissões para criptografar e descriptografar parâmetros.

É mais difícil estabelecer políticas de controle de acesso para essas operações ao usar uma Chave gerenciada pela AWS. Por exemplo, se você usar uma Chave gerenciada pela AWS para criptografar parâmetros SecureString e não quiser que os usuários trabalhem com parâmetros SecureString, as políticas do IAM dos usuários devem negar explicitamente o acesso à chave padrão.

Para obter mais informações, consulte Restringir o acesso a parâmetros do Parameter Store usando políticas do IAM e Como o AWS Systems ManagerParameter Store usa o AWS KMS no Manual do desenvolvedor do AWS Key Management Service.

Você pode validar a entrada do usuário de parâmetros de documentos do Systems Manager (documentos SSM) definindo allowedValues e allowedPattern. Para allowedValues, defina uma matriz de valores permitidos para o parâmetro. Se um usuário inserir um valor que não é permitido, a execução falhará ao iniciar. Para allowedPattern, defina uma expressão regular que valida se a entrada do usuário corresponde ao padrão definido para o parâmetro. Se a entrada do usuário não corresponder ao padrão permitido, a execução não será iniciada.

Para obter mais informações sobre allowedValues e allowedPattern, consulte Elementos e parâmetros de dados.

A menos que seu caso de uso exija que o compartilhamento público seja permitido, recomendamos ativar a configuração de bloqueio de compartilhamento público para seus documentos do SSM na seção Preferências do console de documentos do Systems Manager.

É possível usar a Amazon VPC para executar os recursos da AWS em uma rede virtual definida por você. Essa rede virtual se assemelha a uma rede tradicional que você operaria no seu data center, com os benefícios de usar a infraestrutura dimensionável da AWS.

Ao implementar um endpoint da VPC, você pode conectar de forma privada a VPC aos Serviços da AWS compatíveis e aos serviços do endpoint da VPC desenvolvidos pelo AWS PrivateLink sem exigir um gateway da Internet, um dispositivo NAT, uma conexão VPN ou uma conexão do AWS Direct Connect. As instâncias na sua VPC não exigem que endereços IP públicos se comuniquem com recursos no serviço. O tráfego entre a sua VPC e os outros serviços não sai da rede da Amazon.

Para obter mais informações sobre a segurança da Amazon VPC, consulte Melhorar a segurança das instâncias do EC2 usando endpoints da VPC para o Systems Manager e Privacidade do tráfego de redes no Amazon VPC no Guia do usuário do Amazon VPC.

O Session Manager, um recurso do AWS Systems Manager, fornece vários métodos para iniciar sessões em nós gerenciados. Para as conexões mais seguras, é possível exigir que os usuários se conectem usando o método de comandos interativos para limitar a interação do usuário a uma sequência de comandos ou um comando específico. Isso ajuda a gerenciar as ações interativas que um usuário pode executar. Para ter mais informações, consulte Iniciar uma sessão (comandos interativos e não interativos).

Para reforçar a segurança, você pode limitar o acesso do Session Manager a instâncias específicas do Amazon EC2 e a documentos de sessão do Session Manager específicos. Você concede ou revoga o acesso do Session Manager dessa forma usando políticas do AWS Identity and Access Management (IAM). Para ter mais informações, consulte Etapa 3: controlar o acesso da sessão pelos nós gerenciados.

Durante um fluxo de trabalho da Automação, um recurso do AWS Systems Manager, os nós podem precisar de permissões necessárias apenas para essa execução, mas não para outras operações do Systems Manager. Por exemplo, um fluxo de trabalho do Automation pode exigir que um nó gerenciado chame uma operação específica da API ou acesse um recurso da AWS especificamente durante o fluxo de trabalho. Se essas chamadas ou recursos forem aqueles aos quais você deseja limitar o acesso, é possível fornecer permissões temporárias e complementares para os nós dentro do próprio runbook do Automation, em vez de adicionar as permissões ao seu perfil da instância do IAM. No final do fluxo de trabalho da automação, as permissões temporárias serão removidas. Para obter mais informações, consulte Fornecer permissões de instância temporária com automações do AWS Systems Manager no Blog de gerenciamento e governança da AWS.

A AWS lança regularmente versões atualizadas de ferramentas e plugins que é possível usar em suas operações da AWS e do Systems Manager. Manter esses recursos atualizados garante que os usuários e nós em sua conta tenham acesso às funcionalidades e recursos de segurança mais recentes nessas ferramentas.

A identificação de seus ativos de TI é um aspecto essencial de governança e segurança. É necessário identificar todos os seus recursos do Systems Manager para avaliar sua postura de segurança e agir em possíveis áreas de pontos fracos.

Use o Tag Editor para identificar recursos sensíveis quanto a segurança ou auditoria, depois use essas tags quando precisar procurar por esses recursos. Para obter mais informações, consulte Localizar recursos para etiquetar no Guia do usuário do AWS Resource Groups.

Crie grupos de recursos para seus recursos do Systems Manager. Para obter mais informações, consulte O que são grupos de recursos?

O monitoramento é uma parte importante da manutenção da confiabilidade, da segurança, da disponibilidade e da performance do Systems Manager e das suas soluções da AWS. O Amazon CloudWatch fornece várias ferramentas e serviços para ajudar você a monitorar o Systems Manager e seus outros Serviços da AWS. Para ter mais informações, consulte Enviar logs de nós para o CloudWatch Logs unificado (agente do CloudWatch) e Monitorar eventos do Systems Manager com o Amazon EventBridge.

O AWS CloudTrail fornece um registro das ações executadas por um usuário, uma função ou um AWS service (Serviço da AWS) no Systems Manager. Ao fazer uso das informações coletadas pelo CloudTrail, é possível determinar a solicitação feita a Systems Manager, o endereço IP no qual a solicitação foi feita, quem fez a solicitação e quando foi feita, além de detalhes adicionais. Para ter mais informações, consulte Registrar em log chamadas de API do AWS Systems Manager com o AWS CloudTrail.

O AWS Config permite analisar, auditar e avaliar as configurações dos recursos da AWS. O AWS Config monitora as configurações de recursos, possibilitando que você avalie as configurações registradas em relação às configurações seguras requeridas. Com o AWS Config, você pode analisar alterações feitas nas configurações e relacionamentos entre os recursos da AWS, examinar os detalhes do histórico de configuração de recursos e determinar a conformidade geral em relação às configurações especificadas em diretrizes internas. Isso pode ajudar a simplificar a auditoria de conformidade, a análise de segurança, o gerenciamento de alterações e a solução de problemas operacionais. Para obter mais informações, consulte Configuração do AWS Config com o console no Guia do desenvolvedor do AWS Config. Ao especificar os tipos de recurso que devem ser gravados, inclua os recursos do Systems Manager.

Verifique regularmente as recomendações de segurança publicadas no Trusted Advisor para sua Conta da AWS. Você pode fazer isso programaticamente usando describe-trusted-advisor-checks.

Além disso, monitore ativamente o endereço de e-mail registrado como principal para cada uma de suas Contas da AWS. A AWS usará esse e-mail para entrar em contato e notificá-lo sobre os problemas de segurança que surgirem e que possam afetar você.

Problemas operacionais da AWS com grande impacto são publicados no AWS Service Health Dashboard. Problemas operacionais também são publicados em contas individuais por meio do Personal Health Dashboard. Para obter mais informações, consulte a documentação da AWS Health.