SEC03-BP04 Reduzir as permissões continuamente

À medida que suas equipes determinarem o acesso de que precisam, remova as permissões desnecessárias e estabeleça processos de análise para obter permissões de privilégio mínimo. Monitore e remova continuamente identidades e permissões não utilizadas para acesso humano e de máquina.

Resultado desejado: as políticas de permissão devem seguir o princípio de privilégio mínimo. À medida que os cargos e os perfis se tornem mais bem definidos, suas políticas de permissões precisam ser analisadas para remover permissões desnecessárias. Essa abordagem reduz o escopo do impacto caso as credenciais sejam expostas de forma acidental ou sejam acessadas sem autorização.

Práticas comuns que devem ser evitadas:

Usar como padrão a concessão de permissões de administrador aos usuários.
Criar políticas permissivas demais, mas sem privilégios completos de administrador.
Manter as políticas de permissão quando não são mais necessárias.

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

Enquanto as equipes e os projetos estiverem apenas começando, políticas de permissão permissivas podem ser usadas para inspirar inovação e agilidade. Por exemplo, em um ambiente de desenvolvimento ou teste, os desenvolvedores podem receber acesso a uma ampla gama de serviços da AWS. Recomendamos avaliar o acesso de forma contínua e restringir o acesso somente àqueles serviços e ações de serviço necessários para concluir o trabalho atual. Recomendamos essa avaliação para identidades humanas e de máquina. Identidades de máquina, às vezes, denominadas contas de sistema ou serviço, são identidades que fornecem acesso da AWS a aplicações ou servidores. Esse acesso é especialmente importante em um ambiente de produção, em que as permissões excessivamente permissivas podem causar um grande impacto e expor dados dos clientes.

A AWS oferece vários métodos para ajudar a identificar usuários, perfis, permissões e credenciais não utilizados. A AWS também pode ajudar a analisar a atividade de acesso dos usuários e dos perfis do IAM, como chaves de acesso associadas, e o acesso aos recursos da AWS, como objetos em buckets do Amazon S3. A geração de políticas do AWS Identity and Access Management Access Analyzer pode auxiliar você a criar políticas de permissão restritivas com base nos serviços e nas ações reais com os quais uma entidade principal interage. O controle de acesso por atributo (ABAC) pode ajudar a simplificar o gerenciamento de permissões, pois você pode fornecer permissões aos usuários usando seus atributos em vez de anexar políticas de permissões diretamente a cada usuário.

Etapas de implementação

Use o AWS Identity and Access Management Access Analyzer: o IAM Access Analyzer ajuda a identificar os recursos em sua organização e suas contas, como buckets do Amazon Simple Storage Service (Amazon S3) ou perfis do IAM que são compartilhados com uma entidade externa.
Use a geração de políticas do IAM Access Analyzer: a geração de políticas do IAM Access Analyzer ajuda você a criar políticas de permissão refinadas com base na atividade de acesso de um usuário ou perfil do IAM.
Teste as permissões em ambientes inferiores antes da produção: comece usando os ambientes menos críticos de sandbox e desenvolvimento para testar as permissões necessárias para várias funções de trabalho usando o IAM Access Analyzer. Em seguida, restrinja e valide progressivamente essas permissões nos ambientes de teste, garantia de qualidade e preparação antes de aplicá-las à produção. Inicialmente, os ambientes inferiores podem ter permissões mais relaxadas, pois as políticas de controle de serviços (SCPs) impõem barreiras de proteção ao limitar o máximo de permissões concedidas.
Determine um prazo e uma política de uso aceitáveis para usuários e funções do IAM: use o carimbo de data/hora do último acesso para identificar usuários e perfis não utilizados e removê-los. Revise as informações de serviço e ação acessadas mais recentemente para identificar e definir o escopo das permissões para usuários e perfis específicos. Por exemplo, você pode usar as informações acessadas mais recentemente para identificar as ações específicas do Amazon S3 exigidas pelo perfil da aplicação e restringir o acesso do perfil apenas a essas ações. Recursos de informações acessadas mais recentemente estão disponíveis no AWS Management Console e de maneira programática para permitir que você As incorpore aos fluxos de trabalho de infraestrutura e ferramentas automatizadas.
Considere registrar em log eventos de dados no AWS CloudTrail: por padrão, o CloudTrail não registra eventos de dados em log, como atividades em nível de objeto do Amazon S3 (por exemplo, GetObject e DeleteObject) ou atividades de tabela do Amazon DynamoDB (por exemplo, PutItem e DeleteItem). Considere ativar o registro em log desses eventos para determinar quais usuários e perfis precisam acessar objetos do Amazon S3 ou itens de tabelas do DynamoDB específicos.

Recursos

Documentos relacionados:

Vídeos relacionados:

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

SEC03-BP03 Estabelecer processo de acesso de emergência

SEC03-BP05 Definir barreiras de proteção de permissões para sua organização