SEC 3: Come si gestisce l'autenticazione per persone e macchine?

Gestisci le autorizzazioni per controllare l'accesso alle identità di persone e macchine che richiedono l'accesso ad AWS e al tuo carico di lavoro. Le autorizzazioni controllano chi può accedere a cosa e a quali condizioni.

Risorse

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

Best practice:

• Definizione dei requisiti di accesso: Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Individua una definizione chiara di chi o cosa deve avere accesso a ciascun componente, quindi scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

• Concedi l'accesso con privilegi minimi: Concedi alle identità soltanto il livello di accesso di cui hanno bisogno, specificando le operazioni che possono effettuare, le risorse AWS su cui possono operare e a quali condizioni. Affidati ai gruppi e agli attributi di identità per impostare dinamicamente le autorizzazioni su vasta scala, anziché definire le autorizzazioni per i singoli utenti. Ad esempio, puoi concedere a un gruppo di sviluppatori le autorizzazioni per gestire solo le risorse del loro progetto. In questo modo, quando uno sviluppatore lascia il gruppo, perderà l'accesso a tutte le risorse gestite tramite il gruppo e non sarà necessario modificare le policy di accesso.

• Determina un processo per l'accesso di emergenza: Un processo che consente l'accesso di emergenza al carico di lavoro nell'improbabile caso di un problema a un processo automatizzato o a una pipeline. Questo consente di utilizzare criteri di accesso con privilegi minimi, ma garantisce che gli utenti possano ottenere il corretto livello di accesso quando ne hanno bisogno. Ad esempio, puoi stabilire un processo di verifica e approvazione delle richieste degli utenti da parte degli amministratori.

• Riduci le autorizzazioni in modo continuo: Man mano che i team e i carichi di lavoro determinano l'accesso di cui hanno bisogno, rimuovi le autorizzazioni che non utilizzano più e stabilisci processi di revisione per applicare le autorizzazioni con privilegi minimi. Monitora e riduci continuamente le identità e le autorizzazioni non utilizzate.

• Definisci i guardrail per le autorizzazioni della tua organizzazione: Stabilisci controlli comuni che limitano l'accesso a tutte le identità nella tua organizzazione. Ad esempio, puoi limitare l'accesso a regioni AWS specifiche o impedire agli operatori di eliminare risorse comuni, come ad esempio un ruolo IAM utilizzato per il team di sicurezza centrale.

• Gestione degli accessi in base al ciclo di vita: Integra i controlli degli accessi con il ciclo di vita degli operatori e delle applicazioni e con il tuo provider di federazione centralizzata. Ad esempio, rimuovi l'accesso di un utente quando lascia l'organizzazione o cambia ruolo.

• Analizza l'accesso pubblico e tra account: Monitora continuamente i risultati che evidenziano l'accesso pubblico e tra account diversi. Limita l'accesso pubblico e l'accesso tra account alle risorse che ne hanno bisogno.

• Condivi le risorse in modo sicuro: Regola il consumo di risorse condivise tra account diversi o all'interno della tua AWS Organization. Monitora le risorse condivise e rivedi l'accesso alle stesse.

Piano di miglioramento

Definizione dei requisiti di accesso

Definizione dei privilegi necessari per la funzione lavorativa e le responsabilità: A partire dalla funzione lavorativa, dal ruolo o dalle responsabilità dell'utente, definisci a quali risorse deve accedere e le condizioni applicabili. Raggruppa gli utenti con requisiti comuni per semplificare la delega delle policy.
IAM use cases

Concedi l'accesso con privilegi minimi

Implementa policy con privilegi minimi: Assegna policy di accesso con privilegi minimi a gruppi e ruoli IAM in modo da rispecchiare il ruolo o la funzione dell'utente che hai definito.
Grant least privilege

Rimozione delle autorizzazioni superflue: Implementa il privilegio minimo rimuovendo le autorizzazioni superflue.
Reducing policy scope by viewing user activity
View role access

Possibilità di utilizzare limiti per le autorizzazioni: Un limite delle autorizzazioni è una caratteristica avanzata per utilizzare una policy gestita che imposta il numero massimo di autorizzazioni che una policy basata su identità può concedere a un'entità IAM. Il limite delle autorizzazioni di un'entità le permette di eseguire solo le operazioni consentite dalle policy basate su identità e dai limiti delle autorizzazioni.
Lab: IAM permissions boundaries delegating role creation

Possibilità di utilizzare tag delle risorse per le autorizzazioni: Puoi utilizzare i tag per controllare l'accesso alle risorse AWS che supportano il tagging. Puoi anche applicare tag a utenti e ruoli IAM per controllare a cosa possono accedere.
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)

Determina un processo per l'accesso di emergenza

Preassegnazione dell'accesso di emergenza: La preassegnazione di un ruolo per l'accesso di emergenza da un account attendibile, ad esempio uno utilizzato per il team di sicurezza, può aiutarti a consentire un accesso rapido.
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles

Riduci le autorizzazioni in modo continuo

Configura IAM Access Analyzer: AWS IAM Access Analyzer aiuta a identificare le risorse dell'organizzazione e gli account, ad esempio i bucket Amazon S3 o i ruoli IAM, che sono condivisi con un'entità esterna.
AWS IAM Access Analyzer

Definisci i guardrail per le autorizzazioni della tua organizzazione

Definisci le restrizioni comuni che si applicano a tutte le identità: In base ai requisiti specifici della tua organizzazione, ad esempio l'accesso solo a una regione AWS specifica, crea una serie di restrizioni che puoi applicare utilizzando AWS Organizations.
AWS Organizations Service Control Policies

Utilizza AWS Control Tower per gestire i guardrail: In base ai requisiti specifici della tua organizzazione, ad esempio l'accesso solo a una regione AWS specifica, crea una serie di restrizioni che puoi applicare utilizzando AWS Organizations.
AWS Control Tower Guardrails

Gestione degli accessi in base al ciclo di vita

Ciclo di vita dell'accesso utente: Implementa una policy per il ciclo di vita dell'accesso utente per i nuovi entranti, le modifiche alle funzioni lavorative e gli uscenti per garantire l'accesso solo agli utenti attuali.

Analizza l'accesso pubblico e tra account

Configura IAM Access Analyzer: AWS IAM Access Analyzer aiuta a identificare le risorse dell'organizzazione e gli account, ad esempio i bucket Amazon S3 o i ruoli IAM, che sono condivisi con un'entità esterna.
AWS IAM Access Analyzer

Condivi le risorse in modo sicuro

Utilizza AWS Resource Access Manager: AWS Resource Access Manager (RAM) è un servizio che consente di condividere in modo semplice e sicuro le risorse AWS con qualsiasi account AWS o all'interno di AWS Organization.
AWS Resource Access Manager