Best practice practice practice practice practice practice practice practice practice practice practice practice - AWS Resource Groups

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Best practice practice practice practice practice practice practice practice practice practice practice practice

Le seguenti best practice sono linee guida generali e non rappresentano una soluzione di sicurezza completa. Dato che queste best practice potrebbero non essere appropriate o sufficienti nel proprio ambiente, si considerino come riflessioni utili più che istruzioni.

  • Usa il principio del privilegio minimo per concedere l'accesso ai gruppi. Resource Groups supporta le autorizzazioni a livello di risorsa. Concedi l'accesso a gruppi specifici solo come richiesto per utenti specifici. Evita di utilizzare asterischi nelle dichiarazioni politiche che assegnano le autorizzazioni a tutti gli utenti o a tutti i gruppi. Per ulteriori informazioni sul privilegio minimo, consulta Concedere il privilegio minimo nella Guida per l'utente IAM.

  • Tieni le informazioni private fuori dai campi pubblici. Il nome di un gruppo viene considerato come metadati di servizio. I nomi dei gruppi non sono crittografati. Non inserire informazioni sensibili nei nomi dei gruppi. Le descrizioni dei gruppi sono private.

    Non inserire informazioni private o sensibili nelle chiavi o nei valori dei tag.

  • Usa l'autorizzazione basata sui tag ogni volta che è opportuno. Resource Groups supporta l'autorizzazione basata sui tag. Puoi etichettare i gruppi, quindi aggiornare le policy associate ai tuoi responsabili IAM, come utenti e ruoli, per impostare il loro livello di accesso in base ai tag applicati a un gruppo. Per ulteriori informazioni su come utilizzare l'autorizzazione basata sui tag, consulta Controllare l'accesso alleAWS risorse utilizzando i tag delle risorse nella Guida per l'utente IAM.

    MoltiAWS servizi supportano l'autorizzazione basata sui tag per le operazioni. Tieni presente che l'autorizzazione basata su tag potrebbe essere configurata per le risorse dei membri di un gruppo. Se l'accesso alle risorse di un gruppo è limitato dai tag, utenti o gruppi non autorizzati potrebbero non essere in grado di eseguire azioni o automazioni su tali risorse. Ad esempio, se un'istanza Amazon EC2 in uno dei tuoi gruppi è contrassegnata con una chiave di tag pari aConfidentiality e un valore di tag pari aHigh, e non sei autorizzato a eseguire comandi sulle risorse taggateConfidentiality:High, le azioni o le automazioni eseguite sull'istanza EC2 avranno esito negativo, anche se le azioni hanno esito positivo per altre risorse del gruppo di risorse. Per ulteriori informazioni sui servizi che supportano l'autorizzazione basata su tag per le proprie risorse, consulta AWSServizi che funzionano con IAM nella Guida per l'utente di IAM.

    Per ulteriori informazioni sullo sviluppo di una strategia di etichettatura perAWS le tue risorse, consulta StrategieAWS di tagging.