Rispetto della policy di accesso con privilegio minimo Fai in modo che le risorse del cluster fungano da limite amministrativo Crea pipeline automatizzate per isolare gli utenti finali dal API Uso di condizioni di policy per un ulteriore livello di sicurezza Verifica periodicamente l'accesso a APIs

IAMbest practice per Amazon ECS

È possibile utilizzare AWS Identity and Access Management (IAM) per gestire e controllare l'accesso ai AWS servizi e alle risorse tramite politiche basate su regole per scopi di autenticazione e autorizzazione. Più specificamente, tramite questo servizio, puoi controllare l'accesso alle tue AWS risorse utilizzando policy applicate a utenti, gruppi o ruoli. Tra questi tre, gli utenti sono account che possono avere accesso alle tue risorse. Inoltre, un IAM ruolo è un insieme di autorizzazioni che possono essere concesse da un'identità autenticata, che non è associata a una particolare identità esterna a. IAM Per ulteriori informazioni, consulta la ECSpanoramica di Amazon sulla gestione degli accessi: autorizzazioni e politiche.

Rispetto della policy di accesso con privilegio minimo

Crea policy mirate a consentire agli utenti di eseguire i processi prescritti. Ad esempio, se uno sviluppatore deve interrompere periodicamente un'attività, crea una policy che consenta solo quella particolare azione. L'esempio seguente consente solo a un utente di interrompere un'attività che appartiene a un particolare elemento task_family di un cluster con uno specifico Amazon Resource Name (ARN). Il riferimento a una condizione ARN in a è anche un esempio di utilizzo delle autorizzazioni a livello di risorsa. Puoi utilizzare le autorizzazioni a livello di risorsa per specificare la risorsa a cui desideri applicare un'azione.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:StopTask"
      ],
      "Condition": {
        "ArnEquals": {
          "ecs:cluster": "arn:aws:ecs:region:account_id:cluster/cluster_name"
        }
      },
      "Resource": [
        "arn:aws:ecs:region:account_id:task-definition/task_family:*"
      ]
    }
  ]
}

Fai in modo che le risorse del cluster fungano da limite amministrativo

Le policy con un ambito troppo ristretto possono causare una proliferazione di ruoli e aumentare il sovraccarico amministrativo. Anziché creare ruoli limitati solo ad attività o servizi particolari, crea ruoli limitati ai cluster e utilizza il cluster come limite amministrativo principale.

Crea pipeline automatizzate per isolare gli utenti finali dal API

Puoi limitare le azioni che gli utenti possono utilizzare creando pipeline che impacchettano e distribuiscono automaticamente le applicazioni nei cluster AmazonECS. Ciò delega in modo efficace il processo di creazione, aggiornamento ed eliminazione delle attività alla pipeline. Per ulteriori informazioni, consulta Tutorial: Amazon ECS standard deployment with CodePipeline the AWS CodePipeline User Guide.

Uso di condizioni di policy per un ulteriore livello di sicurezza

Quando necessiti di un ulteriore livello di sicurezza, aggiungi una condizione alla tua policy. Ciò può essere utile se stai eseguendo un'operazione privilegiata o quando devi limitare l'insieme di azioni che possono essere eseguite su particolari risorse. La policy di esempio seguente richiede l'autorizzazione a più fattori quando si elimina un cluster.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ecs:DeleteCluster"
      ],
      "Condition": {
        "Bool": {
          "aws:MultiFactorAuthPresent": "true"
        }
      },
    "Resource": ["*"]
    }
  ]
}

I tag applicati a un servizio vengono propagati a tutte le attività che fanno parte di tale servizio. Per questo motivo, puoi creare ruoli che si riferiscono alle ECS risorse Amazon con tag specifici. Nella seguente politica, un IAM principale avvia e interrompe tutte le attività con una chiave tag Department e un valore di tag pari a. Accounting


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ecs:StartTask",
                "ecs:StopTask",
                "ecs:RunTask"
            ],
            "Resource": "arn:aws:ecs:*",
            "Condition": {
                "StringEquals": {"ecs:ResourceTag/Department": "Accounting"}
            }
        }
    ]
}

Verifica periodicamente l'accesso a APIs

Un utente potrebbe cambiare ruolo. In seguito al cambio di ruolo, le autorizzazioni che erano state precedentemente concesse all'utente potrebbero non essere più valide. Assicurati di verificare chi ha accesso ad Amazon ECS APIs e se tale accesso è ancora garantito. Prendi in considerazione l'integrazione IAM con una soluzione di gestione del ciclo di vita degli utenti che revoca automaticamente l'accesso quando un utente lascia l'organizzazione. Per ulteriori informazioni, consulta le linee guida per il controllo AWS della sicurezza nella Guida per l'utente.AWS Identity and Access Management

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Risoluzione dei problemi

Registrazione e monitoraggio