Controlli perimetrali dei dati Perimetro di identità Perimetro di risorse Perimetro di rete Risorse per ulteriori informazioni sui perimetri di dati

Establish permissions guardrails using data perimeters

Le barriere perimetrali dei dati sono pensate per fungere da confini permanenti per aiutare a proteggere i dati su un'ampia gamma di account e risorse. AWS I perimetri dei dati seguono le best practice di sicurezza IAM per stabilire guardrail di autorizzazioni su più account. Questi guardrail di autorizzazione a livello di organizzazione non sostituiscono i controlli di accesso dettagliati esistenti. Funzionano invece come controlli di accesso generalizzati che aiutano a migliorare la strategia di sicurezza assicurando che utenti, ruoli e risorse aderiscano a una serie di standard di sicurezza definiti.

Un perimetro di dati è un insieme di barriere di autorizzazione nell' AWS ambiente che aiutano a garantire che solo le identità attendibili accedano alle risorse attendibili delle reti previste.

Identità affidabili: i responsabili (ruoli o utenti IAM) dei tuoi AWS account e servizi che agiscono per tuo conto. AWS
Risorse affidabili: risorse di proprietà AWS dei tuoi account o di AWS servizi che agiscono per tuo conto.
Reti previste: i data center locali e i cloud privati virtuali (VPCs) o le reti di AWS servizi che agiscono per conto dell'utente.

Nota

In alcuni casi, potrebbe essere necessario estendere il perimetro di dati in modo da includere anche l'accesso da parte di partner commerciali fidati. È necessario prendere in considerazione tutti i modelli di accesso ai dati previsti quando si crea una definizione di identità attendibili, risorse attendibili e reti previste specifiche per l'azienda e l'utilizzo dei Servizi AWS.

I controlli perimetrali dei dati devono essere trattati come qualsiasi altro controllo di sicurezza nell'ambito del programma di sicurezza delle informazioni e di gestione del rischio. Ciò significa che è necessario eseguire un'analisi delle minacce per identificare i potenziali rischi all'interno del proprio ambiente cloud e quindi, in base ai propri criteri di accettazione del rischio, selezionare e implementare controlli perimetrali dei dati appropriati. Per definire meglio l'approccio iterativo basato sul rischio all'implementazione del perimetro dei dati, è necessario comprendere quali rischi e vettori di minaccia vengono affrontati dai controlli perimetrali dei dati, nonché le priorità di sicurezza.

Controlli perimetrali dei dati

I controlli granulari sul perimetro dei dati aiutano a raggiungere sei obiettivi di sicurezza distinti su tre perimetri di dati attraverso l'implementazione di diverse combinazioni di Tipi di policy e chiavi di condizioni.

Perimetro	Obiettivo di controllo	Utilizzo	Applicato il	Chiavi di contesto della condizione globale
Identità	Solo le identità attendibili possono accedere alle mie risorse	RCP	Risorse	aws: ID PrincipalOrg leggi: PrincipalOrgPaths seghe: PrincipalAccount seghe: PrincipalIsAwsService aws: SourceOrg ID leggi: SourceOrgPath seghe: SourceAccount
Identità	Nella mia rete sono consentite solo identità attendibili	Policy degli endpoint VPC	Rete
Risorse	Le tue identità possono accedere solo a risorse attendibili	SCP	Identità	aws: ResourceOrg ID leggi: ResourceOrgPaths seghe: ResourceAccount
Risorse	Dalla rete è possibile accedere solo a risorse attendibili	Policy degli endpoint VPC	Rete
Rete	Le tue identità possono accedere alle risorse solo dalle reti previste	SCP	Identità	seghe: SourceIp seghe: SourceVpc seghe: SourceVpce seghe: VpceAccount seghe: VpceOrgPaths aws: VpceOrg ID AWS: via AWSService leggi: PrincipalIsAwsService
Rete	Le tue risorse sono accessibili solo dalle reti previste	RCP	Risorse

Puoi pensare ai perimetri dei dati come alla creazione di un confine preciso attorno ai dati per prevenire schemi di accesso non intenzionali. Sebbene i perimetri dei dati possano impedire ampi accessi involontari, è comunque necessario prendere decisioni granulari sul controllo degli accessi. La definizione di un perimetro di dati non riduce la necessità di ottimizzare continuamente le autorizzazioni utilizzando strumenti come Sistema di analisi degli accessi IAM come parte del percorso verso il privilegio minimo.

Per applicare i controlli perimetrali dei dati su risorse che attualmente non sono supportate da RCPs, puoi utilizzare policy basate sulle risorse collegate direttamente alle risorse. Per un elenco di servizi che supportano politiche basate sulle risorse, vedere Politiche di controllo delle risorse () RCPs e. RCPs AWS servizi che funzionano con IAM

Per applicare i controlli perimetrali di rete, ti consigliamo di utilizzare aws:VpceOrgIDaws:VpceOrgPaths, e aws:VpceAccount solo se tutti i servizi a cui desideri limitare l'accesso sono attualmente supportati. L'utilizzo di queste chiavi di condizione con servizi non supportati può portare a risultati di autorizzazione non intenzionali. Per un elenco dei servizi che supportano le chiavi, consulta. AWS chiavi di contesto della condizione globale Se hai bisogno di applicare i controlli su una gamma più ampia di servizi, prendi in considerazione l'utilizzo di aws:SourceVpc and aws:SourceVpce invece.

Perimetro di identità

Un perimetro di identità è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che solo le identità attendibili possano accedere alle risorse e che solo le identità affidabili siano consentite dalla rete. Le identità affidabili di solito includono i responsabili (ruoli o utenti) degli AWS account e dei AWS servizi che agiscono per conto dell'utente. Tutte le altre identità sono considerate non attendibili e sono impedite dal perimetro dell'identità, a meno che non venga concessa un'eccezione esplicita.

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali delle identità in base alla definizione di identità affidabili da parte dell'utente. Utilizza queste chiavi nelle politiche di controllo delle risorse per limitare l'accesso alle risorse o nelle politiche degli endpoint VPC per limitare l'accesso alle tue reti.

Identità di tua proprietà

Puoi utilizzare le seguenti chiavi di condizione per definire i principi IAM che crei e gestisci in tuo. Account AWS

aws:PrincipalOrgID: è possibile utilizzare questa chiave di condizione per garantire che i principali IAM che effettuano la richiesta appartengano all'organizzazione specificata in AWS Organizations.
aws:PrincipalOrgPaths— È possibile utilizzare questa chiave di condizione per garantire che l'utente IAM, il ruolo IAM, il principale utente AWS STS federato, il principale federato SAML, il principale federato OIDC o la richiesta appartengano all'unità Utente root dell'account AWS organizzativa (OU) specificata in. AWS Organizations
aws:PrincipalAccount: è possibile utilizzare questa chiave di condizione per garantire che le risorse siano accessibili solo all'account principale specificato nella policy.

Identità dei servizi che agiscono per tuo conto AWS

È possibile utilizzare le seguenti chiavi di condizione per consentire ai AWS servizi di utilizzare le proprie identità per accedere alle risorse dell'utente quando agiscono per conto dell'utente.

aws:PrincipalIsAWSServiceand aws:SourceOrgID (or aws:SourceOrgPaths andaws:SourceAccount): puoi utilizzare queste chiavi Servizio AWS condizionali per assicurarti che, quando i responsabili accedono alle tue risorse, lo facciano solo per conto di una risorsa dell'organizzazione, dell'unità organizzativa o di un account in specificata. AWS Organizations

Per ulteriori informazioni, consulta Stabilire un perimetro di dati su AWS: Consenti solo alle identità affidabili di accedere ai dati aziendali.

Perimetro di risorse

Un perimetro di risorse è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che solo le identità attendibili possano accedere alle risorse e che solo le identità attendibili siano consentite dalla rete. Le risorse affidabili di solito includono risorse di proprietà AWS degli account o dei AWS servizi che agiscono per conto dell'utente.

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali delle risorse in base alla definizione di risorse affidabili da parte dell'utente. Utilizza queste chiavi nelle policy di controllo del servizio (SCPs) per limitare le risorse a cui possono accedere le tue identità o nelle politiche degli endpoint VPC per limitare le risorse a cui è possibile accedere dalle tue reti.

Risorse di tua proprietà

Puoi utilizzare le seguenti chiavi di condizione per definire AWS le risorse che crei e gestisci in tuo Account AWS.

aws:ResourceOrgID: è possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga all'organizzazione specificata in AWS Organizations.
aws:ResourceOrgPaths: è possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga all'unità organizzativa (UO) specificata in AWS Organizations.
aws:ResourceAccount— È possibile utilizzare questa chiave di condizione per garantire che la risorsa a cui si accede appartenga a quella specificata Account AWS.

Risorse di AWS servizi che agiscono per tuo conto

In alcuni casi, potrebbe essere necessario consentire l'accesso a risorse AWS di proprietà, risorse che non appartengono alla vostra organizzazione e a cui accedono i vostri responsabili o i AWS servizi che agiscono per vostro conto. Per ulteriori informazioni su questi scenari, consulta Stabilire un perimetro di dati su AWS: Consenti solo risorse attendibili della mia organizzazione.

Perimetro di rete

Un perimetro di rete è un insieme di controlli preventivi di accesso generalizzati che aiutano a garantire che le proprie identità possano accedere solo dalle reti previste e che le risorse siano accessibili solo dalle reti previste. Le reti previste in genere includono i data center locali e i cloud privati virtuali (VPCs) e le reti di AWS servizi che agiscono per conto dell'utente.

Le seguenti chiavi di condizione globali aiutano a far rispettare i controlli perimetrali di rete in base alla definizione delle reti previste. Utilizzate queste chiavi nelle politiche di controllo dei servizi (SCPs) per limitare le reti da cui le identità possono comunicare o nelle politiche di controllo delle risorse (RCPs) per limitare l'accesso alle risorse alle reti previste.

Reti di tua proprietà

È possibile utilizzare le seguenti chiavi di condizione per definire le reti che i dipendenti e le applicazioni dovrebbero utilizzare per accedere alle risorse, ad esempio l'intervallo CIDR IP aziendale e il VPCs

aws:SourceIp: è possibile utilizzare questa chiave di condizione per garantire che l'indirizzo IP del richiedente rientri in un intervallo IP specificato.
aws:SourceVpc: è possibile utilizzare questa chiave di condizione per garantire che l'endpoint VPC attraverso cui viaggia la richiesta appartenga al VPC specificato.
aws:SourceVpce: è possibile utilizzare questa chiave di condizione per garantire che la richiesta viaggi attraverso l'endpoint VPC specificato.
aws:VpceAccount— È possibile utilizzare questa chiave di condizione per garantire che le richieste arrivino tramite endpoint VPC di proprietà dell'account specificato. AWS
aws:VpceOrgPaths— È possibile utilizzare questa chiave di condizione per garantire che i responsabili IAM che effettuano la richiesta appartengano all'unità organizzativa (OU) specificata in. AWS Organizations
aws:VpceOrgID— È possibile utilizzare questa chiave di condizione per garantire che le richieste arrivino tramite endpoint VPC di proprietà degli account dell'organizzazione specificata in. AWS Organizations

aws:VpceAccountaws:VpceOrgPaths, e aws:VpceOrgID sono particolarmente utili per implementare controlli perimetrali di rete che si adattano automaticamente all'utilizzo degli endpoint VPC, senza richiedere aggiornamenti delle policy quando si creano nuovi endpoint. Vedi l'elenco di AWS chiavi di contesto della condizione globale quelli che supportano queste chiavi. Servizi AWS

Reti di AWS servizi che agiscono per tuo conto

Puoi utilizzare le seguenti chiavi di condizione per consentire ai AWS servizi di accedere alle tue risorse dalle loro reti quando agiscono per tuo conto.

aws:ViaAWSService— È possibile utilizzare questa chiave condizionale per assicurarsi che sia Servizi AWS possibile effettuare richieste per conto del proprio utente principale Inoltro delle sessioni di accesso (FAS).
aws:PrincipalIsAWSService— È possibile utilizzare questa chiave di condizione per assicurarsi che sia Servizi AWS possibile accedere alle risorse utilizzandoAWS presidi del servizio.

Esistono altri scenari in cui è necessario consentire l'accesso a Servizi AWS che accedono alle risorse dall'esterno della rete. Per ulteriori informazioni, consulta Stabilire un perimetro di dati su AWS: Consenti l'accesso ai dati aziendali solo dalle reti previste.

Risorse per ulteriori informazioni sui perimetri di dati

Le seguenti risorse possono rivelarsi utili per saperne di più sui perimetri di dati su AWS.

Perimetri dei dati attivi AWS: scopri i perimetri dei dati e i relativi vantaggi e casi d'uso.
Serie di post sul blog: Stabilire un perimetro di dati su AWS — Questi post del blog contengono linee guida prescrittive per stabilire il perimetro dei dati su larga scala, comprese considerazioni chiave sulla sicurezza e l'implementazione.
Esempi di policy relative al perimetro dei dati: questo GitHub repository contiene esempi di policy che coprono alcuni modelli comuni per aiutarti a implementare un perimetro di dati. AWS
Supporto per il perimetro dei dati: questo strumento consente di progettare e anticipare l'impatto dei controlli perimetrali dei dati analizzando l'attività di accesso nei log AWS CloudTrail.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Policy gestite obsolete AWS

Limiti delle autorizzazioni