Linee guida di valutazione delle politiche

AWS valuterà le politiche inviate rispetto a una serie di linee guida. Le stesse linee guida di valutazione si applicano sia ai modelli di policy che ai limiti di autorizzazione, con lievi differenze, laddove opportuno, segnalate.

Ai fini della valutazione, separiamo i servizi in gruppi distinti. La distinzione più importante riguarda i servizi sensibili alla sicurezza, che gestiscono l'accesso, le credenziali e le chiavi. Le politiche che garantiscono l'accesso a questi servizi devono essere strettamente incentrate sul lavoro svolto. I servizi sensibili alla sicurezza includono: AWS Identity and Access Management (IAM), AWS Key Management Service (KMS), Resource Access Manager AWS (RAM), IAM AWS Identity Center, AWS Organizations e Secrets Manager. AWS

Una distinzione secondaria sono i servizi che possono accedere ai dati attraverso i confini degli account. Le politiche relative a questi servizi devono includere protezioni per impedire accessi involontari tra account.

Convalide comuni

Tutte le dichiarazioni politiche devono seguire queste linee guida:

• Tutte le istruzioni devono includere i campi Effetto, Azione (o NotAction), Risorsa e Condizione in quest'ordine

• Tutte le azioni all'interno di una singola istruzione devono essere elencate in ordine alfabetico

• Tutte le informazioni ARNs incluse nella politica devono seguire la sintassi definita nella documentazione pubblica per i servizi pertinenti

• NotAction i campi possono essere utilizzati solo nelle dichiarazioni Deny

• Le azioni nelle istruzioni Allow devono includere un codice di servizio. I caratteri jolly generici («*») non sono consentiti

Restrizioni relative ai servizi sensibili alla sicurezza

Le seguenti restrizioni si applicano ai servizi sensibili alla sicurezza sopra menzionati:

• Le azioni nelle istruzioni Allow devono essere più specifiche di [service] :*

• Le azioni nelle istruzioni Allow per i modelli di policy di accesso temporaneo non devono contenere caratteri jolly

• Le azioni sensibili, come iam: PassRole o iam:CreateServiceLinkedRole, richiedono un ambito aggiuntivo, come risorse specifiche o controlli condizionali. Queste azioni includono:

  • Passaggio di ruoli IAM

  • Azioni di modifica del ruolo IAM

  • Azioni di modifica delle politiche IAM

  • AWS Operazioni di scrittura o crittografia KMS

  • AWS Operazioni di scrittura o condivisione della RAM

  • AWS Operazioni di Secrets Manager per il recupero o la modifica dei segreti o la modifica delle politiche delle risorse

• Altre azioni possono utilizzare una risorsa wildcard, come iam: o iam: ListUsers GetPolicy

• Le azioni che gestiscono le credenziali, come iam:CreateAccessKey, sono bloccate

Restrizioni specifiche di IAM

Per IAM:

• Per i ruoli e le policy IAM sono consentite solo operazioni di scrittura limitate. Non puoi richiedere autorizzazioni su altre risorse IAM come utenti, gruppi e certificati.

• Le azioni di allegamento delle policy o di gestione delle policy in linea sono limitate ai ruoli con un limite di autorizzazione. I limiti di autorizzazione devono essere forniti dai partner o inclusi in un elenco di politiche gestite consentite. AWS AWS le politiche gestite possono essere consentite se non concedono autorizzazioni amministrative o altamente privilegiate. Ad esempio, le politiche AWS gestite per funzioni lavorative specifiche o la SecurityAudit politica possono essere accettabili. AWS esaminerà ogni politica AWS gestita su case-by-case base regolare durante il processo di onboarding.

• La gestione delle policy è consentita solo per le policy con un percorso specifico per i partner: arn:aws:iam: :@ {} :policy/partner_domain.com/ [feature] * AccountId

• I tag possono essere applicati solo durante la creazione delle risorse e solo per ruoli e politiche

• iam: PassRole i controlli devono corrispondere a un nome o a un prefisso di percorso specifico

AWS STS-restrizioni specifiche

Per AWS STS:

• sts: AssumeRole deve essere limitato a un ruolo specifico ARN, prefisso ARN del ruolo o limitato a un set di account o unità organizzative ID/organizational

Restrizioni di IAM Identity Center

Per AWS IAM Identity Center, le seguenti azioni sono bloccate:

• Tutte le azioni relative alla gestione delle autorizzazioni (ad esempio, sso:) AttachCustomerManagedPolicyReferenceToPermissionSet

• Modifiche a utenti, gruppi e appartenenze per Identity Store AWS

• Gestione dei tag

AWS Restrizioni delle Organizzazioni

Per AWS Organizations, saranno consentite solo le azioni di lettura.

Validazioni aggiuntive specifiche del servizio

• Le azioni che acquisiscono segreti o credenziali, come glue: GetConnection o redshift:GetClusterCredentials, devono avere condizioni che corrispondano a full, ai prefissi ARNs ARN o ai tag

• Per Amazon Redshift: redshift: GetClusterCredentials è consentito solo su un nome di database specifico e redshift: GetClusterCredentialsWith IAM è consentito solo su un nome di gruppo di lavoro specifico

Nota

Quando gestisci le risorse IAM nell'account, ti consigliamo di utilizzare un percorso che indichi il tuo nome, ad esempio arn:aws:iam: :111122223333:. role/partner.com/rolename Ciò contribuirà a differenziare le risorse associate all'integrazione e a semplificare l'individuazione, l'audit e l'analisi per i clienti.

Requisiti di accesso a più account

Le dichiarazioni che potenzialmente consentono l'accesso su più account devono includere almeno uno dei seguenti elementi:

• Una condizione che specifica l'account o l'organizzazione per la risorsa (ad esempio, aws: ResourceOrgId corrispondenza di uno o più valori previsti)

• Un campo Resource che include un account specifico (ad esempio, arn:aws:sqs: *:111122223333: *)

• Un campo Resource che include un account non jolly e un nome completo di risorsa (ad esempio, arn:aws:s3:::) full-bucket-name

Nota

L'accesso tra account diversi è una funzionalità delicata che richiede una chiara giustificazione aziendale. AWS esaminerà attentamente la necessità di accedere a più account durante il processo di onboarding.