Fornisci ruoli IAM con privilegi minimi implementando una soluzione di distribuzione automatica di ruoli

PDF

Creato da Benjamin Morris (AWS), Aman Kaur Gandhi (AWS), Chad Moon (AWS) e Nima Fotouhi (AWS)

Riepilogo

Le autorizzazioni di ruolo sovradimensionate AWS Identity and Access Management (IAM) per le pipeline possono comportare rischi inutili per un'organizzazione. Gli sviluppatori a volte concedono ampie autorizzazioni durante lo sviluppo, ma trascurano di limitarle dopo la risoluzione dei problemi relativi al codice. Ciò causa un problema in cui sono presenti ruoli potenti senza necessità aziendali e potrebbe non essere mai stato esaminato da un tecnico della sicurezza.

Questo modello offre una soluzione a questo problema: il role vending machine (RVM). Utilizzando un modello di implementazione sicuro e centralizzato, RVM dimostra come fornire ruoli IAM con privilegi minimi per le pipeline dei singoli repository con il minimo sforzo da parte degli sviluppatori. GitHub Poiché RVM è una soluzione centrale, è possibile configurare i team di sicurezza come revisori necessari per approvare le modifiche. Questo approccio consente alla sicurezza di rifiutare le richieste di ruolo della pipeline sovraautorizzate.

La RVM accetta il codice Terraform come input e genera ruoli IAM pronti per la pipeline come output. Gli input richiesti sono l' Account AWS ID, il nome del repository e la politica delle autorizzazioni. GitHub La RVM utilizza questi input per creare la politica di fiducia e la politica di autorizzazione del ruolo. La policy di fiducia risultante consente al GitHub repository specificato di assumere il ruolo e utilizzarlo per le operazioni di pipeline.

La RVM utilizza un ruolo IAM (configurato durante il bootstrap). Questo ruolo dispone delle autorizzazioni necessarie per assumere un account role-provisioning-role in ogni account dell'organizzazione. Il ruolo è configurato tramite AWS Control Tower Account Factory for Terraform (AFT) o AWS CloudFormation StackSets. role-provisioning-rolesSono i ruoli che effettivamente creano i ruoli della pipeline per gli sviluppatori.

Prerequisiti e limitazioni

Prerequisiti

• Un attivo Account AWS.

• Un' GitHub organizzazione utilizzata per implementare l'infrastruttura come codice (IaC) tramite GitHub Actions. (non GitHub Enterprise/Premium/Ultimate sono obbligatori).

• Un AWS ambiente con più account. Non è necessario che questo ambiente ne faccia parte AWS Organizations.

• Un meccanismo per implementare un ruolo IAM in tutti Account AWS (ad esempio, AFT o CloudFormation StackSets).

• Terraform versione 1.3 o successiva installata e configurata.

• Terraform AWS Provider versione 4 o successiva installata e configurata.

Limitazioni

• Il codice di questo pattern è specifico di GitHub Actions e Terraform. Tuttavia, i concetti generali del pattern possono essere riutilizzati in altri framework di integrazione e distribuzione continua (CI/CD).

• Alcuni Servizi AWS non sono disponibili in tutti. Regioni AWS Per la disponibilità regionale, vedi AWS Servizi per regione. Per endpoint specifici, consulta Endpoints and quotas del servizio e scegli il link relativo al servizio.

Architettura

Il diagramma seguente illustra il flusso di lavoro per questo modello.

Il flusso di lavoro per l'utilizzo tipico del distributore automatico di ruoli prevede i seguenti passaggi:

1. Uno sviluppatore invia il codice che contiene il codice Terraform per un ruolo IAM appena richiesto al repository RVM. GitHub Questa azione attiva la pipeline RVM Actions. GitHub

2. La pipeline utilizza una policy di trust OpenID Connect (OIDC) per assumere il ruolo di assunzione del ruolo RVM.

3. Durante l'esecuzione, la pipeline RVM assume il ruolo di workflow RVM nell'account in cui fornisce il nuovo ruolo IAM dello sviluppatore. (Il ruolo del workflow RVM è stato assegnato utilizzando AFT o.) CloudFormation StackSets

4. RVM crea il ruolo IAM dello sviluppatore con autorizzazioni e fiducia appropriate, in modo che il ruolo possa essere assunto da altre pipeline di applicazioni.

5. Gli sviluppatori di app possono configurare le proprie pipeline di app per assumere questo ruolo fornito da RVM.

Il ruolo creato include le autorizzazioni richieste dallo sviluppatore e una policy. ReadOnlyAccess Il ruolo è assunto solo dalle pipeline eseguite sul main ramo del repository specificato dallo sviluppatore. Questo approccio aiuta a garantire che per utilizzare il ruolo possano essere necessarie la protezione e le revisioni delle filiali.

Automazione e scalabilità

Le autorizzazioni con privilegi minimi richiedono attenzione ai dettagli per ogni ruolo assegnato. Questo modello riduce la complessità richiesta per creare questi ruoli, consentendo agli sviluppatori di creare i ruoli di cui hanno bisogno senza molto apprendimento o impegno aggiuntivi.

Strumenti

Servizi AWS

• AWS Identity and Access Management (IAM) ti aiuta a gestire in modo sicuro l'accesso alle tue AWS risorse controllando chi è autenticato e autorizzato a utilizzarle.

• AWS Organizationsè un servizio di gestione degli account che ti aiuta a consolidare più account Account AWS in un'organizzazione da creare e gestire centralmente.

Altri strumenti

• Git è un sistema di controllo delle versioni distribuito e open source. Include la possibilità di creare un account aziendale.

• GitHub Actions è una piattaforma di integrazione e distribuzione continua (CI/CD) strettamente integrata con i repository. GitHub Puoi utilizzare GitHub Actions per automatizzare la pipeline di compilazione, test e distribuzione.

• Terraform è uno strumento di infrastruttura come codice (IaC) HashiCorp che ti aiuta a creare e gestire risorse cloud e locali.

Archivio di codici

Il codice per questo pattern è disponibile nel GitHub role-vending-machinerepository.

Best practice

• Rendi facile la strada giusta e difficile quella sbagliata: rendi facile fare la cosa giusta. Se gli sviluppatori hanno difficoltà con il processo di provisioning di RVM, potrebbero tentare di creare ruoli con altri mezzi, il che mina la natura centrale di RVM. Assicurati che il tuo team di sicurezza fornisca indicazioni chiare su come utilizzare RVM in modo sicuro ed efficace.

  Dovresti anche impedire agli sviluppatori di fare la cosa sbagliata. Utilizza le politiche di controllo dei servizi (SCPs) o i limiti di autorizzazione per limitare i ruoli che possono creare altri ruoli. Questo approccio può aiutare a limitare la creazione di ruoli solo a RVM e ad altre fonti attendibili.

• Fornisci buoni esempi: inevitabilmente, alcuni sviluppatori adatteranno i ruoli esistenti nell'archivio RVM come modelli informali per la concessione delle autorizzazioni ai loro nuovi ruoli. Se disponete di esempi con autorizzazioni minime da cui possono copiare, ciò può ridurre il rischio che gli sviluppatori richiedano autorizzazioni ampie e con un elevato numero di jolly card. Se iniziate con ruoli altamente autorizzati e con molti jolly, il problema può moltiplicarsi col passare del tempo.

• Usa convenzioni e condizioni di denominazione: anche se uno sviluppatore non conosce tutti i nomi delle risorse che la sua applicazione creerà, dovrebbe comunque limitare le autorizzazioni dei ruoli utilizzando una convenzione di denominazione. Ad esempio, se stanno creando bucket Amazon S3, il valore della loro chiave di risorsa potrebbe essere arn:aws:s3:::myorg-myapp-dev-* tale che il loro ruolo non disponga di autorizzazioni oltre ai bucket che corrispondono a quel nome. L'applicazione della convenzione di denominazione tramite una policy IAM ha l'ulteriore vantaggio di migliorare la conformità con la convenzione di denominazione. Questo miglioramento si verifica perché non sarà consentita la creazione di risorse non corrispondenti.

• Richiedi revisioni delle pull request (PR): il valore della soluzione RVM è che crea una posizione centrale in cui è possibile esaminare i nuovi ruoli della pipeline. Tuttavia, questo design è utile solo se esistono barriere che aiutano a garantire che codice sicuro e di alta qualità venga inviato alla RVM. Proteggi le filiali utilizzate per distribuire il codice (ad esempiomain) dai push diretti e richiedi l'approvazione per tutte le richieste di unione che le riguardano.

• Configura ruoli di sola lettura: per impostazione predefinita, RVM fornisce una versione di ogni ruolo richiesto. readonly Questo ruolo può essere utilizzato nelle pipeline CI/CD che non scrivono dati, come un flusso di lavoro di pipeline. terraform plan Questo approccio aiuta a prevenire modifiche indesiderate se un flusso di lavoro di sola lettura non funziona correttamente.

  Per impostazione predefinita, la ReadOnlyAccess policy AWS gestita è associata sia ai ruoli di sola lettura che ai ruoli di lettura-scrittura. Questa politica riduce la necessità di iterazioni per determinare le autorizzazioni richieste, ma potrebbe essere eccessivamente permissiva per alcune organizzazioni. Se lo desideri, puoi rimuovere la politica dal codice Terraform.

• Concedi autorizzazioni minime: segui il principio del privilegio minimo e concedi le autorizzazioni minime richieste per eseguire un'attività. Per ulteriori informazioni, consulta le best practice relative alla concessione dei privilegi minimi e alla sicurezza nella documentazione IAM.

Epiche

Prepara l'ambiente

Attività	Descrizione	Competenze richieste
Copia il repository di esempio nella tua GitHub organizzazione.	Clona il repository di questo pattern o trasferiscilo alla tua GitHub organizzazione in modo da poterlo adattare alle tue esigenze. Se scegli di clonare questo repository, puoi usare il seguente comando: git clone https://github.com/aws-samples/role-vending-machine Se scegli di eseguire il fork del repository alla tua GitHub organizzazione, puoi usare il seguente comando: gh repo fork aws-samples/role-vending-machine --org YOUR_ORGANIZATION_NAME	DevOps ingegnere
Determina il Account AWS per la RVM.	Determina quale implementazione dell'infrastruttura utilizzare Account AWS per la RVM. Non utilizzare l'account di gestione o root.	Architetto del cloud
(Facoltativo) Consenti la creazione PRs delle pipeline dell'organizzazione.	Nota Questo passaggio è necessario solo se si desidera consentire la creazione PRs del generate_providers_and_account_vars flusso di lavoro. Per consentire la creazione delle pipeline della tua organizzazione PRs, segui i seguenti passaggi: Passa a https://github.com/organizations/YOUR_ORG/settings/actions. Seleziona Consenti GitHub azioni per creare e approvare le richieste pull. Per ulteriori informazioni, consulta la sezione Gestione GitHub delle impostazioni delle azioni per un repository nella GitHub documentazione.	DevOps ingegnere
Concedi autorizzazioni di sola lettura all'account RVM.	Crea una politica di delega nel tuo account di gestione che conceda al tuo account RVM autorizzazioni di sola lettura. Ciò consente ai GitHub flussi di lavoro RVM di generare dinamicamente un elenco degli account dell'organizzazione durante l'esecuzione dello script. AWS generate_providers_and_account_vars.py Utilizzate il codice seguente e sostituitelo <YOUR RVM Account ID> con l' Account AWS ID selezionato nel passaggio 2: { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<YOUR RVM Account ID>:root" }, "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListRoots", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource": "*" } ] }	Amministratore cloud
Aggiorna i valori predefiniti dal repository di esempio.	Per configurare la RVM in modo che funzioni nel tuo ambiente specifico Regione AWS, procedi come segue: Aggiorna scripts/generate_providers_and_account_vars.py e aggiorna altri file (come la bootstrap cartella) con la regione appropriata in cui operi. Aggiorna il .github/workflows/.env file con l' Account AWS Regione AWS ID e tutte le altre variabili che desideri specificare.	DevOps ingegnere

Prepara l'ambiente

Attività	Descrizione	Competenze richieste
Copia il repository di esempio nella tua GitHub organizzazione.	Clona il repository di questo pattern o trasferiscilo alla tua GitHub organizzazione in modo da poterlo adattare alle tue esigenze. Se scegli di clonare questo repository, puoi usare il seguente comando: git clone https://github.com/aws-samples/role-vending-machine Se scegli di eseguire il fork del repository alla tua GitHub organizzazione, puoi usare il seguente comando: gh repo fork aws-samples/role-vending-machine --org YOUR_ORGANIZATION_NAME	DevOps ingegnere
Determina il Account AWS per la RVM.	Determina quale implementazione dell'infrastruttura utilizzare Account AWS per la RVM. Non utilizzare l'account di gestione o root.	Architetto del cloud
(Facoltativo) Consenti la creazione PRs delle pipeline dell'organizzazione.	Nota Questo passaggio è necessario solo se si desidera consentire la creazione PRs del generate_providers_and_account_vars flusso di lavoro. Per consentire la creazione delle pipeline della tua organizzazione PRs, segui i seguenti passaggi: Passa a https://github.com/organizations/YOUR_ORG/settings/actions. Seleziona Consenti GitHub azioni per creare e approvare le richieste pull. Per ulteriori informazioni, consulta la sezione Gestione GitHub delle impostazioni delle azioni per un repository nella GitHub documentazione.	DevOps ingegnere
Concedi autorizzazioni di sola lettura all'account RVM.	Crea una politica di delega nel tuo account di gestione che conceda al tuo account RVM autorizzazioni di sola lettura. Ciò consente ai GitHub flussi di lavoro RVM di generare dinamicamente un elenco degli account dell'organizzazione durante l'esecuzione dello script. AWS generate_providers_and_account_vars.py Utilizzate il codice seguente e sostituitelo <YOUR RVM Account ID> con l' Account AWS ID selezionato nel passaggio 2: { "Version": "2012-10-17", "Statement": [ { "Sid": "Statement", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::<YOUR RVM Account ID>:root" }, "Action": [ "organizations:ListAccounts", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListRoots", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators" ], "Resource": "*" } ] }	Amministratore cloud
Aggiorna i valori predefiniti dal repository di esempio.	Per configurare la RVM in modo che funzioni nel tuo ambiente specifico Regione AWS, procedi come segue: Aggiorna scripts/generate_providers_and_account_vars.py e aggiorna altri file (come la bootstrap cartella) con la regione appropriata in cui operi. Aggiorna il .github/workflows/.env file con l' Account AWS Regione AWS ID e tutte le altre variabili che desideri specificare.	DevOps ingegnere

Inizializza l'infrastruttura

Attività	Descrizione	Competenze richieste
Avvia il repository RVM.	Questo passaggio è necessario per creare i ruoli OIDC Trust e IAM utilizzati dalla pipeline RVM stessa, in modo che possa iniziare a operare e vendere altri ruoli. Nel contesto del tuo account RVM, esegui manualmente un comando dalla directory. terraform apply scripts/bootstrap Fornite tutti i valori richiesti in base alla documentazione delle variabili.	DevOps ingegnere

Inizializza l'infrastruttura

Attività	Descrizione	Competenze richieste
Avvia il repository RVM.	Questo passaggio è necessario per creare i ruoli OIDC Trust e IAM utilizzati dalla pipeline RVM stessa, in modo che possa iniziare a operare e vendere altri ruoli. Nel contesto del tuo account RVM, esegui manualmente un comando dalla directory. terraform apply scripts/bootstrap Fornite tutti i valori richiesti in base alla documentazione delle variabili.	DevOps ingegnere

Configura le operazioni

Attività	Descrizione	Competenze richieste
Distribuisci i github-workflow-rvm-readonly ruoli github-workflow-rvm and a tutti gli account.	Scegliete un metodo di distribuzione in linea con le pratiche della vostra organizzazione, come AFT o. StackSets Utilizza questo metodo per distribuire i due ruoli IAM nel scripts/assumed_role/main.tf file (nomi predefiniti github-workflow-rvm egithub-workflow-rvm-readonly) su ciascun account in cui desideri che RVM sia in grado di creare ruoli nella pipeline. Questi ruoli IAM dispongono di politiche di fiducia che consentono al ruolo di assunzione del ruolo dell'account RVM (o equivalente) di assumerlo. readonly I ruoli dispongono inoltre di politiche di autorizzazione IAM che consentono loro di leggere e scrivere (a meno che non si utilizzi il readonly ruolo) ruoli corrispondenti. github-workflow-role-*	Amministratore AWS
Esegui il generate_providers_and_account_vars flusso di lavoro.	Per configurare la RVM in modo che sia pronta per la creazione di ruoli nella pipeline, procedi come segue: Esegui il generate_providers_and_account_vars flusso di lavoro utilizzando workflow_dispatch. Unisci il PR creato dal flusso di lavoro. Una volta completato il flusso di lavoro, la RVM è pronta per: Accetta richieste per nuovi ruoli nella pipeline. Crea ruoli di sola lettura o di lettura-scrittura come richiesto. Distribuisci i ruoli nel modo specificato. Account AWS	DevOps ingegnere

Configura le operazioni

Attività	Descrizione	Competenze richieste
Distribuisci i github-workflow-rvm-readonly ruoli github-workflow-rvm and a tutti gli account.	Scegliete un metodo di distribuzione in linea con le pratiche della vostra organizzazione, come AFT o. StackSets Utilizza questo metodo per distribuire i due ruoli IAM nel scripts/assumed_role/main.tf file (nomi predefiniti github-workflow-rvm egithub-workflow-rvm-readonly) su ciascun account in cui desideri che RVM sia in grado di creare ruoli nella pipeline. Questi ruoli IAM dispongono di politiche di fiducia che consentono al ruolo di assunzione del ruolo dell'account RVM (o equivalente) di assumerlo. readonly I ruoli dispongono inoltre di politiche di autorizzazione IAM che consentono loro di leggere e scrivere (a meno che non si utilizzi il readonly ruolo) ruoli corrispondenti. github-workflow-role-*	Amministratore AWS
Esegui il generate_providers_and_account_vars flusso di lavoro.	Per configurare la RVM in modo che sia pronta per la creazione di ruoli nella pipeline, procedi come segue: Esegui il generate_providers_and_account_vars flusso di lavoro utilizzando workflow_dispatch. Unisci il PR creato dal flusso di lavoro. Una volta completato il flusso di lavoro, la RVM è pronta per: Accetta richieste per nuovi ruoli nella pipeline. Crea ruoli di sola lettura o di lettura-scrittura come richiesto. Distribuisci i ruoli nel modo specificato. Account AWS	DevOps ingegnere

Risoluzione dei problemi

Problema	Soluzione
Ho creato un ruolo utilizzando RVM, ma GitHub non sono in grado di assumerlo.	Verifica che il nome del GitHub repository corrisponda al nome fornito al modulo. github_workflow_roles I ruoli sono definiti in modo che solo un repository possa assumerli. Analogamente, verificate che il ramo utilizzato nella GitHub pipeline corrisponda al nome del ramo fornito al modulo. github_workflow_roles In genere, i ruoli creati da RVM con autorizzazioni di scrittura possono essere utilizzati solo dai flussi di lavoro limitati al main ramo (ovvero, distribuzioni provenienti da). main
Il mio ruolo di sola lettura non riesce a eseguire la pipeline perché non dispone delle autorizzazioni per leggere una risorsa specifica.	Sebbene la ReadOnlyAccess policy fornisca ampie autorizzazioni di sola lettura, la policy non include alcune azioni di lettura (ad esempio, alcune azioni del Security Hub). È possibile aggiungere autorizzazioni per azioni specifiche utilizzando il inline_policy_readonly parametro del modulo. github-workflow-roles

Risorse correlate

• Le migliori pratiche per l'utilizzo AWS CloudFormation StackSets

• Organizzazione dell' AWS ambiente utilizzando più account

• Panoramica di AWS Control Tower Account Factory for Terraform (AFT)

• Le migliori pratiche politiche

Informazioni aggiuntive

Utilizzo GitHub degli ambienti

GitHub gli ambienti sono un approccio alternativo alle restrizioni basate sulle filiali per l'accesso ai ruoli. Se preferisci utilizzare un GitHub ambiente, di seguito è riportato un esempio della sintassi per una condizione aggiuntiva nella policy di fiducia IAM. Questa sintassi specifica che il ruolo può essere utilizzato solo quando l' GitHub azione è in esecuzione nell'ambiente. Production

"StringLike": {
    "token.actions.githubusercontent.com:sub": "repo:octo-org/octo-repo:environment:Production"
}

La sintassi di esempio utilizza i seguenti valori segnaposto:

• octo-orgè il nome dell'organizzazione. GitHub

• octo-repoè il nome del repository.

• Productionè il nome specifico GitHub dell'ambiente.