Visualizza i report sulle IAM credenziali per tutti gli AWS account utilizzando Amazon QuickSight - Prontuario AWS
RiepilogoPrerequisiti e limitazioniArchitetturaStrumentiEpicheInformazioni aggiuntive

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizza i report sulle IAM credenziali per tutti gli AWS account utilizzando Amazon QuickSight

Creato da Parag Nagwekar () e Arun Chandapillai () AWS AWS

Archivio di codici: ottieni una visibilità a livello organizzativo dei tuoi report sulle credenziali IAM

Ambiente: produzione

Tecnologie: analisi; consulenza; gestione e governance; sicurezza, identità, conformità

Carico di lavoro: tutti gli altri carichi di lavoro

AWSservizi: Amazon Athena; AWS CloudFormation Amazon EventBridge; AWS Identity and Access Management; Amazon QuickSight

Riepilogo

Attenzione: IAM gli utenti dispongono di credenziali a lungo termine, il che rappresenta un rischio per la sicurezza. Per contribuire a mitigare questo rischio, si consiglia di fornire a questi utenti solo le autorizzazioni necessarie per eseguire l'operazione e di rimuoverli quando non sono più necessari.

È possibile utilizzare i report sulle credenziali di AWS Identity and Access Management (IAM) per soddisfare i requisiti di sicurezza, controllo e conformità dell'organizzazione. I report sulle credenziali forniscono un elenco di tutti gli utenti dei tuoi AWS account e mostrano lo stato delle loro credenziali, come password, chiavi di accesso e dispositivi di autenticazione a più fattori (). MFA Puoi utilizzare i report sulle credenziali per più AWS account gestiti da AWSOrganizations.

Questo modello include passaggi e codice per aiutarti a creare e condividere report sulle IAM credenziali per tutti gli AWS account della tua organizzazione utilizzando i QuickSight dashboard di Amazon. Puoi condividere le dashboard con le parti interessate della tua organizzazione. I report possono aiutare l'organizzazione a raggiungere i seguenti risultati aziendali mirati:

  • Identifica gli incidenti di sicurezza relativi agli utenti IAM

  • Tieni traccia della migrazione in tempo reale degli IAM utenti all'autenticazione Single Sign-on () SSO

  • Tieni traccia delle AWS regioni a cui accedono gli utenti IAM

  • Rimani conforme

  • Condividi le informazioni con altre parti interessate

Prerequisiti e limitazioni

Prerequisiti

Architettura

Stack tecnologico

  • Amazon Athena

  • Amazon EventBridge

  • Amazon QuickSight

  • Amazon Simple Storage Service (Amazon S3)

  • AWS Glue

  • AWSIdentity and Access Management (IAM)

  • AWSLambda

  • AWSOrganizzazioni

Architettura di destinazione

Il diagramma seguente mostra un'architettura per la configurazione di un flusso di lavoro che acquisisce i dati dei report sulle IAM credenziali da più account. AWS

La schermata seguente illustra il diagramma dell'architettura

  1. EventBridge richiama una funzione Lambda ogni giorno.

  2. La funzione Lambda assume un IAM ruolo in ogni AWS account dell'organizzazione. Quindi, la funzione crea il rapporto sulle IAM credenziali e archivia i dati del report in un bucket S3 centralizzato. È necessario abilitare la crittografia e disattivare l'accesso pubblico sul bucket S3.

  3. Un crawler AWS Glue esegue quotidianamente la scansione del bucket S3 e aggiorna di conseguenza la tabella Athena.

  4. QuickSight importa e analizza i dati dal rapporto sulle credenziali e crea una dashboard che può essere visualizzata e condivisa con le parti interessate.

Strumenti

AWSservizi

  • Amazon Athena è un servizio di query interattivo che semplifica l'analisi dei dati in Amazon S3 utilizzando standard. SQL

  • Amazon EventBridge è un servizio di bus eventi senza server che ti aiuta a connettere le tue applicazioni con dati in tempo reale provenienti da una varietà di fonti. Ad esempio, funzioni Lambda, endpoint di HTTP invocazione che utilizzano API destinazioni o bus di eventi in altri account. AWS

  • Amazon QuickSight è un servizio di business intelligence (BI) su scala cloud che ti aiuta a visualizzare, analizzare e riportare i tuoi dati in un'unica dashboard.

  • AWSIdentity and Access Management (IAM) consente di gestire in modo sicuro l'accesso alle AWS risorse controllando chi è autenticato e autorizzato a utilizzarle.

  • AWSLambda è un servizio di elaborazione che ti aiuta a eseguire il codice senza dover effettuare il provisioning o gestire i server. Esegue il codice solo quando necessario e si ridimensiona automaticamente, quindi paghi solo per il tempo di elaborazione che utilizzi.

Codice

Il codice per questo pattern è disponibile nel repository. GitHub getiamcredsreport-allaccounts-org Puoi utilizzare il codice di questo repository per creare report sulle IAM credenziali tra AWS gli account in Organizations e archiviarli in una posizione centrale.

Epiche

AttivitàDescrizioneCompetenze richieste

Configura l'edizione Amazon QuickSight Enterprise.

  1. Attiva l'edizione Amazon QuickSight Enterprise nel tuo AWS account. Per ulteriori informazioni, consulta Gestire l'accesso degli utenti all'interno di Amazon QuickSight nella QuickSight documentazione.

  2. Per concedere le autorizzazioni della dashboard, ottieni l'Amazon Resource Name (ARN) degli QuickSight utenti.

AWSamministratore AWS DevOps, amministratore cloud, architetto cloud

Integra Amazon QuickSight con Amazon S3 e Athena.

È necessario QuickSight autorizzare l'uso di Amazon S3 e Athena prima di distribuire lo stack. AWS CloudFormation

AWSamministratore, amministratore cloud AWS DevOps, architetto cloud
AttivitàDescrizioneCompetenze richieste

Clona il GitHub repository.

  1. Clona il GitHub getiamcredsreport-allaccounts-orgrepository sul tuo computer locale eseguendo il seguente comando: git clone https://github.com/aws-samples/getiamcredsreport-allaccounts-org

AWSamministratore

Implementa l'infrastruttura.

  1. Accedi alla console di AWS gestione e apri la CloudFormation console.

  2. Nel riquadro di navigazione, scegli Crea stack, quindi scegli Con nuove risorse (standard).

  3. Nella pagina Identifica risorse, scegli Avanti.

  4. Nella pagina Specificare il modello, per Origine del modello, seleziona Carica un file modello.

  5. Scegli file, seleziona il Cloudformation-createcredrepo.yaml file dal tuo GitHub repository clonato, quindi scegli Avanti.

  6. In Parametri, aggiorna IAMRoleName con il tuo ruolo. IAM Questo dovrebbe essere il IAM ruolo che vuoi che Lambda assuma in ogni account dell'organizzazione. Questo ruolo crea il rapporto sulle credenziali. Nota: il ruolo non deve essere presente in tutti gli account in questa fase della creazione dello stack.

  7. In Parametri, aggiorna S3BucketName con il nome del bucket S3 in cui Lambda può memorizzare le credenziali per tutti gli account.

  8. Per il nome dello stack, inserisci il nome dello stack.

  9. Scegli Invia.

  10. Nota il nome del ruolo della funzione Lambda.

AWSamministratore

Crea una politica di IAM autorizzazione.

Crea una IAM politica per ogni AWS account della tua organizzazione con le seguenti autorizzazioni:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:GenerateCredentialReport",
        "iam:GetCredentialReport"
        ],
      "Resource": "*"
    }
  ]
}
AWS DevOps, Amministratore cloud, architetto cloud, ingegnere dei dati

Crea un IAM ruolo con una politica di fiducia.

  1. Crea un IAM ruolo per gli AWS account e allega la politica di autorizzazione creata nel passaggio precedente.

  2. Allega la seguente politica di fiducia al IAM ruolo:

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Principal":{
            "AWS":[
               "arn:aws:iam::<MasterAccountID>:role/<LambdaRole>"
            ]
         },
         "Action":"sts:AssumeRole"
      }
   ]
}

Importante: sostituiscilo arn:aws:iam::<MasterAccountID>:role/<LambdaRole> ARN con il ruolo Lambda che hai notato in precedenza.

Nota: le organizzazioni in genere utilizzano l'automazione per creare IAM ruoli per i propri AWS account. Ti consigliamo di utilizzare questa automazione, se disponibile. In alternativa, puoi utilizzare lo CreateRoleforOrg.py script dal repository del codice. Lo script richiede un ruolo amministrativo esistente o qualsiasi altro IAM ruolo autorizzato a creare una IAM politica e un ruolo in ogni AWS account.

Amministratore del cloud, architetto del cloud, AWS amministratore

Configura Amazon QuickSight per visualizzare i dati.

  1. Accedi QuickSight con le tue credenziali.

  2. Crea un set di dati utilizzando Athena (utilizzando iamcredreportdb il database “cfn_iamcredreport” e la tabella), quindi aggiorna automaticamente il set di dati.

  3. Crea un'analisi in. QuickSight

  4. Crea un QuickSight pannello di controllo.

AWS DevOps, Amministratore cloud, architetto cloud, ingegnere dei dati

Informazioni aggiuntive

Considerazioni aggiuntive

Considera i seguenti aspetti:

  • Dopo aver distribuito l' CloudFormation infrastruttura, puoi attendere che Lambda e AWS Glue vengano eseguiti secondo le rispettive pianificazioni, prima che i report vengano creati in Amazon S3 e analizzati da Athena. In alternativa, puoi eseguire Lambda manualmente per ottenere i report in Amazon S3, quindi eseguire il crawler AWS Glue per ottenere la tabella Athena creata dai dati.

  • QuickSight è un potente strumento per l'analisi e la visualizzazione dei dati in base ai requisiti aziendali. Puoi utilizzare i parametri QuickSight per controllare i dati dei widget in base ai campi di dati che scegli. Inoltre, puoi utilizzare un' QuickSight analisi per creare parametri (ad esempio, campi Account, Data e Utente comepartition_0, user rispettivamentepartition_1, e) dal tuo set di dati per aggiungere controlli per i parametri Account, Data e Utente.

  • Per creare QuickSight dashboard personalizzate, consulta QuickSight Workshop dal sito Web di AWS Workshop Studio.

  • Per visualizzare QuickSight dashboard di esempio, consulta l'archivio del GitHub getiamcredsreport-allaccounts-orgcodice.

Risultati aziendali mirati

È possibile utilizzare questo modello per ottenere i seguenti risultati aziendali mirati:

  • Identifica gli incidenti di sicurezza relativi agli IAM utenti: analizza ogni utente di ogni AWS account della tua organizzazione utilizzando un unico pannello di controllo. Puoi tenere traccia dell'andamento delle singole AWS aree geografiche di accesso più recenti di un IAM utente e dei servizi utilizzati.

  • Monitora in tempo reale la migrazione degli IAM utenti verso SSO l'autenticazione: utilizzandoSSO, gli utenti possono accedere una sola volta con un'unica credenziale e accedere a più AWS account e applicazioni. Se hai intenzione di migrare IAM gli utenti versoSSO, questo modello può aiutarti a passare SSO e tenere traccia dell'utilizzo di tutte le credenziali IAM degli utenti (come l'accesso alla Console di AWS gestione o l'uso delle chiavi di accesso) su tutti gli account. AWS

  • Tieni traccia AWS delle aree a cui accedono IAM gli utenti: puoi controllare IAM l'accesso degli utenti alle regioni per vari scopi, come la sovranità dei dati e il controllo dei costi. Puoi anche tenere traccia dell'utilizzo delle regioni da parte di qualsiasi utenteIAM.

  • Resta conforme: seguendo il principio del privilegio minimo, puoi concedere solo le IAM autorizzazioni specifiche necessarie per eseguire un'attività specifica. Inoltre, puoi tenere traccia dell'accesso ai AWS servizi, alla console di AWS gestione e all'utilizzo delle credenziali a lungo termine.

  • Condividi informazioni con altre parti interessate: puoi condividere dashboard curate con altre parti interessate, senza concedere loro l'accesso ai report o agli account sulle IAM credenziali. AWS