Fase 4. Implementazione di meccanismi di controllo dell'accesso - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Fase 4. Implementazione di meccanismi di controllo dell'accesso

Quando si pensa alla sicurezza nel cloud, la strategia di base dovrebbe iniziare con una solida base di identità per garantire che l'utente disponga delle autorizzazioni giuste per accedere ai dati. L'autenticazione e l'autorizzazione appropriate possono mitigare il rischio di eventi di sicurezza. Il modello di responsabilità condivisa richiede AWS ai clienti di implementare politiche di controllo degli accessi. Per creare e gestire policy di accesso su larga scala, puoi usare AWS Identity and Access Management (IAM).

Per gli scopi di configurazione dei diritti di accesso e delle autorizzazioni, implementa il principio del privilegio minimo e assicurati che a ogni utente o sistema che accede ai dati di backup o al vault vengano fornite solo le autorizzazioni necessarie per svolgere il lavoro. Utilizzalo AWS Backup per impostare le policy di accesso negli archivi di backup per proteggere i carichi di lavoro nel cloud.

Ad esempio, implementando policy di controllo dell'accesso, puoi concedere agli utenti l'accesso per creare piani di backup e backup su richiesta, limitando al contempo la loro capacità di eliminare i punti di ripristino. Utilizzando le policy di accesso al vault, è possibile condividere un vault di backup di destinazione con un ruolo di origine Account AWS o IAM, in base alle esigenze aziendali. Puoi anche utilizzare le policy di accesso per condividere un archivio di backup con uno o più account o con l'intera organizzazione in AWS Organizations. Per ulteriori informazioni, consulta la documentazione relativa ad AWS Backup.

Man mano che ridimensionate i carichi di lavoro o effettuate la migrazione AWS, potrebbe essere necessario gestire centralmente le autorizzazioni per i vault e le operazioni di backup. Utilizza le policy di controllo dei servizi (SCPs) per implementare il controllo centralizzato sulle autorizzazioni massime disponibili per tutti gli account dell'organizzazione. SCPs offrono una difesa approfondita e garantiscono che gli utenti rispettino le linee guida definite per il controllo degli accessi. Per ulteriori informazioni, consulta la sezione Gestione dell'accesso ai backup utilizzando le policy di controllo del servizio con AWS Backup.

Per mitigare i rischi per la sicurezza, come l'accesso involontario alle risorse e ai dati di backup, utilizza IAM Access Analyzer per identificare qualsiasi ruolo AWS Backup IAM condiviso con quanto segue:

  • Un'entità esterna come Account AWS

  • Un utente root

  • Un utente o ruolo IAM

  • Un utente federato

  • Un Servizio AWS

  • Un utente anonimo

  • Qualsiasi altra entità che potrebbe essere utilizzata per creare un filtro