Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Raccomandazioni sul controllo della sicurezza per la gestione dell'identità e dell'accesso
È possibile creare identità in AWS o connettere una fonte di identità esterna. Tramite le policy AWS Identity and Access Management (IAM), concedi agli utenti le autorizzazioni necessarie in modo che possano accedere o gestire AWS risorse e applicazioni integrate. Una gestione efficace delle identità e degli accessi aiuta a verificare che le persone e le macchine giuste abbiano accesso alle risorse giuste nelle giuste condizioni. Il AWS Well-Architected Framework fornisce le migliori pratiche per la gestione delle identità e delle relative autorizzazioni. Esempi di best practice includono l'affidamento a un provider di identità centralizzato e l'utilizzo di potenti meccanismi di accesso, come l'autenticazione a più fattori (MFA). I controlli di sicurezza in questa sezione possono aiutarti a implementare queste best practice.
Controlli in questa sezione:
Monitora e configura le notifiche per l'attività degli utenti root
La prima volta che si crea un Account AWS, si inizia con un'identità di accesso singolo denominata utente root. Per impostazione predefinita, l'utente root ha accesso completo a tutte Servizi AWS le risorse dell'account. È necessario controllare e monitorare attentamente l'utente root e utilizzarlo solo per le attività che richiedono le credenziali dell'utente root.
Per ulteriori informazioni, consulta le seguenti risorse:
-
Concedi l'accesso con il minimo privilegio nel Well-Architected Framework AWS
-
Monitora l'attività degli utenti root di IAM in Prescriptive Guidance AWS
Non creare chiavi di accesso per l'utente root
L'utente root è l'utente più privilegiato in un Account AWS. La disabilitazione dell'accesso programmatico all'utente root aiuta a ridurre il rischio di esposizione involontaria delle credenziali dell'utente e la conseguente compromissione dell'ambiente cloud. Ti consigliamo di creare e utilizzare i ruoli IAM come credenziali temporanee per accedere alle tue risorse e alle tue. Account AWS
Per ulteriori informazioni, consulta le seguenti risorse:
-
La chiave di accesso utente root IAM non dovrebbe esistere nella documentazione AWS Security Hub
-
Eliminazione delle chiavi di accesso per l'utente root nella documentazione IAM
-
Ruoli IAM nella documentazione IAM
Abilita MFA per l'utente root
Ti consigliamo di abilitare più dispositivi di autenticazione a più fattori (MFA) per Account AWS l'utente root e gli utenti IAM. Ciò aumenta il livello di sicurezza Account AWS e può semplificare la gestione degli accessi. Poiché un utente root è un utente altamente privilegiato in grado di eseguire azioni privilegiate, è fondamentale richiedere l'autenticazione MFA per l'utente root. È possibile utilizzare un dispositivo MFA hardware che genera un codice numerico basato sull'algoritmo TOTP (Time-based One-Time Password), una chiave di sicurezza hardware FIDO o un'applicazione di autenticazione virtuale.
Nel 2024, l'MFA sarà richiesta per accedere all'utente root di qualsiasi utente. Account AWS Per ulteriori informazioni, consulta Secure by Design: AWS to enhance MFA requirements in 2024 nel
Se possibile, si consiglia di utilizzare un dispositivo MFA hardware per l'utente root. Di conseguenza, un dispositivo MFA virtuale potrebbe non offrire lo stesso livello di sicurezza di un dispositivo hardware MFA. È possibile utilizzare l'MFA virtuale in attesa dell'approvazione o della consegna dell'acquisto dell'hardware.
In situazioni in cui si gestiscono centinaia di account AWS Organizations, a seconda della propensione al rischio dell'organizzazione, potrebbe non essere scalabile utilizzare la MFA basata su hardware per l'utente root di ogni account in un'unità organizzativa (OU). In questo caso, è possibile scegliere un account nell'unità organizzativa che funga da account di gestione dell'unità organizzativa e quindi disabilitare l'utente root per gli altri account dell'unità organizzativa. Per impostazione predefinita, l'account di gestione dell'unità organizzativa non ha accesso agli altri account. Configurando in anticipo l'accesso tra più account, è possibile accedere agli altri account dall'account di gestione dell'unità organizzativa in caso di emergenza. Per configurare l'accesso tra più account, si crea un ruolo IAM nell'account membro e si definiscono le politiche in modo che solo l'utente root dell'account di gestione dell'unità organizzativa possa assumere questo ruolo. Per ulteriori informazioni, consulta Tutorial: Delegate l'accesso attraverso l' Account AWS utilizzo dei ruoli IAM nella documentazione IAM.
Ti consigliamo di abilitare più dispositivi MFA per le credenziali dell'utente root. È possibile registrare fino a otto dispositivi MFA di qualsiasi combinazione.
Per ulteriori informazioni, consulta le seguenti risorse:
-
Abilitazione di un token TOTP hardware nella documentazione IAM
-
Abilitazione di un dispositivo di autenticazione a più fattori (MFA) virtuale nella documentazione IAM
-
Abilitazione di una chiave di sicurezza FIDO nella documentazione IAM
-
Proteggi l'accesso dell'utente root con l'autenticazione a più fattori (MFA) nella documentazione IAM
Segui le best practice di sicurezza per IAM
La documentazione IAM include un elenco di best practice progettate per aiutarti a proteggere Account AWS le tue risorse. Include raccomandazioni per configurare l'accesso e le autorizzazioni in base al principio del privilegio minimo. Esempi di best practice di sicurezza IAM includono la configurazione della federazione delle identità, la richiesta della MFA e l'utilizzo di credenziali temporanee.
Per ulteriori informazioni, consulta le seguenti risorse:
Concedi le autorizzazioni con il privilegio minimo
Il privilegio minimo è la pratica di concedere solo le autorizzazioni necessarie per eseguire un'attività. A tale scopo, è necessario definire le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche.
Il controllo degli accessi basato sugli attributi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi, come i relativi tag. È possibile utilizzare gli attributi di gruppo, identità e risorsa per definire dinamicamente le autorizzazioni su larga scala, anziché definire le autorizzazioni per singoli utenti. Ad esempio, puoi utilizzare ABAC per consentire a un gruppo di sviluppatori di accedere solo alle risorse a cui è associato un tag specifico al progetto.
Per ulteriori informazioni, consulta le seguenti risorse:
-
Applica le autorizzazioni con privilegi minimi nella documentazione IAM
-
A cosa serve ABAC nella documentazione IAM AWS
Definisci le barriere di autorizzazione a livello di carico di lavoro
È consigliabile utilizzare una strategia multi-account perché offre la flessibilità necessaria per definire i guardrail a livello di carico di lavoro. La AWS Security Reference Architecture offre indicazioni prescrittive su come strutturare gli account. Questi account vengono gestiti come organizzazione in AWS Organizations, e gli account sono raggruppati in unità organizzative (). OUs
Servizi AWS, ad esempio AWS Control Tower, può aiutarti a gestire centralmente i controlli all'interno di un'organizzazione. Ti consigliamo di definire uno scopo chiaro per ogni account o unità organizzativa all'interno dell'organizzazione e di applicare i controlli in base a tale scopo. AWS Control Tower implementa controlli preventivi, investigativi e proattivi che consentono di gestire le risorse e monitorare la conformità. Un controllo preventivo è progettato per prevenire il verificarsi di un evento. Un controllo investigativo è progettato per rilevare, registrare e avvisare dopo che si è verificato un evento. Un controllo proattivo è progettato per impedire l'implementazione di risorse non conformi mediante la scansione delle risorse prima del loro approvvigionamento.
Per ulteriori informazioni, consulta le seguenti risorse:
-
Separare i carichi di lavoro utilizzando gli account nel AWS Well-Architected Framework
-
AWS Architettura di riferimento per la sicurezza (AWS SRA) nelle linee guida prescrittive AWS
-
Informazioni sui controlli presenti nella documentazione AWS Control Tower AWS Control Tower
-
Implementazione dei controlli di sicurezza AWS in AWS Prescriptive Guidance
Ruota le chiavi di accesso IAM a intervalli regolari
È consigliabile aggiornare le chiavi di accesso per i casi d'uso che richiedono credenziali a lungo termine. Consigliamo di ruotare le chiavi di accesso ogni 90 giorni o meno. La rotazione delle chiavi di accesso riduce il rischio che venga utilizzata una chiave di accesso associata a un account compromesso o chiuso. Inoltre, impedisce l'accesso utilizzando una vecchia chiave che potrebbe essere stata smarrita, compromessa o rubata. Aggiorna sempre le applicazioni dopo aver ruotato le chiavi di accesso.
Per ulteriori informazioni, consulta le seguenti risorse:
Identifica le risorse condivise con un'entità esterna
Un'entità esterna è una risorsa, un'applicazione, un servizio o un utente esterno all' AWS organizzazione, ad esempio un altro utente root Account AWS, un utente o ruolo IAM, un utente federato o un Servizio AWS utente anonimo (o non autenticato). È una best practice di sicurezza utilizzare IAM Access Analyzer per identificare le risorse dell'organizzazione e degli account, come i bucket Amazon Simple Storage Service (Amazon S3) o i ruoli IAM, che sono condivisi con un'entità esterna. Questo ti aiuta a identificare l'accesso involontario a risorse e dati, che rappresenta un rischio per la sicurezza.
Per ulteriori informazioni, consulta le seguenti risorse:
