Utilizzo di AWS Organizations per la sicurezza - AWS Guida prescrittiva

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di AWS Organizations per la sicurezza

Influenza il futuro della AWS Security Reference Architecture (AWSSRA) rispondendo a un breve sondaggio.

AWS Organizations ti aiuta a gestire e governare centralmente il tuo ambiente man mano che cresci e ridimensioni le tue risorse AWS. Utilizzando AWS Organizations, puoi creare in modo programmatico nuovi account AWS, allocare risorse, raggruppare account per organizzare i carichi di lavoro e applicare policy ad account o gruppi di account per la governance. Un'organizzazione AWS consolida i tuoi account AWS in modo da poterli amministrare come una singola unità. Ha un account di gestione oltre a zero o più account membri. La maggior parte dei carichi di lavoro risiede negli account dei membri, ad eccezione di alcuni processi gestiti centralmente che devono risiedere nell'account di gestione o negli account assegnati come amministratori delegati per servizi AWS specifici. Puoi fornire strumenti e accesso da una posizione centrale al tuo team di sicurezza per gestire le esigenze di sicurezza per conto di un'organizzazione AWS. Puoi ridurre la duplicazione delle risorse condividendo risorse critiche all'interno della tua organizzazione AWS. Puoi raggruppare gli account in unità organizzative (OU) AWS, che possono rappresentare ambienti diversi in base ai requisiti e allo scopo del carico di lavoro.

Con AWS Organizations, puoi utilizzare le policy di controllo dei servizi (SCP) per applicare barriere di autorizzazione a livello di organizzazione, unità organizzativa o account AWS. Questi guardrail si applicano ai responsabili all'interno dell'account di un'organizzazione, ad eccezione dell'account di gestione (che è uno dei motivi per non eseguire carichi di lavoro in questo account). Quando si collega un SCP a un'unità organizzativa, questo viene ereditato dalle unità organizzative secondarie e dagli account appartenenti all'unità organizzativa. Gli SCP non concedono alcuna autorizzazione. Invece, gli SCP specificano le autorizzazioni massime per un'organizzazione, un'unità organizzativa o un account AWS. Devi comunque allegare policy basate sull'identità o sulle risorse ai principali o alle risorse dei tuoi account AWS per concedere loro effettivamente le autorizzazioni. Ad esempio, se un SCP nega l'accesso a tutto Amazon S3, un principale interessato dall'SCP non avrà accesso ad Amazon S3 anche se gli viene esplicitamente concesso l'accesso tramite una policy IAM. Per informazioni dettagliate su come vengono valutate le politiche IAM, sul ruolo degli SCP e su come l'accesso viene infine concesso o negato, consulta la logica di valutazione delle politiche nella documentazione IAM. 

AWS Control Tower offre un modo semplificato per configurare e gestire più account. Automatizza la configurazione degli account nella tua organizzazione AWS, automatizza il provisioning, applica i guardrail (che includono controlli preventivi e investigativi) e ti fornisce una dashboard per la visibilità. Un'ulteriore policy di gestione IAM, un limite di autorizzazioni, è associata a entità IAM specifiche (utenti o ruoli) e imposta le autorizzazioni massime che una policy basata sull'identità può concedere a un'entità IAM.

AWS Organizations ti aiuta a configurare i servizi AWS che si applicano a tutti i tuoi account. Ad esempio, puoi configurare la registrazione centralizzata di tutte le azioni eseguite nella tua organizzazione AWS utilizzando AWS CloudTrail e impedire agli account dei membri di disabilitare la registrazione. Puoi anche aggregare centralmente i dati per le regole che hai definito utilizzando AWS Config, in modo da controllare la conformità dei carichi di lavoro e reagire rapidamente ai cambiamenti. Puoi usare AWS CloudFormation StackSets per gestire centralmente gli CloudFormation stack AWS tra account e unità organizzative nella tua organizzazione AWS, in modo da poter fornire automaticamente un nuovo account per soddisfare i tuoi requisiti di sicurezza. 

La configurazione predefinita di AWS Organizations supporta l'uso di SCP come liste di rifiuto. Utilizzando una strategia di deny list, gli amministratori degli account membri possono delegare tutti i servizi e le azioni fino a quando non si crea e si allega un SCP che neghi un servizio o una serie di azioni specifici. Le dichiarazioni di rifiuto richiedono meno manutenzione rispetto a un elenco consentito, perché non è necessario aggiornarle quando AWS aggiunge nuovi servizi. Le dichiarazioni di deny sono generalmente più corte nella lunghezza dei caratteri, quindi è più facile rispettare la dimensione massima per gli SCP. In un'istruzione in cui l'elemento Effect ha un valore Deny, è anche possibile limitare l'accesso a risorse specifiche o definire condizioni di attivazione delle SCP. Al contrario, un'istruzione Allow in un SCP si applica a tutte le risorse ("*") e non può essere limitata da condizioni. Per ulteriori informazioni ed esempi, consulta Strategie per l'utilizzo degli SCP nella documentazione di AWS Organizations.

Considerazioni di natura progettuale

  • In alternativa, per utilizzare SCP come elenco consentito, devi sostituire l'SCP gestito da AWS con un FullAWSAccess SCP che consenta esplicitamente solo i servizi e le azioni che desideri consentire. Affinché un'autorizzazione sia abilitata per un account specifico, ogni SCP (dalla radice a ciascuna unità organizzativa nel percorso diretto verso l'account e anche collegato all'account stesso) deve consentire tale autorizzazione. Questo modello è di natura più restrittiva e potrebbe essere adatto a carichi di lavoro altamente regolamentati e sensibili. Questo approccio richiede di consentire esplicitamente ogni servizio o azione IAM nel percorso dall'account AWS all'unità organizzativa.

  • Idealmente, dovresti usare una combinazione di strategie di lista di rifiuto e lista di indirizzi consentiti. Utilizza l'elenco dei servizi AWS consentiti per definire l'elenco dei servizi AWS consentiti approvati per l'uso all'interno di un'organizzazione AWS e collega questo SCP alla radice della tua organizzazione AWS. Se disponi di un set diverso di servizi consentiti per il tuo ambiente di sviluppo, devi collegare i rispettivi SCP a ciascuna unità organizzativa. È quindi possibile utilizzare l'elenco di rifiuto per definire i guardrail aziendali negando esplicitamente azioni IAM specifiche.