Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di AWS Organizations per la sicurezza
Influenza il futuro della AWS Security Reference Architecture (AWSSRA) rispondendo a un breve sondaggio |
AWS Organizations
Con AWS Organizations, puoi utilizzare le policy di controllo dei servizi (SCP) per applicare barriere di autorizzazione a livello di organizzazione, unità organizzativa o account AWS. Questi guardrail si applicano ai responsabili all'interno dell'account di un'organizzazione, ad eccezione dell'account di gestione (che è uno dei motivi per non eseguire carichi di lavoro in questo account). Quando si collega un SCP a un'unità organizzativa, questo viene ereditato dalle unità organizzative secondarie e dagli account appartenenti all'unità organizzativa. Gli SCP non concedono alcuna autorizzazione. Invece, gli SCP specificano le autorizzazioni massime per un'organizzazione, un'unità organizzativa o un account AWS. Devi comunque allegare policy basate sull'identità o sulle risorse ai principali o alle risorse dei tuoi account AWS per concedere loro effettivamente le autorizzazioni. Ad esempio, se un SCP nega l'accesso a tutto Amazon S3, un principale interessato dall'SCP non avrà accesso ad Amazon S3 anche se gli viene esplicitamente concesso l'accesso tramite una policy IAM. Per informazioni dettagliate su come vengono valutate le politiche IAM, sul ruolo degli SCP e su come l'accesso viene infine concesso o negato, consulta la logica di valutazione delle politiche nella documentazione IAM.
AWS Control Tower
AWS Organizations ti aiuta a configurare i servizi AWS che si applicano a tutti i tuoi account. Ad esempio, puoi configurare la registrazione centralizzata di tutte le azioni eseguite nella tua organizzazione AWS utilizzando AWS CloudTrail
La configurazione predefinita di AWS Organizations supporta l'uso di SCP come liste di rifiuto. Utilizzando una strategia di deny list, gli amministratori degli account membri possono delegare tutti i servizi e le azioni fino a quando non si crea e si allega un SCP che neghi un servizio o una serie di azioni specifici. Le dichiarazioni di rifiuto richiedono meno manutenzione rispetto a un elenco consentito, perché non è necessario aggiornarle quando AWS aggiunge nuovi servizi. Le dichiarazioni di deny sono generalmente più corte nella lunghezza dei caratteri, quindi è più facile rispettare la dimensione massima per gli SCP. In un'istruzione in cui l'elemento Effect
ha un valore Deny
, è anche possibile limitare l'accesso a risorse specifiche o definire condizioni di attivazione delle SCP. Al contrario, un'istruzione Allow in un SCP si applica a tutte le risorse ("*"
) e non può essere limitata da condizioni. Per ulteriori informazioni ed esempi, consulta Strategie per l'utilizzo degli SCP nella documentazione di AWS Organizations.
Considerazioni di natura progettuale
-
In alternativa, per utilizzare SCP come elenco consentito, devi sostituire l'SCP gestito da AWS con un
FullAWSAccess
SCP che consenta esplicitamente solo i servizi e le azioni che desideri consentire. Affinché un'autorizzazione sia abilitata per un account specifico, ogni SCP (dalla radice a ciascuna unità organizzativa nel percorso diretto verso l'account e anche collegato all'account stesso) deve consentire tale autorizzazione. Questo modello è di natura più restrittiva e potrebbe essere adatto a carichi di lavoro altamente regolamentati e sensibili. Questo approccio richiede di consentire esplicitamente ogni servizio o azione IAM nel percorso dall'account AWS all'unità organizzativa. -
Idealmente, dovresti usare una combinazione di strategie di lista di rifiuto e lista di indirizzi consentiti. Utilizza l'elenco dei servizi AWS consentiti per definire l'elenco dei servizi AWS consentiti approvati per l'uso all'interno di un'organizzazione AWS e collega questo SCP alla radice della tua organizzazione AWS. Se disponi di un set diverso di servizi consentiti per il tuo ambiente di sviluppo, devi collegare i rispettivi SCP a ciascuna unità organizzativa. È quindi possibile utilizzare l'elenco di rifiuto per definire i guardrail aziendali negando esplicitamente azioni IAM specifiche.