SEC03-BP08 Condivisione delle risorse in modo sicuro

Regola il consumo di risorse condivise tra account diversi o all'interno della tua AWS Organizations. Monitora le risorse condivise e rivedi l'accesso alle stesse.

Anti-pattern comuni:

Utilizzo della policy di attendibilità IAM predefinita quando si concede l'accesso multi-account di terze parti.

Livello di rischio associato se questa best practice non fosse adottata: basso

Guida all'implementazione

Quando gestisci i tuoi carichi di lavoro utilizzando più account AWS, potrebbe essere necessario condividere le risorse tra gli account. Molto spesso si tratta della condivisione tra account all'interno di AWS Organizations. Diversi servizi AWS come AWS Security Hub, Amazon GuardDutye AWS Backup dispongono di funzionalità per più account integrate in Organizations. Puoi utilizzare AWS Resource Access Manager per condividere altre risorse comuni, come i collegamenti del gateway di transito alla VPN o le sottoreti VPC, AWS Network Firewallo le pipeline di Amazon SageMaker Runtime. Se vuoi assicurarti che il tuo account condivida solo risorse all'interno di Organizations, ti consigliamo di utilizzare le policy di controllo dei servizi per impedire l'accesso a principali esterni.

Quando condividi le risorse, devi mettere in atto le misure per proteggerti da accessi non intenzionali. Ti consigliamo di combinare i controlli basati sull'identità e i controlli di rete per creare un perimetro di dati per la tua organizzazione. Questi controlli devono porre limiti rigorosi a quali risorse possono essere condivise e impedire la condivisione o l'esposizione non consentite delle risorse. Ad esempio, come parte del tuo perimetro di dati puoi utilizzare le policy dell'endpoint VPC e la condizione aws:PrincipalOrgId per garantire che le identità che accedono ai bucket Amazon S3 appartengano all'organizzazione.

In alcuni casi, potresti voler consentire la condivisione di risorse al di fuori di Organizations o concedere a terze parti l'accesso al tuo account. Ad esempio, un partner può fornire una soluzione di monitoraggio che deve accedere alle risorse del tuo account. In questi casi, devi creare un ruolo tra più account IAM con i soli privilegi necessari alla terza parte. Dovresti anche creare una policy di attendibilità usando la condizione ID esterno. Quando si utilizza un ID esterno, è necessario generare un ID univoco per ciascuna terza parte. L'ID univoco non deve essere fornito o controllato da terzi. Se la terza parte non ha più bisogno di accedere al tuo ambiente, occorre rimuovere il ruolo. In ogni caso, devi evitare di fornire a terze parti credenziali IAM a lungo termine. Tieni presente gli altri servizi AWS che supportano in modo nativo la condivisione. Ad esempio AWS Well-Architected Tool consente la condivisione di un carico di lavoro con altri account AWS.

Quando si usa un servizio come Amazon S3, si consiglia di disabilitare le liste di controllo degli accessi (ACL) per il bucket Amazon S3 e usare le policy IAM per definire il controllo degli accessi. Per limitare l'accesso a un'origine Amazon S3 da Amazon CloudFrontmigra dall'identità di accesso origine (OAI) al controllo degli accessi di origine (OAC) che supporta funzionalità aggiuntive tra cui la crittografia lato server con AWS KMS.

Risorse

Documenti correlati:

Video correlati:

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

SEC03-BP07 Analisi dell'accesso pubblico e multi-account

Rilevamento