COST02-BP04 Implementazione di gruppi e ruoli

Implementa gruppi e ruoli che si allineino alle tue policy e controlla chi può creare, modificare o ritirare istanze e risorse in ogni gruppo. Ad esempio, implementa gruppi di sviluppo, test e produzione. Questo vale per AWS i servizi e le soluzioni di terze parti.

Livello di rischio associato se questa best practice non fosse adottata: basso

Guida all'implementazione

I ruoli e i gruppi di utenti sono elementi costitutivi fondamentali nella progettazione e implementazione di sistemi sicuri ed efficienti. I ruoli e i gruppi aiutano le organizzazioni a trovare il giusto equilibrio a livello di controllo dei requisiti di flessibilità e produttività, supportando in definitiva gli obiettivi organizzativi e le esigenze degli utenti. Come consigliato nella sezione Gestione delle identità e degli accessi di AWS Well-Architected Framework Security Pillar, è necessario disporre di una solida gestione delle identità e delle autorizzazioni per fornire l'accesso alle risorse giuste alle persone giuste nelle giuste condizioni. Gli utenti disporranno solo del livello di accesso necessario per completare le proprie attività. Ciò riduce al minimo il rischio associato all'accesso non autorizzato o all'uso improprio.

Dopo avere sviluppato le policy, è possibile creare gruppi logici e ruoli degli utenti all'interno dell'organizzazione. Ciò consente di assegnare le autorizzazioni, controllare l'utilizzo e semplificare l'implementazione di affidabili meccanismi di controllo degli accessi, impedendo l'accesso non autorizzato alle informazioni sensibili. Inizia con i raggruppamenti di persone di alto livello. Generalmente, questi corrispondono alle unità organizzative e ai ruoli lavorativi (ad esempio, amministratore di sistema nel reparto IT, controllore finanziario o business analyst). I gruppi classificano le persone che eseguono attività simili e necessitano di un accesso simile. I ruoli definiscono che cosa un gruppo deve fare. È più facile gestire le autorizzazioni per gruppi e ruoli che per i singoli utenti. I ruoli e i gruppi assegnano le autorizzazioni in modo coerente e sistematico a tutti gli utenti, evitando errori e incongruenze.

Quando il ruolo di un utente cambia, gli amministratori possono modificare l'accesso a livello di ruolo o di gruppo, anziché riconfigurare i singoli account utente. Ad esempio, un amministratore di sistema nel reparto IT deve disporre di un accesso che permetta di creare tutte le risorse, mentre un membro del team di analisi ha la necessità di creare soltanto risorse di analisi.

Passaggi dell'implementazione

• Implementazione dei gruppi: utilizzando i gruppi di utenti definiti nelle policy dell'organizzazione, implementa i gruppi corrispondenti, se necessario. Per le migliori pratiche su utenti, gruppi e autenticazione, consulta il Security Pillar del AWS Well-Architected Framework.

• Implementazione di ruoli e policy: utilizzando le operazioni definite nelle policy dell'organizzazione, crea le policy di accesso e i ruoli necessari. Per le best practice su ruoli e policy, consulta il Security Pillar del AWS Well-Architected Framework.

Risorse

Documenti correlati:

• AWS managed policies for job functions

• Strategia di fatturazione con account multipli di AWS

• AWS Pilastro di sicurezza Well-Architected Framework

• AWS Identity and Access Management (IAM)

• AWS Identity and Access Management politiche

Video correlati:

• Why use Identity and Access Management

Esempi correlati:

• Well-Architected Labs: Identità e accesso base

• Controlla l'accesso all' Regioni AWS utilizzo IAM delle politiche

• Starting your Cloud Financial Management journey: Cloud cost operations