SEC03-BP01 Definizione dei requisiti di accesso
Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Individua una definizione chiara di chi o cosa deve avere accesso a ciascun componente, quindi scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.
Anti-pattern comuni:
-
Codifica fissa o archiviazione dei segreti nell'applicazione.
-
Concessione di autorizzazioni personalizzate per ogni utente.
-
Utilizzo di credenziali di lunga durata.
Livello di rischio associato se questa best practice non fosse adottata: alto
Guida all'implementazione
Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Individua una definizione chiara di chi o cosa deve avere accesso a ciascun componente, quindi scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.
L'accesso regolare agli Account AWS dell'organizzazione viene fornito utilizzando l'accesso federato
Quando si definiscono i requisiti di accesso per le identità non umane, determina quali applicazioni e componenti devono accedere e come vengono concesse le autorizzazioni. L'utilizzo di ruoli IAM creati con il modello di accesso con privilegi minimi è un approccio consigliato. Le policy gestite da AWS forniscono le policy IAM predefinite che coprono la maggior parte dei casi d'uso comuni.
I servizi AWS, come AWS Secrets Manager
Puoi usare AWS Identity and Access Management Roles Anywhere per ottenere credenziali di sicurezza temporanee in IAM per i carichi di lavoro eseguiti all'esterno di AWS. I tuoi carichi di lavoro possono utilizzare le stesse policy IAM e ruoli IAM che usi con le applicazioni AWS per accedere alle risorse AWS.
Ove possibile, prediligi le credenziali temporanee a breve termine rispetto a quelle statiche a lungo termine. Per gli scenari in cui gli utenti IAM devono avere l'accesso programmatico e credenziali a lungo termine, utilizza le ultime informazioni usate per la chiave di accesso per ruotare e rimuovere le chiavi di accesso.
Risorse
Documenti correlati:
Video correlati: