SEC03-BP01 Definire i requisiti di accesso

Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

Anti-pattern comuni:

• Codifica fissa o archiviazione dei segreti nell'applicazione.

• Concessione di autorizzazioni personalizzate per ogni utente.

• Utilizzo di credenziali di lunga durata.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

Ogni componente o risorsa del carico di lavoro deve essere accessibile da amministratori, utenti finali o altri componenti. Definisci chiaramente chi o cosa deve avere accesso a ciascun componente e scegli il tipo di identità e il metodo di autenticazione e autorizzazione appropriati.

L'accesso regolare all' Account AWS interno dell'organizzazione deve essere fornito utilizzando un accesso federato o un provider di identità centralizzato. È inoltre necessario centralizzare la gestione delle identità e garantire che esista una pratica consolidata per integrare AWS l'accesso al ciclo di vita degli accessi dei dipendenti. Ad esempio, se un dipendente passa a un ruolo lavorativo con un livello di accesso diverso, anche la sua appartenenza al gruppo deve cambiare per riflettere i nuovi requisiti di accesso.

Nel definire i requisiti di accesso per le identità non umane, determina quali applicazioni e componenti devono accedere, nonché le modalità di concessione delle autorizzazioni. L'utilizzo di IAM ruoli creati con il modello di accesso con privilegi minimi è un approccio consigliato. AWS Le policy gestite forniscono policy predefinite IAM che coprono i casi d'uso più comuni.

AWS i servizi, come AWS Secrets ManagerAWSSystems Manager Parameter Store, possono aiutare a separare i segreti dall'applicazione o dal carico di lavoro in modo sicuro nei casi in cui non è possibile utilizzare i ruoli. IAM In Secrets Manager, puoi adottare la rotazione automatica delle credenziali. È possibile utilizzare Systems Manager per fare riferimento ai parametri negli script, nei comandi, nei SSM documenti, nei flussi di lavoro di configurazione e automazione utilizzando il nome univoco specificato al momento della creazione del parametro.

È possibile utilizzare AWS Identity and Access Management Roles Anywhere per ottenere credenziali di sicurezza temporanee IAM per carichi di lavoro eseguiti all'esterno di. AWS I tuoi carichi di lavoro possono utilizzare le stesse IAMpolitiche e gli stessi IAMruoli che usi con AWS le applicazioni per accedere alle risorse. AWS

Ove possibile, prediligi le credenziali temporanee a breve termine rispetto a quelle statiche a lungo termine. Per gli scenari in cui occorrono utenti con accesso programmatico e credenziali a lungo termine, usa le ultime informazioni usate per la chiave di accesso per la rotazione e la rimozione delle chiavi di accesso.

Gli utenti necessitano dell'accesso programmatico se desiderano interagire con l' AWS esterno di. AWS Management Console Il modo per concedere l'accesso programmatico dipende dal tipo di utente che accede. AWS

Per fornire agli utenti l'accesso programmatico, scegli una delle seguenti opzioni.

Quale utente necessita dell'accesso programmatico?	Per	Come
Identità della forza lavoro (Utenti gestiti in IAM Identity Center)	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, vedere Configurazione dell'uso AWS IAM Identity Center nella AWS CLI Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti e AWS APIs, consulta l'autenticazione di IAM Identity Center nella Guida di riferimento agli strumenti AWS SDKs e agli strumenti.
IAM	Utilizza credenziali temporanee per firmare le richieste programmatiche a AWS CLI, AWS SDKs, o. AWS APIs	Seguendo le istruzioni riportate in Utilizzo delle credenziali temporanee con le AWS risorse nella Guida per l'IAMutente.
IAM	(Non consigliato) Utilizza credenziali a lungo termine per firmare richieste programmatiche a AWS CLI,, AWS SDKs o. AWS APIs	Segui le istruzioni per l'interfaccia che desideri utilizzare. Per la AWS CLI, consulta Autenticazione tramite credenziali IAM utente nella Guida per l'utente.AWS Command Line Interface Per AWS SDKs gli strumenti, consulta Autenticazione tramite credenziali a lungo termine nella Guida di riferimento agli strumenti e agli AWS SDKs strumenti. Per AWS APIs, consulta Gestione delle chiavi di accesso per IAM gli utenti nella Guida per l'IAMutente.

Risorse

Documenti correlati:

• Controllo dell'accesso basato sugli attributi () ABAC

• AWS IAM Identity Center

• IAM Roles Anywhere

• AWS Politiche gestite per Identity Center IAM

• AWS IAMcondizioni politiche

• IAMcasi d'uso

• Rimuovere credenziali non necessarie

• Lavorare con le policy

• Come controllare l'accesso alle AWS risorse in base Account AWS all'unità organizzativa o all'organizzazione

• Identifica, organizza e gestisci facilmente i segreti utilizzando la ricerca avanzata in AWS Secrets Manager

Video correlati:

• Diventa un IAM policy master in 60 minuti o meno

• Separation of Duties, Least Privilege, Delegation, and CI/CD

• Streamlining identity and access management for innovation