AWS Identity and Access Management

Quando si crea un account AWS, viene creato automaticamente anche un account utente root per quell’account AWS. Questo account utente ha accesso completo a tutti i servizi e le risorse AWS presenti nell’account AWS. È consigliabile utilizzare questo account solo per la creazione iniziale di ruoli e account utente aggiuntivi e per eseguire attività amministrative che lo richiedono, non per le attività quotidiane. AWS consiglia di applicare il principio del privilegio minimo fin dall'inizio: definire account utente e ruoli diversi per attività diverse e specificare il set minimo di autorizzazioni necessarie per completare ciascuna attività. Questo approccio rappresenta un modo per mettere a punto un concetto chiave introdotto nel GDPR: la protezione dei dati fin dalla progettazione. AWS Identity and Access Management(IAM) è un servizio Web che puoi utilizzare per controllare in modo sicuro l'accesso alle tue risorse AWS.

Le identità IAM con autorizzazioni specifiche vengono definite in base agli utenti e ai ruoli. Un utente autorizzato può assumere un ruolo IAM per eseguire attività specifiche. Quando si assume il ruolo, vengono create delle credenziali temporanee. Ad esempio, è possibile utilizzare i ruoli IAM per fornire in modo sicuro alle applicazioni eseguite in Amazon Elastic Compute Cloud (Amazon EC2) le credenziali temporanee necessarie per accedere ad altre risorse AWS, come i bucket Amazon S3 e Amazon Relational Database Service (Amazon RDS) o i database Amazon DynamoDB. Analogamente, i ruoli di esecuzione forniscono AWS Lambda alle funzioni le autorizzazioni necessarie per accedere ad altri servizi e risorse AWS, come Amazon CloudWatch Logs per lo streaming di log o la lettura di un messaggio da una coda Amazon Simple Queue Service (Amazon SQS). Quando crei un ruolo, aggiungi delle policy per definire le autorizzazioni.

Per aiutare i clienti a monitorare le policy delle risorse e identificare eventuali risorse per le quali è stato concesso in maniera non intenzionale l’accesso pubblico o tra account, è possibile abilitare IAM Access Analyzer, che genera risultati completi utili per identificare le risorse a cui è possibile accedere dall'esterno di un account AWS. IAM Access Analyzer utilizza la logica matematica e l'inferenza per valutare le policy delle risorse e determinare i possibili percorsi di accesso consentiti dalle policy. IAM Access Analyzer monitora continuamente le policy nuove o aggiornate e analizza le autorizzazioni concesse utilizzando le policy per i ruoli IAM, oltre che per risorse di servizi come i bucket Amazon S3, AWS Key Management Service (AWS KMS) le chiavi, le code Amazon SQS e le funzioni Lambda.

Access Analyzer per S3 invia avvisi sui bucket configurati per permettere l'accesso a chiunque su Internet o ad altri account AWS, inclusi gli account AWS esterni all'organizzazione. Quando un bucket è a rischio in Access Analyzer per Amazon S3, è possibile bloccare tutti gli accessi pubblici al bucket con un solo clic. Ti consigliamo di bloccare tutti gli accessi ai bucket, a meno che l'accesso pubblico non sia necessario per supportare un caso d'uso specifico. Prima di bloccare tutti gli accessi pubblici, assicurati che le applicazioni continuino a funzionare correttamente senza accesso pubblico. Per ulteriori informazioni, consulta Utilizzo del blocco dell'accesso pubblico di Amazon S3.

IAM fornisce inoltre informazioni sull'ultimo accesso per aiutarti a identificare le autorizzazioni non utilizzate, in modo che tu possa revocarle per gli utenti/gruppi/ruoli interessati. Grazie alle informazioni sull'ultimo accesso è possibile perfezionare le policy e consentire l'accesso solo ai servizi e alle operazioni necessarie. In questo modo è più facile applicare e conformarsi alle best practice dei privilegi minimi. È possibile visualizzare le informazioni sull'ultimo accesso per entità o policy esistenti in IAM o in un intero AWS Organizations ambiente.