Etapa 4. Implementar mecanismos de controle de acesso - AWS Orientação prescritiva

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Etapa 4. Implementar mecanismos de controle de acesso

Ao pensar em segurança na nuvem, sua estratégia básica deve começar com uma base sólida de identidade para garantir que o usuário tenha as permissões corretas para acessar os dados. A autenticação e a autorização apropriadas podem ajudar a reduzir o risco de eventos de segurança. O modelo de responsabilidade compartilhada exige que AWS os clientes implementem políticas de controle de acesso. Para criar e gerenciar políticas de acesso em grande escala, é possível usar o AWS Identity and Access Management (IAM).

Ao configurar os direitos e permissões de acesso, implemente o princípio do privilégio mínimo de modo que cada usuário ou sistema que acesse seus dados de backup ou o seu cofre receba somente as permissões necessárias para cumprir suas funções. Use AWS Backup para definir políticas de acesso em cofres de backup para proteger suas cargas de trabalho na nuvem.

Por exemplo, ao implementar políticas de controle de acesso, você pode conceder aos usuários acesso para criar planos de backup e backups sob demanda, limitando a capacidade dos usuários excluírem pontos de recuperação. Usando políticas de acesso ao cofre, você pode compartilhar um cofre de backup de destino com uma função de origem Conta da AWS ou IAM, conforme exigido pelas necessidades da sua empresa. Você também pode usar políticas de acesso para compartilhar um cofre de backup com uma ou mais contas ou com toda a sua organização no AWS Organizations. Para obter mais informações, consulte a documentação do AWS Backup.

À medida que você escala suas cargas de trabalho ou migra para AWS, talvez seja necessário gerenciar centralmente as permissões para seus cofres e operações de backup. Use políticas de controle de serviço (SCPs) para implementar o controle centralizado sobre o máximo de permissões disponíveis para todas as contas em sua organização. SCPs oferecem defesa aprofundada e garantem que seus usuários permaneçam dentro das diretrizes de controle de acesso definidas. Para obter mais informações, consulte Gerenciar o acesso a backups usando políticas de controle de serviços com o AWS Backup.

Para reduzir os riscos de segurança, como acesso não intencional aos seus recursos e dados de backup, use o IAM Access Analyzer para identificar qualquer função AWS Backup do IAM compartilhada com o seguinte:

  • Uma entidade externa, como um Conta da AWS

  • Um usuário raiz

  • Um usuário ou perfil do IAM

  • Um usuário federado

  • Um AWS service (Serviço da AWS)

  • Um usuário anônimo

  • Qualquer outra entidade que possa ser usada para criar um filtro