Recomendações de controle de segurança para gerenciar identidade e acesso

Você pode criar identidades em AWS ou conectar uma fonte de identidade externa. Por meio de políticas AWS Identity and Access Management (IAM), você concede aos usuários as permissões necessárias para que eles possam acessar ou gerenciar AWS recursos e aplicativos integrados. O gerenciamento eficaz de identidade e acesso ajuda a validar se as pessoas e as máquinas certas têm acesso aos recursos certos sob as condições certas. O AWS Well-Architected Framework fornece as melhores práticas para gerenciar identidades e suas permissões. Exemplos de melhores práticas incluem confiar em um provedor de identidade centralizado e usar mecanismos de login robustos, como a autenticação multifator (MFA). Os controles de segurança nesta seção podem ajudá-lo a implementar essas melhores práticas.

Monitore e configure notificações para a atividade do usuário root

Ao criar um pela primeira vez Conta da AWS, você começa com uma identidade de login único chamada usuário raiz. Por padrão, o usuário root tem acesso total a todos Serviços da AWS os recursos da conta. Você deve controlar e monitorar rigorosamente o usuário raiz e usá-lo somente para tarefas que exijam credenciais de usuário raiz.

Para obter mais informações, consulte os seguintes recursos:

• Conceda acesso com privilégios mínimos no Well-Architected Framework AWS

• Monitore a atividade do usuário raiz do IAM na AWS orientação prescritiva

Não crie chaves de acesso para o usuário-raiz

O usuário raiz é o mais privilegiado em uma Conta da AWS. A desativação do acesso programático ao usuário raiz ajuda a reduzir o risco de exposição inadvertida das credenciais do usuário e o comprometimento subsequente do ambiente de nuvem. Recomendamos que você crie e use funções do IAM como credenciais temporárias para acessar seus recursos Contas da AWS e recursos.

Para obter mais informações, consulte os seguintes recursos:

• A chave de acesso do usuário raiz do IAM não deve existir na AWS Security Hub documentação

• Excluindo chaves de acesso para o usuário raiz na documentação do IAM

• Funções do IAM na documentação do IAM

Ativar o MFA para o usuário raiz

Recomendamos que você habilite vários dispositivos de autenticação multifator (MFA) para Conta da AWS o usuário raiz e os usuários do IAM. Isso aumenta a barreira de segurança Contas da AWS e pode simplificar o gerenciamento de acesso. Como um usuário root é um usuário altamente privilegiado que pode realizar ações privilegiadas, é crucial exigir MFA para o usuário root. Você pode usar um dispositivo de MFA de hardware que gera um código numérico com base no algoritmo de senha única baseada em tempo (TOTP), em uma chave de segurança de hardware FIDO ou em um aplicativo de autenticador virtual.

Em 2024, o MFA será necessário para acessar o usuário raiz de qualquer um. Conta da AWS Para obter mais informações, consulte Secure by Design: AWS para aprimorar os requisitos de MFA em 2024 no AWS blog de segurança. Recomendamos fortemente que você amplie essa prática de segurança e exija a MFA para todos os tipos de usuários em seus AWS ambientes.

Se possível, recomendamos que você use um dispositivo de MFA de hardware para o usuário root. A MFA virtual pode não fornecer o mesmo nível de segurança oferecido por dispositivos MFA de hardware. Você pode usar a MFA virtual enquanto aguarda a aprovação ou entrega da compra do hardware.

Em situações em que você gerencia centenas de contas AWS Organizations, dependendo da tolerância ao risco da sua organização, talvez não seja escalável usar a MFA baseada em hardware para o usuário raiz de cada conta em uma unidade organizacional (OU). Nesse caso, você pode escolher uma conta na OU que atue como uma conta de gerenciamento da OU e, em seguida, desativar o usuário raiz para as outras contas nessa OU. Por padrão, a conta de gerenciamento da OU não tem acesso às outras contas. Ao configurar o acesso entre contas com antecedência, você pode acessar as outras contas da conta de gerenciamento da OU em caso de emergência. Para configurar o acesso entre contas, você cria uma função do IAM na conta do membro e define políticas para que somente o usuário raiz na conta de gerenciamento da OU possa assumir essa função. Para obter mais informações, consulte Tutorial: Delegar acesso ao Contas da AWS uso de funções do IAM na documentação do IAM.

Recomendamos que você habilite vários dispositivos de MFA para suas credenciais de usuário raiz. Você pode registrar até oito dispositivos de MFA de qualquer combinação.

Para obter mais informações, consulte os seguintes recursos:

• Habilitando um token TOTP de hardware na documentação do IAM

• Habilitando um dispositivo virtual de autenticação multifator (MFA) na documentação do IAM

• Habilitando uma chave de segurança FIDO na documentação do IAM

• Proteja seu login de usuário raiz com a autenticação multifator (MFA) na documentação do IAM

Siga as melhores práticas de segurança do IAM

A documentação do IAM inclui uma lista das melhores práticas projetadas para ajudar você a proteger seus Contas da AWS recursos. Ele inclui recomendações para configurar o acesso e as permissões de acordo com o princípio do privilégio mínimo. Exemplos das melhores práticas de segurança do IAM incluem a configuração da federação de identidades, a exigência de MFA e o uso de credenciais temporárias.

Para obter mais informações, consulte os seguintes recursos:

• Melhores práticas de segurança no IAM na documentação do IAM

• Usando credenciais temporárias com AWS recursos na documentação do IAM

Conceda permissões com privilégios mínimos

O privilégio mínimo é a prática de conceder somente as permissões necessárias para realizar uma tarefa. Você faz isso definindo as ações que podem ser tomadas em recursos específicos sob condições específicas.

O controle de acesso baseado em atributos (ABAC) é uma estratégia de autorização que define permissões com base em atributos, como suas tags. Você pode usar atributos de grupo, identidade e recurso para definir dinamicamente as permissões em grande escala, em vez de definir permissões para usuários individuais. Por exemplo, você pode usar o ABAC para permitir que um grupo de desenvolvedores acesse somente recursos que tenham uma tag específica associada ao projeto.

Para obter mais informações, consulte os seguintes recursos:

• Aplique permissões de privilégio mínimo na documentação do IAM

• Para que serve o ABAC AWS na documentação do IAM

Defina barreiras de permissão no nível da carga de trabalho

É uma prática recomendada usar uma estratégia de várias contas, pois ela oferece flexibilidade para definir barreiras no nível da carga de trabalho. A Arquitetura de Referência de AWS Segurança oferece orientação prescritiva sobre como estruturar suas contas. Essas contas são gerenciadas como uma organização em AWS Organizations, e as contas são agrupadas em unidades organizacionais (OUs).

Serviços da AWS, por exemplo AWS Control Tower, podem ajudá-lo a gerenciar centralmente os controles em uma organização. Recomendamos que você defina uma finalidade clara para cada conta ou UO dentro da organização e aplique controles de acordo com essa finalidade. AWS Control Tower implementa controles preventivos, de detecção e proativos que ajudam você a controlar os recursos e monitorar a conformidade. Um controle preventivo é projetado para evitar que um evento ocorra. Um controle de detetive é projetado para detectar, registrar e alertar após a ocorrência de um evento. Um controle proativo foi projetado para impedir a implantação de recursos não compatíveis examinando os recursos antes de serem provisionados.

Para obter mais informações, consulte os seguintes recursos:

• Cargas de trabalho separadas usando contas no AWS Well-Architected Framework

• AWS Arquitetura de referência de segurança (AWS SRA) na orientação AWS prescritiva

• Sobre os controles AWS Control Tower na AWS Control Tower documentação

• Implementando controles de segurança AWS na AWS orientação prescritiva

• Use políticas de controle de serviço para definir barreiras de permissão em todas as contas em sua AWS organização no Blog de Segurança AWS

Gire as chaves de acesso do IAM em um intervalo regular

É uma prática recomendada atualizar as chaves de acesso para casos de uso que exigem credenciais de longo prazo. Recomendamos alternar as chaves de acesso a cada 90 dias ou menos. A rotação das chaves de acesso reduz o risco de que uma chave de acesso associada a uma conta comprometida ou encerrada seja usada. Também impede o acesso usando uma chave antiga que pode ter sido perdida, comprometida ou roubada. Sempre atualize os aplicativos depois de girar as teclas de acesso.

Para obter mais informações, consulte os seguintes recursos:

• Atualize as chaves de acesso quando necessário para casos de uso que exigem credenciais de longo prazo na documentação do IAM

• Gire automaticamente as chaves de acesso do usuário do IAM em grande escala com AWS Organizations e AWS Secrets Manager na orientação AWS prescritiva

• Atualização das chaves de acesso na documentação do IAM

Identificar recursos que são compartilhados com uma entidade externa

Uma entidade externa é um recurso, aplicativo, serviço ou usuário que está fora da sua AWS organização, como outro Contas da AWS usuário raiz, usuário ou função do IAM, usuário federado ou usuário anônimo (ou não autenticado). AWS service (Serviço da AWS)É uma prática recomendada de segurança usar o IAM Access Analyzer para identificar os recursos em sua organização e contas, como buckets do Amazon Simple Storage Service (Amazon S3) ou funções do IAM, que são compartilhados com uma entidade externa. Isso ajuda a identificar o acesso não intencional a recursos e dados, o que é um risco de segurança.

Para obter mais informações, consulte os seguintes recursos:

• Verifique o acesso público e entre contas aos recursos com o IAM Access Analyzer na documentação do IAM

• Analise o acesso público e entre contas no AWS Well-Architected Framework

• Usando AWS Identity and Access Management Access Analyzer na documentação do IAM