Recursos do IAM - AWSOrientação da prescrição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Recursos do IAM

ApesarAWS Identity and Access Management(IAM) não é um serviço desenhado em um diagrama de arquitetura tradicional, ele toca todos os aspectos doAWSorganização,AWScontas eAWSServiços da . Você não pode implantar nenhumAWSserviços sem criar princípios do IAM e conceder permissões primeiro. Um tratamento completo do IAM está além do escopo deste documento, mas esta seção fornece resumos importantes de recomendações e dicas de melhores práticas para recursos adicionais.

Tipo de política Efeito Gerenciado pela Finalidade Pertence a Affects Implantado no

Políticas de controle de serviço (SCPs)

Restrict

Equipe central, como plataforma ou equipe de segurança1

Proteções, governança

Organização (grupo de contas)

Todos os diretores de organização, UO e contas

Conta de gerenciamento da organização2

Políticas de automação de conta de linha de(as funções do IAM usadas pela plataforma para operar uma conta)

Conceder e restringir

Equipe central, como plataforma, segurança ou equipe do IAM1

Permissões para funções de desempenho (linha de base) sem carga de trabalho3

Conta única4

Um principal na conta-membro

Contas-membro

Políticas humanas de base(as funções que concedem aos usuários permissões para realizar seu trabalho)

Conceder e restringir

Equipe central, como plataforma, segurança ou equipe do IAM1

Permissões para funções humanas5

Conta única4

Princípios federados5e usuários do IAM6

Contas-membro

Limites de permissões(permissões máximas que um principal capacitado pode atribuir a outro principal)

Restrict

Equipe central, como plataforma, segurança ou equipe do IAM1

Guardrails para funções de desempenho da carga de trabalho

Conta única4

As principais funções de desempenho da carga de trabalho nesta conta

Contas-membro

Políticas de função de máquina para aplicativos(função anexada à infraestrutura implantada por administradores delegados)

Conceder e restringir

Delegado ao proprietário da carga de trabalho8

Permissão para computação de carga de trabalho9

Conta única

Um principal nesta conta

Contas-membro

Políticas de recursos

Conceder e restringir

Delegado ao proprietário da carga de trabalho8,10

Permissões para recursos

Conta única

Um principal em uma conta11

Contas-membro

Notas da tabela:

  1. As empresas têm muitas equipes centralizadas (como plataforma em nuvem, operações de segurança ou equipes de gerenciamento de identidade e acesso) que dividem as responsabilidades desses controles independentes e revisam as políticas umas das outras. Os exemplos na tabela são espaços reservados. Você precisará determinar a separação mais eficaz de deveres para sua empresa.

  2. Para usar SCPs, você deveHabilitar todos os recursosdentroAWS Organizations.

  3. As funções e políticas de linha de base comuns geralmente são necessárias para habilitar a automação, como permissões para o pipeline, ferramentas de implantação, ferramentas de monitoramento (por exemplo,AWS LambdaeAWS Config Rules) e outras permissões. Essa configuração geralmente é entregue quando a conta é provisionada.

  4. Embora estes pertençam a um recurso (como uma função ou uma política) em uma única conta, eles podem ser facilmente replicados ou implantados em várias contas usandoAWS CloudFormationStackSets.

  5. Defina um conjunto central de funções e políticas humanas de linha de base que são implantadas em todas as contas de membros por uma equipe central (geralmente durante o provisionamento de contas). Exemplos incluem os proprietários da carga de trabalho (administradores delegados), a equipe da plataforma, a equipe do IAM e as equipes de auditoria de segurança.

  6. Use federação de identidade (em vez de usuários locais do IAM) sempre que possível.

  7. Os limites de permissões são usados por administradores delegados. Essa política do IAM define o número máximo de permissões e substitui outras políticas (inclusive"*:*"políticas que permitem todas as ações sobre recursos). Limites de permissões devem ser necessários nas políticas humanas de linha de base como uma condição para criar funções (como funções de desempenho de carga de trabalho) e anexar políticas. Configurações adicionais, como SCPs, impõem o anexo do limite de permissões.

  8. Isso pressupõe que guardrails suficientes (por exemplo, SCPs e limites de permissões) foram implantados.

  9. Essas políticas opcionais podem ser entregues durante o provisionamento de contas ou como parte do processo de desenvolvimento da carga de trabalho. A permissão para criar e anexar essas políticas será regida pelas permissões do próprio desenvolvedor do aplicativo.

  10. Além das permissões de conta local, uma equipe centralizada (como a equipe da plataforma em nuvem ou a equipe de operações de segurança) geralmente gerencia políticas baseadas em recursos para permitir o acesso entre contas para operar as contas (por exemplo, para fornecer acesso aos buckets do S3 para registro em log).

  11. Uma política do IAM baseada em recursos pode enumerar qualquer principal em qualquer conta. Pode até enumerar principals anônimos (acesso público).

Garantir que as identidades do IAM tenham apenas as permissões necessárias para um conjunto bem delineado de tarefas é fundamental para reduzir o risco de abuso malicioso ou não intencional de permissões. Estabelecer e manter ummodelo de privilégio mínimorequer um plano deliberado para atualizar, avaliar e mitigar continuamente o excesso de privilégios. Veja a seguir algumas recomendações adicionais para esse plano:

  • Use o modelo de governança da sua organização e o apetite de risco estabelecido para estabelecer limites de permissões e guardrails específicos.

  • Implemente o menor privilégio por meio de um processo continuamente iterativo. Este não é um exercício único.

  • Use SCPs para reduzir o risco acionável. Estes são destinados a ser guardrails amplos, não controles direcionados estreitamente.

  • Use limites de permissões para delegar a administração do IAM de forma mais segura.

    • Certifique-se de que os administradores delegados anexem a política de limites do IAM apropriada às funções e aos usuários que eles criam.

  • Como um defense-in-depth abordagem (em conjunto com políticas baseadas em identidade), use políticas do IAM baseadas em recursos para negar amplo acesso aos recursos.

  • Usar o consultor de acesso do IAMAWS CloudTrail,AWSIAM Access Analyzer e ferramentas relacionadas para analisar regularmente o uso histórico e as permissões concedidas. Corrija imediatamente as permissões excessivas óbvias.

  • Escope ações amplas para recursos específicos, quando aplicável, em vez de usar um asterisco como curinga para indicar todos os recursos.

  • Implemente um mecanismo para identificar, revisar e aprovar rapidamente exceções de política do IAM com base em solicitações.