Conta de gerenciamento da organização - AWS Orientação prescritiva
Políticas de controle de serviçoIAM Identity CenterConsultor de acesso IAMAWS Systems ManagerAWS Control TowerAWS ArtifactGuardrails de serviços de segurança distribuídos e centralizados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Conta de gerenciamento da organização

Influencie o futuro da Arquitetura de Referência de AWS Segurança (AWSSRA) respondendo a uma breve pesquisa.

O diagrama a seguir ilustra os serviços de segurança da AWS que estão configurados na conta de gerenciamento da organização.

Serviços de segurança para a conta de gerenciamento de organizações

As seções Usando AWS Organizations para segurança e A conta de gerenciamento, acesso confiável e administradores delegados anteriormente neste guia discutiram detalhadamente a finalidade e os objetivos de segurança da conta de gerenciamento de organizações. Siga as melhores práticas de segurança para sua conta de gerenciamento de organizações. Isso inclui usar um endereço de e-mail gerenciado pela sua empresa, manter as informações de contato administrativas e de segurança corretas (como anexar um número de telefone à conta caso a AWS precise entrar em contato com o proprietário da conta), habilitar a autenticação multifator (MFA) para todos os usuários e revisar regularmente quem tem acesso à conta de gerenciamento de organizações. Os serviços implantados na conta de gerenciamento da organização devem ser configurados com funções, políticas de confiança e outras permissões apropriadas para que os administradores desses serviços (que devem acessá-los na conta de gerenciamento da organização) também não possam acessar outros serviços de forma inadequada.

Políticas de controle de serviço

Com o AWS Organizations, você pode gerenciar centralmente políticas em várias contas da AWS. Por exemplo, você pode aplicar políticas de controle de serviços (SCPs) em várias contas da AWS que são membros de uma organização. Os SCPs permitem que você defina quais APIs de serviços da AWS podem e não podem ser executadas por entidades do AWS Identity and Access Management (IAM) (como usuários e funções do IAM) nas contas da AWS membros da sua organização. As SCPs são criadas e aplicadas a partir da conta de gerenciamento da organização, que é a conta da AWS que você usou ao criar sua organização. Leia mais sobre SCPs na seção Como usar o AWS Organizations for security, no início desta referência. 

Se você usar o AWS Control Tower para gerenciar sua organização da AWS, ele implantará um conjunto de SCPs como barreiras preventivas (categorizadas como obrigatórias, altamente recomendadas ou eletivas). Essas grades de proteção ajudam você a controlar seus recursos aplicando controles de segurança em toda a organização. Esses SCPs usam automaticamente uma aws-control-tower tag que tem um valor de managed-by-control-tower. 

Consideração do design

  • As SCPs afetam somente as contas dos membros na organização da AWS. Embora sejam aplicados a partir da conta de gerenciamento da organização, eles não têm efeito sobre os usuários ou as funções dessa conta. Para saber mais sobre como a lógica de avaliação do SCP funciona e ver exemplos de estruturas recomendadas, consulte a postagem do blog da AWS Como usar políticas de controle de serviços nas organizações da AWS.

IAM Identity Center

O AWS IAM Identity Center (sucessor do AWS Single Sign-On) é um serviço de federação de identidades que ajuda você a gerenciar centralmente o acesso via SSO a todas as suas contas, diretores e cargas de trabalho na nuvem da AWS. O IAM Identity Center também ajuda você a gerenciar o acesso e as permissões aos aplicativos de software como serviço (SaaS) de terceiros comumente usados. Os provedores de identidade se integram ao IAM Identity Center usando o SAML 2.0. O just-in-time provisionamento em massa pode ser feito usando o System for Cross-Domain Identity Management (SCIM). O IAM Identity Center também pode se integrar com domínios do Microsoft Active Directory (AD) locais ou gerenciados pela AWS como provedor de identidade por meio do uso do AWS Directory Service. O IAM Identity Center inclui um portal de usuário onde seus usuários finais podem encontrar e acessar suas contas, funções, aplicativos em nuvem e aplicativos personalizados da AWS atribuídos em um só lugar.

O IAM Identity Center se integra de forma nativa com o AWS Organizations e é executado na conta de gerenciamento da organização por padrão. No entanto, para exercer o mínimo de privilégios e controlar rigorosamente o acesso à conta de gerenciamento, a administração do IAM Identity Center pode ser delegada a uma conta de membro específica. No AWS SRA, a conta do Shared Services é a conta de administrador delegado do IAM Identity Center. Antes de habilitar a administração delegada para o IAM Identity Center, analise essas considerações. Você encontrará mais informações sobre delegação na seção Conta do Shared Services. Mesmo depois de habilitar a delegação, o IAM Identity Center ainda precisa ser executado na conta de gerenciamento da organização para realizar determinadas tarefas relacionadas ao IAM Identity Center, que incluem o gerenciamento de conjuntos de permissões provisionados na conta de gerenciamento da organização. 

No console do IAM Identity Center, as contas são exibidas por sua OU encapsuladora. Isso permite que você descubra rapidamente suas contas da AWS, aplique conjuntos comuns de permissões e gerencie o acesso a partir de um local central. 

O IAM Identity Center inclui um repositório de identidades onde informações específicas do usuário devem ser armazenadas. No entanto, o IAM Identity Center não precisa ser a fonte autorizada de informações da força de trabalho. Nos casos em que sua empresa já tem uma fonte autorizada, o IAM Identity Center oferece suporte aos seguintes tipos de provedores de identidade ()IdPs.

  • Armazenamento de identidades do IAM Identity Center — Escolha essa opção se as duas opções a seguir não estiverem disponíveis. Os usuários são criados, as atribuições de grupos são feitas e as permissões são atribuídas no repositório de identidades. Mesmo que sua fonte autorizada seja externa ao IAM Identity Center, uma cópia dos atributos principais será armazenada no repositório de identidades.

  • Microsoft Active Directory (AD) — Escolha essa opção se quiser continuar gerenciando usuários em seu diretório no AWS Directory Service for Microsoft Active Directory ou em seu diretório autogerenciado no Active Directory.

  • Provedor de identidade externo — Escolha essa opção se você preferir gerenciar usuários em um IdP externo de terceiros baseado em SAML.

Você pode confiar em um IdP existente que já esteja em vigor na sua empresa. Isso facilita o gerenciamento do acesso em vários aplicativos e serviços, porque você está criando, gerenciando e revogando o acesso a partir de um único local. Por exemplo, se alguém deixar sua equipe, você poderá revogar o acesso dessa pessoa a todos os aplicativos e serviços (incluindo contas da AWS) em um único local. Isso reduz a necessidade de várias credenciais e oferece a oportunidade de integração com seus processos de recursos humanos (RH).

Consideração do design

  • Use um IdP externo se essa opção estiver disponível para sua empresa. Se o seu IdP for compatível com o System for Cross-Domain Identity Management (SCIM), aproveite o recurso SCIM no IAM Identity Center para automatizar o provisionamento (sincronização) de usuários, grupos e permissões. Isso permite que o acesso à AWS permaneça sincronizado com seu fluxo de trabalho corporativo para novos contratados, funcionários que estão migrando para outra equipe e funcionários que estão deixando a empresa. A qualquer momento, você pode ter somente um diretório ou um provedor de identidade SAML 2.0 conectado ao IAM Identity Center. No entanto, você pode mudar para outro provedor de identidade.

Consultor de acesso IAM

O consultor de acesso do IAM fornece dados de rastreabilidade na forma de informações do último acesso do serviço para suas contas e OUs da AWS. Use esse controle de detetive para contribuir com uma estratégia de privilégios mínimos. Para entidades do IAM, você pode visualizar dois tipos de informações do último acesso: informações de serviços permitidos da AWS e informações de ações permitidas. As informações incluem a data e a hora em que a tentativa foi feita. 

O acesso ao IAM na conta de gerenciamento da organização permite que você visualize os dados do último acesso do serviço para a conta de gerenciamento da organização, a OU, a conta do membro ou a política do IAM em sua organização da AWS. Essas informações estão disponíveis no console do IAM dentro da conta de gerenciamento e também podem ser obtidas de forma programática usando as APIs do consultor de acesso do IAM na AWS Command Line Interface (AWS CLI) ou em um cliente programático. As informações indicam quais entidades principais de uma organização ou conta tentaram acessar o serviço pela última vez e quando. As informações do último acesso fornecem informações sobre o uso real do serviço (veja exemplos de cenários), para que você possa reduzir as permissões do IAM somente para os serviços que são realmente usados.

AWS Systems Manager

O Quick Setup e o Explorer, que são recursos do AWS Systems Manager, oferecem suporte ao AWS Organizations e operam a partir da conta de gerenciamento da organização. 

O Quick Setup é um recurso de automação do Systems Manager. Ele permite que a conta de gerenciamento da organização defina facilmente as configurações para que o Systems Manager interaja em seu nome em todas as contas da sua organização da AWS. Você pode habilitar o Quick Setup em toda a sua organização da AWS ou escolher OUs específicas. O Quick Setup pode programar o AWS Systems Manager Agent (SSM Agent) para executar atualizações quinzenais em suas instâncias do EC2 e pode configurar uma verificação diária dessas instâncias para identificar patches ausentes. 

O Explorer é um painel de operações personalizável que relata informações sobre seus recursos da AWS. O Explorer exibe uma visão agregada dos dados operacionais de suas contas da AWS e de todas as regiões da AWS. Isso inclui dados sobre suas instâncias do EC2 e detalhes de conformidade de patches. Depois de concluir a Configuração Integrada (que também inclui o Systems Manager OpsCenter) dentro do AWS Organizations, você pode agregar dados no Explorer por OU ou para uma organização inteira da AWS. O Systems Manager agrega os dados na conta do AWS Org Management antes de exibi-los no Explorer.

A seção Workloads OU, mais adiante neste guia, discute o uso do Systems Manager Agent (SSM Agent) nas instâncias do EC2 na conta do aplicativo.

AWS Control Tower

O AWS Control Tower fornece uma maneira simples de configurar e governar um ambiente seguro da AWS com várias contas, chamado de landing zone. O AWS Control Tower cria sua landing zone usando o AWS Organizations e fornece gerenciamento e governança contínuos da conta, bem como as melhores práticas de implementação. Você pode usar o AWS Control Tower para provisionar novas contas em algumas etapas e, ao mesmo tempo, garantir que as contas estejam em conformidade com suas políticas organizacionais. Você pode até mesmo adicionar contas existentes a um novo ambiente do AWS Control Tower. 

O AWS Control Tower tem um conjunto amplo e flexível de recursos. Um recurso importante é a capacidade de orquestrar os recursos de vários outros serviços da AWS, incluindo AWS Organizations, AWS Service Catalog e IAM Identity Center, para criar uma landing zone. Por exemplo, por padrão, a AWS Control Tower usa CloudFormation a AWS para estabelecer uma linha de base, as políticas de controle de serviços (SCPs) do AWS Organizations para evitar alterações na configuração e as regras do AWS Config para detectar continuamente a não conformidade. O AWS Control Tower emprega esquemas que ajudam você a alinhar rapidamente seu ambiente multiconta da AWS com os princípios de design da base de segurança AWS Well Architected. Entre os recursos de governança, o AWS Control Tower oferece proteções que impedem a implantação de recursos que não estejam em conformidade com as políticas selecionadas. 

Você pode começar a implementar a orientação do AWS SRA com o AWS Control Tower. Por exemplo, o AWS Control Tower estabelece uma organização da AWS com a arquitetura de várias contas recomendada. Ele fornece planos para fornecer gerenciamento de identidade, fornecer acesso federado às contas, centralizar o registro, estabelecer auditorias de segurança entre contas, definir um fluxo de trabalho para provisionar novas contas e implementar linhas de base de contas com configurações de rede. 

No AWS SRA, a AWS Control Tower está dentro da conta de gerenciamento da organização porque a AWS Control Tower usa essa conta para configurar automaticamente uma organização da AWS e designa essa conta como a conta de gerenciamento. Essa conta é usada para faturamento em toda a sua organização da AWS. Também é usado para provisionamento de contas do Account Factory, para gerenciar OUs e gerenciar grades de proteção. Se você estiver lançando o AWS Control Tower em uma organização existente da AWS, poderá usar a conta de gerenciamento existente. O AWS Control Tower usará essa conta como a conta de gerenciamento designada.

Consideração do design

  • Se você quiser estabelecer uma linha de base adicional de controles e configurações em suas contas, você pode usar Customizations for AWS Control Tower (cFct). Com o cFct, você pode personalizar sua zona de pouso do AWS Control Tower usando um CloudFormation modelo da AWS e políticas de controle de serviços (SCPs). Você pode implantar o modelo e as políticas personalizados em contas individuais e OUs em sua organização. O cFct se integra aos eventos do ciclo de vida do AWS Control Tower para garantir que as implantações de recursos permaneçam sincronizadas com sua landing zone. 

AWS Artifact

O AWS Artifact fornece acesso sob demanda aos relatórios de segurança e conformidade da AWS e a contratos on-line selecionados. Os relatórios disponíveis no AWS Artifact incluem relatórios de controles organizacionais e de sistema (SOC), relatórios do setor de cartões de pagamento (PCI) e certificações de órgãos de credenciamento de várias regiões e setores de conformidade que validam a implementação e a eficácia operacional dos controles de segurança da AWS. O AWS Artifact ajuda você a realizar sua devida diligência na AWS com maior transparência em nosso ambiente de controle de segurança. Também permite monitorar continuamente a segurança e a conformidade da AWS com acesso imediato a novos relatórios. 

Os AWS Artifact Agreements permitem que você revise, aceite e acompanhe o status dos contratos da AWS, como o Business Associate Addendum (BAA) para uma conta individual e para as contas que fazem parte da sua organização no AWS Organizations. 

Você pode fornecer os artefatos de auditoria da AWS para seus auditores ou reguladores como evidência dos controles de segurança da AWS. Você também pode usar a orientação de responsabilidade fornecida por alguns dos artefatos de auditoria da AWS para projetar sua arquitetura de nuvem. Essa orientação ajuda a determinar os controles de segurança adicionais que você pode implementar para dar suporte aos casos de uso específicos do seu sistema. 

O AWS Artifacts é hospedado na conta de gerenciamento de organizações para fornecer um local central onde você pode revisar, aceitar e gerenciar contratos com a AWS. Isso ocorre porque os contratos que são aceitos na conta de gerenciamento fluem para as contas dos membros. 

Consideração do design

  • Os usuários da conta de gerenciamento de organizações devem se restringir a usar somente o recurso de Acordos do AWS Artifact e nada mais. Para implementar a segregação de tarefas, o AWS Artifact também é hospedado na conta do Security Tooling, onde você pode delegar permissões às partes interessadas em conformidade e aos auditores externos para acessar artefatos de auditoria. Você pode implementar essa separação definindo políticas refinadas de permissão do IAM. Para ver exemplos, consulte Exemplos de políticas do IAM na documentação da AWS.

Guardrails de serviços de segurança distribuídos e centralizados

No AWS SRA, no AWS Security Hub, no Amazon, no AWS Config GuardDuty, no IAM Access Analyzer, nas trilhas organizacionais CloudTrail da AWS e, frequentemente, no Amazon Macie, são implantados com administração delegada ou agregação apropriada à conta do Security Tooling. Isso permite um conjunto consistente de barreiras em todas as contas e também fornece monitoramento, gerenciamento e governança centralizados em toda a sua organização da AWS. Você encontrará esse grupo de serviços em cada tipo de conta representada no AWS SRA. Eles devem fazer parte dos serviços da AWS que devem ser provisionados como parte do processo básico e de integração de sua conta. O repositório de GitHub código fornece um exemplo de implementação de serviços focados na segurança da AWS em todas as suas contas, incluindo a conta de gerenciamento de organizações da AWS. 

Além desses serviços, o AWS SRA inclui dois serviços focados em segurança, o Amazon Detective e o AWS Audit Manager, que oferecem suporte à integração e à funcionalidade de administrador delegado no AWS Organizations. No entanto, eles não estão incluídos como parte dos serviços recomendados para a definição de base da conta. Vimos que esses serviços são melhor usados nos seguintes cenários:

  • Você tem uma equipe dedicada ou um grupo de recursos que executam essas funções forenses digitais e de auditoria de TI. O Amazon Detective é melhor utilizado pelas equipes de analistas de segurança, e o AWS Audit Manager é útil para suas equipes internas de auditoria ou conformidade.

  • Você quer se concentrar em um conjunto básico de ferramentas, como GuardDuty o Security Hub, no início do seu projeto e, em seguida, desenvolvê-las usando serviços que fornecem recursos adicionais.