O uso doAWS OrganizationsSegurança para o - AWSOrientação da prescrição

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

O uso doAWS OrganizationsSegurança para o

AWS Organizationsajuda você a gerenciar e governar centralmente seu ambiente à medida que você cresce e expande seuAWSrecursos da AWS. Usando oAWS Organizations, você pode criar novas programaticamenteAWScontas, aloque recursos, agrupe contas para organizar suas cargas de trabalho e aplicar políticas a contas ou grupos de contas para governança. UmaAWSorganização consolida suaAWSContas para que você possa administrá-las como uma só unidade. Ele tem uma conta de gerenciamento, juntamente com zero ou mais contas-membro. A maioria de suas cargas de trabalho deve residir em contas de membro, exceto por alguns processos gerenciados centralmente que devem residir na conta de gerenciamento ou em contas atribuídas como administradores delegados para específicosAWSServiços da . Você pode fornecer ferramentas e acesso a partir de um local central para que sua equipe de segurança gerencie as necessidades de segurança em nome de umAWSorganização. Você pode reduzir a duplicação de recursos compartilhando recursos críticos em seuAWSorganização. Você pode agrupar contas emAWSUnidades organizacionais (UOs), que pode representar diferentes ambientes com base nos requisitos e na finalidade da carga de trabalho.

comAWS OrganizationsVocê pode usarPolíticas de controle de serviço(SCPs) para aplicar guardrails de permissão noAWSnível de organização, UO ou conta. Esses guardrails se aplicam a todos os usuários e funções dentro das contas cobertas. Quando você anexa uma SCP a uma UO, ele flui para baixo e afeta todas as ramificações (UOs) e as folhas (contas) abaixo dela. Os SCPs não concedem permissões. Em vez disso, as SCPs especificam as permissões máximas deAWSorganização, UO ou conta. Você ainda precisa anexarPolíticas baseadas em identidade ou em recursospara diretores ou recursos em seuAWScontas para realmente conceder permissões a elas. Para obter mais informações sobre os tipos de políticas do IAM, consulte aRecursos do IAMseção. Quando você anexa uma SCP à UO, o SCP limita as permissões das entidades principais em todas as contas de membro associadas. Por exemplo, você pode aplicar um SCP que impede que os usuários iniciem recursos noAWSRegiões que você não permitiu explicitamente.

AWS Control Toweroferece uma maneira simplificada de configurar e governar várias contas. Ele automatiza a configuração de contas em seuAWSorganização, automatiza o provisionamento, aplica-seRedes de proteção(que incluem controles preventivos e de detetive) e fornece um painel de controle para visibilidade. Uma política de gerenciamento do IAM adicional, umlimite de permissões, é anexada a entidades específicas do IAM (usuários ou funções) e define as permissões máximas que uma política baseada em identidade pode conceder a uma entidade principal do IAM.

AWS Organizationsajuda você a configurarAWSserviçosque se aplicam a todas as suas contas. Por exemplo, você pode configurar o log central de todas as ações executadas noAWSorganização usandoAWS CloudTraile impeça que as contas de membros desativem o registro em log. Você também pode agregar dados centralmente para regras que você definiu usandoAWS Config, para que você possa auditar suas cargas de trabalho quanto à conformidade e reagir rapidamente às alterações. Você pode usarAWS CloudFormationStackSets dopara gerenciar centralmenteAWS CloudFormationpilhas em contas e OUs em seuAWSorganização, para que você possa provisionar automaticamente uma nova conta para atender aos seus requisitos de segurança.

A configuração padrão doAWS OrganizationsSuporta o uso de SCPs comoNegar listas, e essa é a abordagem que recomendamos. Usando uma estratégia de lista de negações, os administradores de conta de membro podem delegar todos os serviços e ações até você criar e anexar um SCP que nega um serviço ou conjunto de ações específico. As instruções de negação exigem menos manutenção do que uma lista de permissões, pois você não precisa atualizá-las quandoAWSadiciona novos serviços. Normalmente, as instruções de negação são menores no tamanho do caractere, portanto, é mais fácil permanecer dentro do tamanho máximo para SCPs. Em uma declaração em que o elemento Effect tem um valor de Deny, você também pode restringir o acesso a recursos específicos ou definir condições para quando as SCPs estão em vigor. Por outro lado, umAllowUma instrução em um SCP se aplica a todos os recursos do ("*") e não pode ser restringido por condições. Para obter mais informações e exemplos, consulteEstratégias de uso de SCPsnoAWS Organizationsdocumentação.

Consideração sobre design

Como alternativa, para usar SCPs como umLista de permissões, você deve substituir oAWSgerenciadoFullAWSAccessSCP com um SCP que permite explicitamente somente os serviços e ações que você deseja permitir. Para uma permissão ser habilitada para uma conta especificada, todo SCP (da raiz até cada UO no caminho direto para a conta e até mesmo anexado à própria conta) deve permitir essa permissão. Este modelo é de natureza mais restritiva e pode ser um bom ajuste para cargas de trabalho altamente reguladas e sensíveis. Essa abordagem requer manutenção, porque você deve permitir explicitamente todas as ações do IAM no caminho a partir doAWSconta para a UO, e algumas das ações podem precisar ser implementadas por uma equipe separada, como segurança central ou gerenciamento de identidade e acesso.