SEC08-BP04 Impor o controle de acesso - AWS Well-Architected Framework

SEC08-BP04 Impor o controle de acesso

Aplique controle de acesso com privilégios mínimos e mecanismos, incluindo backups, isolamento e versionamento, para ajudar a proteger seus dados ociosos. Impeça que os operadores concedam acesso público aos seus dados.

Diferentes controles, incluindo acesso (usando privilégios mínimos), backups (consulte o whitepaper Confiabilidade), isolamento e versionamento, podem ajudar a proteger os dados em repouso. Deve ser feita a auditoria de acesso aos seus dados com os mecanismos de detecção abordados anteriormente neste documento, incluindo o CloudTrail e o log de nível de serviço, como os logs de acesso do Amazon Simple Storage Service (Amazon S3). Você deve inventariar quais dados são acessíveis publicamente e planejar como reduzir a quantidade de dados disponíveis ao longo do tempo. O Amazon S3 Glacier Vault Lock e o Amazon S3 Object Lock são recursos que fornecem controle de acesso obrigatório. Assim que uma política de cofre é bloqueada com a opção de conformidade, nem mesmo o usuário raiz pode alterá-la até que o bloqueio expire. O mecanismo atende aos requisitos de Books and Records Management da SEC, CFTC e FINRA. Para obter mais detalhes, consulte este whitepaper.

Nível de risco exposto se esta prática recomendada não for estabelecida: Baixo

Orientação de implementação

Aplique o controle de acesso: aplique o controle de acesso com privilégios mínimos, incluindo acesso a chaves de criptografia.
- Introdução ao gerenciamento de permissões de acesso aos seus recursos do Amazon S3
Dados separados com base em diferentes níveis de classificação: use diferentes de Contas da AWS para níveis de classificação de dados gerenciados pelo AWS Organizations.
- AWS Organizations
Analise as políticas do AWS KMS: analise o nível de acesso concedido nas políticas do AWS KMS.
- Visão geral do gerenciamento de acesso dos recursos do AWS KMS
Revise as permissões de objeto e de bucket do Amazon S3: revise regularmente o nível de acesso concedido nas políticas de bucket do Amazon S3. Uma das melhores práticas é não ter buckets que possam ser lidos ou gravados publicamente. Considere o uso do AWS Config para detectar buckets que estão disponíveis publicamente e do Amazon CloudFront para fornecer conteúdo do Amazon S3.
- Regras do AWS Config
- Amazon S3 + Amazon CloudFront: uma combinação perfeita
Habilite o versionamento e o bloqueio de objetos do Amazon S3.
- Usar versionamento
- Como bloquear objetos usando o Bloqueio de objetos do Amazon S3
Use o Amazon S3 Inventory: o Amazon S3 Inventory é uma das ferramentas que você pode usar para auditar e gerar relatórios sobre o status de replicação e criptografia de seus objetos.
- Amazon S3 Inventory
Revise as permissões de compartilhamento do Amazon EBS e do AMI: as permissões de compartilhamento podem autorizar que imagens e volumes sejam compartilhados com Contas da AWS externas à sua workload.
- Como compartilhar um snapshot do Amazon EBS
- AMIs compartilhadas

Recursos

Documentos relacionados:

Whitepaper de detalhes criptográficos do AWS KMS

Vídeos relacionados:

Securing Your Block Storage on AWS (Como proteger o armazenamento em bloco na AWS)

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

SEC08-BP03 Automatizar a proteção de dados em repouso

SEC08-BP05 Usar mecanismos para evitar que as pessoas acessem os dados

Selecione suas preferências de cookies

Personalizar preferências de cookies

Essenciais

Desempenho

Funcionais

Publicidade

Não foi possível salvar as preferências de cookie

SEC08-BP04 Impor o controle de acesso

Orientação de implementação

Recursos

Esta página foi útil?

Próximo tópico:

Tópico anterior:

Precisa de ajuda?