SEC02-BP06 Empregue grupos e atributos de usuários

A definição de permissões de acordo com grupos de usuários e atributos ajuda a reduzir o número e a complexidade das políticas, simplificando o cumprimento do princípio do privilégio mínimo.  Você pode usar grupos de usuários para gerenciar permissões para várias pessoas em um só lugar com base na função que elas desempenham em sua organização.  Os atributos, como departamento ou localização, podem ampliar o escopo de permissão quando as pessoas realizam uma função que, embora semelhante, envolve diferentes subconjuntos de recursos.

Resultado desejado: é possível aplicar alterações nas permissões com base na função a todos os usuários que executam essa função.  A associação a grupos e os atributos governam as permissões de usuário, reduzindo a necessidade de gerenciar permissões para cada usuário.  Os grupos e atributos que você define em seu provedor de identidades (IdP) são propagados automaticamente para seus ambientes da AWS .

Práticas comuns que devem ser evitadas:

• Gerenciar permissões para usuários individuais e duplicá-las entre vários usuários.

• Definir grupos em um nível muito alto, concedendo permissões excessivamente amplas.

• Definir grupos em um nível muito detalhado, criando duplicação e confusão em termos de associação.

• Usar grupos com permissões duplicadas em subconjuntos de recursos quando, em vez disso, é possível usar atributos.

• Não gerenciar grupos, atributos e associações por meio de um provedor de identidades padronizado integrado aos seus ambientes da AWS .

Nível de risco exposto se esta prática recomendada não for estabelecida: Médio

Orientação para implementação

AWS as permissões são definidas em documentos chamados políticas que estão associados a um principal, como um usuário, grupo, função ou recurso.  Para sua força de trabalho, isso permite definir grupos com base na função desempenhada pelos usuários dentro da organização, e não nos recursos que estão sendo acessados. Por exemplo, um WebAppDeveloper grupo pode ter uma política anexada para configurar um serviço como o Amazon CloudFront em uma conta de desenvolvimento. Um AutomationDeveloper grupo pode ter algumas CloudFront permissões em comum com o WebAppDeveloper grupo. Essas permissões podem ser capturadas em uma política separada e associadas aos dois grupos, em vez de fazer com que os usuários de ambas as funções pertençam a um grupo CloudFrontAccess.

Além dos grupos, você pode usar atributos para controlar melhor o escopo do acesso. Por exemplo, você pode ter um atributo Project para os usuários do seu grupo WebAppDeveloper para definir o escopo do acesso a recursos específicos do projeto.  O uso dessa técnica elimina a necessidade de ter grupos diferentes para desenvolvedores de aplicações que estão trabalhando em diferentes projetos se, em outras circunstâncias, as permissões deles forem as mesmas.  A forma como você se refere aos atributos nas políticas de permissão é baseada em sua origem, sejam eles definidos como parte do seu protocolo de federação (como SAMLOIDC, ouSCIM), como SAML afirmações personalizadas ou definidos no IAM Identity Center.

Etapas de implementação

1. Estabeleça onde você definirá grupos e atributos.

   1. Seguindo as orientações emSEC02-BP04 Confie em um provedor de identidade centralizado, você pode determinar se precisa definir grupos e atributos em seu provedor de identidade, no IAM Identity Center ou usar grupos de IAM usuários em uma conta específica.

2. Defina grupos.

   1. Determine seus grupos com base na função e no escopo de acesso necessário.  

   2. Se estiver definindo no IAM Identity Center, crie grupos e associe o nível de acesso desejado usando conjuntos de permissões.

   3. Se estiver definindo em um provedor de identidade externo, determine se o provedor oferece suporte ao SCIM protocolo e considere habilitar o provisionamento automático no IAM Identity Center.  Esse recurso sincroniza a criação, associação e exclusão de grupos entre seu provedor e o IAM Identity Center.

3. Defina atributos.

   1. Se estiver usando um provedor de identidade externo, os protocolos SCIM e SAML 2.0 fornecem determinados atributos por padrão.  Atributos adicionais podem ser definidos e passados usando SAML asserções usando o nome do https://aws.amazon.com/SAML/Attributes/PrincipalTag atributo.

   2. Se estiver definindo no IAM Identity Center, ative o recurso de controle de acesso baseado em atributos (ABAC) e defina os atributos conforme desejado.

4. Defina o escopo das permissões com base em grupos e atributos.

   1. Considere incluir condições em suas políticas de permissão que comparem os atributos da entidade principal aos atributos dos recursos que estão sendo acessados.  Por exemplo, é possível definir uma condição para permitir o acesso a um recurso somente se o valor de uma chave de condição PrincipalTag corresponder ao valor de uma chave ResourceTag com o mesmo nome.

Recursos

Práticas recomendadas relacionadas:

• SEC02-BP04 Confie em um provedor de identidade centralizado

• SEC03-BP02 Conceder acesso com privilégios mínimos

• COST02-BP04 Implementar grupos e funções

Documentos relacionados:

• IAMMelhores práticas

• Gerenciar identidades no IAM Identity Center

• Para que ABAC serve AWS?

• ABACNo IAM Identity Center

Vídeos relacionados:

• Gerenciando permissões de usuário em grande escala com o AWS IAM Identity Center

• Como dominar a identidade em cada camada do bolo