SEC03-BP06 Gerenciar o acesso com base no ciclo de vida

Monitore e ajuste as permissões concedidas às entidades principais (usuários, funções e grupos) durante todo o ciclo de vida em sua organização. Ajuste as associações de grupo à medida que os usuários mudarem de função e remova o acesso quando um usuário sair da organização.

Resultado desejado: as permissões são monitoradas e ajustadas em todo o ciclo de vida das entidades principais da organização, reduzindo o risco de privilégios desnecessários. Você concede acesso apropriado ao criar um usuário. Você modifica o acesso à medida que as responsabilidades do usuário mudam e remove o acesso quando o usuário não está mais ativo ou sai da organização. Você gerencia centralmente as alterações em seus usuários, funções e grupos. Você usa a automação para propagar alterações em seus ambientes da AWS.

Antipadrões comuns:

• Você concede antecipadamente privilégios de acesso excessivos ou amplos às identidades, além daqueles exigidos inicialmente.

• Você não revisa e ajusta os privilégios de acesso à medida que as funções e responsabilidades das identidades mudam ao longo do tempo.

• Você mantém identidades inativas ou encerradas com privilégios de acesso ativos. Isso aumenta o risco de acesso não autorizado.

• Você não automatiza o gerenciamento dos ciclos de vida da identidade.

Nível de exposição a riscos se esta prática recomendada não for estabelecida: médio

Orientações para a implementação

Gerencie e ajuste cuidadosamente os privilégios de acesso que você concede às identidades (como usuários, funções, grupos) durante todo o ciclo de vida. Esse ciclo de vida inclui a fase inicial de integração, mudanças contínuas nas funções e responsabilidades e eventual desligamento ou rescisão. Gerencie proativamente o acesso com base no estágio do ciclo de vida para manter o nível de acesso adequado. Siga o princípio do privilégio mínimo para reduzir o risco de privilégios de acesso excessivos ou desnecessários.

Você pode gerenciar o ciclo de vida dos IAM users diretamente na Conta da AWS ou por meio de federação no provedor de identidades de seu quadro de funcionários para o AWS IAM Identity Center. Para IAM users, você pode criar, modificar e excluir usuários e as respectivas permissões associadas na Conta da AWS. No caso de usuários federados, você pode usar o IAM Identity Center para gerenciar o respectivo ciclo de vida sincronizando as informações de usuários e grupos do provedor de identidades da sua organização por meio do protocolo System for Cross-Domain Identity Management (SCIM).

O SCIM é um protocolo de padrão aberto para provisionamento e desprovisionamento automatizados de identidades de usuários em diferentes sistemas. Ao integrar seu provedor de identidades ao IAM Identity Center usando o SCIM, você pode sincronizar automaticamente as informações do usuário e do grupo para ajudar a validar que os privilégios de acesso sejam concedidos, modificados ou revogados com base nas alterações na fonte de identidade autorizada da sua organização.

À medida que as funções e responsabilidades dos funcionários mudam em sua organização, ajuste os respectivos privilégios de acesso de maneira correspondente. Você pode usar os conjuntos de permissões do IAM Identity Center para definir diferentes funções ou responsabilidades de trabalho e associá-las a políticas e permissões apropriadas do IAM. Quando a função de um funcionário muda, você pode atualizar o conjunto de permissões atribuído para refletir as novas responsabilidades. Verifique se ele tem o acesso necessário e seguem o princípio de privilégio mínimo.

Etapas da implementação

1. Defina e documente um processo de ciclo de vida do gerenciamento de acesso bem como procedimentos para concessão de acesso inicial, revisões periódicas e desligamento.

2. Implemente perfis, grupos e limites de permissões do IAM para gerenciar o acesso coletivamente e impor os níveis máximos de acesso permitidos.

3. Integre-se a um provedor de identidades federado (como Microsoft Active Directory, Okta, Ping Identity) como fonte confiável para uso de informações de usuários e grupos usando o IAM Identity Center.

4. Use o protocolo SCIM para sincronizar informações de usuários e grupos do provedor de identidades no IAM Identity Center Identity Store.

5. Crie conjuntos de permissões no IAM Identity Center que representem diferentes cargos ou responsabilidades em sua organização. Defina as políticas e permissões apropriadas do IAM para cada conjunto de permissões.

6. Implemente análises regulares de acesso, revogação imediata do acesso e melhoria contínua do processo do ciclo de vida do gerenciamento de acesso.

7. Ofereça treinamento e conhecimento aos funcionários sobre as práticas recomendadas de gerenciamento de acesso.

Recursos

Práticas recomendadas relacionadas:

• SEC02-BP04 Contar com um provedor de identidades centralizado

Documentos relacionados:

• Manage your identity source 

• Manage identities in IAM Identity Center

• Using AWS Identity and Access Management Access Analyzer

• IAM Access Analyzer policy generation

Vídeos relacionados:

• AWS re:Inforce 2023 - Manage temporary elevated access with AWS IAM Identity Center

• AWS re:Invent 2022 - Simplify your existing workforce access with IAM Identity Center

• AWS re:Invent 2022 - Harness power of IAM policies & rein in permissions w/Access Analyzer