SEC03-BP01 Definir requisitos de acesso
Cada componente ou recurso de sua workload precisa ser acessado por administradores, usuários finais ou outros componentes. É necessário ter uma definição clara de quem ou do que deve ter acesso a cada componente, escolher o tipo de identidade apropriado e o método de autenticação e autorização.
Antipadrões comuns:
-
Codificação rígida ou armazenamento de segredos em sua aplicação.
-
Conceder permissões personalizadas a cada usuário.
-
Uso de credenciais de longa duração.
Nível de risco exposto se essa prática recomendada não for estabelecida: alto
Orientação para implementação
Cada componente ou recurso de sua workload precisa ser acessado por administradores, usuários finais ou outros componentes. É necessário ter uma definição clara de quem ou do que deve ter acesso a cada componente, escolher o tipo de identidade apropriado e o método de autenticação e autorização.
O acesso regular a Contas da AWS na organização deve ser fornecido usando acesso federado
Ao definir os requisitos de acesso para identidades não humanas, determine quais aplicações e componentes precisam de acesso e como as permissões são concedidas. O uso de perfis do IAM criados com o modelo de acesso de privilégio mínimo é uma abordagem recomendada. As políticas gerenciadas pela AWS fornecem políticas predefinidas do IAM que abordam a maioria dos casos de uso comuns.
Os serviços da AWS, como o AWS Secrets Manager
Você pode usar o AWS Identity and Access Management Roles Anywhere para obter credenciais de segurança temporárias no IAM para workloads executadas fora da AWS. As workloads podem usar as mesmas políticas do IAM e perfis do IAM que você usa com as aplicações da AWS para acessar os recursos da AWS.
Quando possível, prefira credenciais temporárias de curta duração em vez de credenciais estáticas de longa duração. Para cenários em que você precisa de usuários da IAM com acesso programático e credenciais de longa duração, use as últimas informações usadas da chave de acesso para alternar e remover chaves de acesso.
Recursos
Documentos relacionados:
Vídeos relacionados: