本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为公共子网部署基于属性的预防性访问控制
由 Joel Alfredo Nunez Gonzalez (AWS) 和 Samuel Ortega Sancho (AWS) 编写
环境:PoC 或试点 | 技术:安全性、标识性、合规性;联网;内容交付 | Amazon Web Services:AWS Organizations;AWS Identity and Access Management |
Summary
在集中式网络架构中,检查和边缘虚拟私有云(VPC)集中了所有入站和出站流量,例如进出互联网的流量。但是,这可能会造成瓶颈或导致达到 AWS 服务限额的限制。与更常见的集中式方法相比,将网络边缘安全与 VPC 中的工作负载一起部署可提供前所未有的可扩展性。这称为分布式边缘架构。
尽管在工作负载帐户中部署公有子网可以带来好处,但它也会带来新的安全风险,因为它增加了攻击面。我们建议您在这些 VPC 的公有子网中仅部署弹性负载均衡(ELB)资源,例如应用程序负载均衡器或 NAT 网关。在专用公有子网中使用负载均衡器和 NAT 网关有助于实现对入站和出站流量的精细控制。
基于属性的访问权限控制(ABAC)是根据用户属性(如部门、工作角色和团队名称)创建精细访问权限的做法。有关更多信息,请参阅适用于 AWS 的 ABAC
此模式描述了如何通过 AWS Organizations 中的服务控制策略(SCP)和 AWS Identity and Access Management (IAM) 中的策略实施 ABAC 来帮助保护公有子网。您可以将 SCP 应用于组织的成员账户或组织单位 (OU)。这些 ABAC 策略允许用户在目标子网中部署 NAT 网关,并阻止他们部署其他亚马逊弹性计算云 (Amazon EC2) 资源,例如 EC2 实例和弹性网络接口。
先决条件和限制
先决条件
AWS Organizations 中的组织
对 AWS Organizations 根账户的管理访问权限
在组织中,用于测试 SCP 的活动成员账户或 OU
限制
此解决方案中的 SCP 不会阻止使用服务相关角色的 Amazon Web Services 在目标子网中部署资源。这些服务的示例包括弹性负载均衡(ELB)、Amazon Elastic Container Service (Amazon ECS) 和 Amazon Relational Database Service (Amazon RDS)。有关更多信息,请参阅 AWS Organizations 文档中的 SCP 对权限的影响。实施安全控制来检测这些异常。
架构
目标技术堆栈
SCP 应用于 AWS Organizations 中的 Amazon Web Services account 或 OU
以下 IAM 角色:
AutomationAdminRole— 用于在实施 SCP 后修改子网标签和创建 VPC 资源TestAdminRole— 用于测试 SCP 是否阻止其他 IAM 主体(包括具有管理访问权限的主体)执行为AutomationAdminRole保留的操作
目标架构
您可在目标账户中创建
AutomationAdminRoleIAM 角色。此角色有权管理网络资源。请注意此角色独有的以下权限:此角色可以创建 VPC 和公有子网。
此角色可以修改目标子网的标签分配。
此角色可以管理自己的权限。
在 AWS Organizations 中,您可以将 SCP 应用于目标 Amazon Web Services account 或 OU。有关示例策略,请参阅此模式中的其他信息。
CI/CD 管道中的用户或工具可以承担
AutomationAdminRole角色,将SubnetType标签应用到目标子网。通过承担其他 IAM 角色,组织中的授权 IAM 主体可以管理目标子网中的 NAT 网关以及 Amazon Web Services account 中其他允许的网络资源,例如路由表。使用 IAM policy 以授予这些权限。有关更多信息,请参阅 Amazon VPC 的身份和访问权限管理。
自动化和扩展
为了帮助保护公有子网,必须应用相应的 AWS 标签。应用 SCP 后,NAT 网关是授权用户可以在具有 SubnetType:IFA标签的子网中创建的唯一一种 Amazon EC2 资源。(IFA 指面向互联网的资产。) SCP 会阻止创建其他 Amazon EC2 资源,例如实例和弹性网络接口。 我们建议您使用AutomationAdminRole扮演角色的 CI/CD 管道来创建 VPC 资源,以便将这些标签正确应用于公有子网。
工具
Amazon Web Services
AWS Identity and Access Management(AWS IAM)通过控制验证和授权使用您 AWS 资源的用户,帮助您安全地管理对您 AWS 资源的访问。
AWS Organizations 是一项账户管理服务,使您可将多个 Amazon Web Services account 整合到您所创建的组织中并进行集中管理。在 AWS Organizations 中,您可以实施服务控制策略(SCP),这是一种组织策略,可用于管理组织中的权限。
Amazon Virtual Private Cloud (Amazon VPC) 可帮助您将 AWS 资源启动到您定义的虚拟网络中。此虚拟网络类似于您在自己的数据中心内运行的传统网络,具有使用 AWS 可扩展基础设施的优势。
操作说明
| 任务 | 描述 | 所需技能 |
|---|---|---|
创建测试管理员角色。 | 在目标 Amazon Web Services account 中,创建一个名为 | AWS 管理员 |
创建自动化管理员角色。 |
以下是您可用于测试
| AWS 管理员 |
创建并附加 SCP。 |
| AWS 管理员 |
| 任务 | 描述 | 所需技能 |
|---|---|---|
创建 VPC 或子网。 |
| AWS 管理员 |
管理标签。 |
| AWS 管理员 |
在目标子网中部署资源。 | AWS 管理员 | |
管理 AutomationAdminRole 角色。 |
| AWS 管理员 |
相关资源
AWS 文档
其他 AWS 参考
使用 AWS Organizations 中的服务控制策略保护用于授权的资源标签
(AWS Blog 文章)
其他信息
以下服务控制策略是一个示例,您可以用来在您的组织中测试这种方法。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "DenyVPCActions", "Effect": "Deny", "Action": [ "ec2:CreateVPC", "ec2:CreateRoute", "ec2:CreateSubnet", "ec2:CreateInternetGateway", "ec2:DeleteVPC", "ec2:DeleteRoute", "ec2:DeleteSubnet", "ec2:DeleteInternetGateway" ], "Resource": [ "arn:aws:ec2:*:*:*" ], "Condition": { "StringNotLike": { "aws:PrincipalARN": ["arn:aws:iam::*:role/AutomationAdminRole"] } } }, { "Sid": "AllowNATGWOnIFASubnet", "Effect": "Deny", "NotAction": [ "ec2:CreateNatGateway", "ec2:DeleteNatGateway" ], "Resource": [ "arn:aws:ec2:*:*:subnet/*" ], "Condition": { "ForAnyValue:StringEqualsIfExists": { "aws:ResourceTag/SubnetType": "IFA" }, "StringNotLike": { "aws:PrincipalARN": ["arn:aws:iam::*:role/AutomationAdminRole"] } } }, { "Sid": "DenyChangesToAdminRole", "Effect": "Deny", "NotAction": [ "iam:GetContextKeysForPrincipalPolicy", "iam:GetRole", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies", "iam:ListInstanceProfilesForRole", "iam:ListRolePolicies", "iam:ListRoleTags" ], "Resource": [ "arn:aws:iam::*:role/AutomationAdminRole" ], "Condition": { "StringNotLike": { "aws:PrincipalARN": ["arn:aws:iam::*:role/AutomationAdminRole"] } } }, { "Sid": "allowbydefault", "Effect": "Allow", "Action": "*", "Resource": "*" } ] }
