SEC03-BP05 為您的組織定義許可防護 - 安全支柱
實作指引實作步驟資源

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

SEC03-BP05 為您的組織定義許可防護

使用許可防護機制縮小可授予主體的可用許可範圍。許可政策評估鏈包括您的防護機制,可在進行授權決策時確定主體的有效許可。 您可以採用分層方式定義防護機制。對整個組織廣泛套用一些防護機制,另外對暫時存取工作階段套用一些精細的防護機制。

預期成果:您可以使用個別 AWS 帳戶對環境進行明確的隔離。  服務控制政策 (SCPs) 用於定義整個組織的許可護欄。較寬鬆的防護機制設定於最靠近組織根目錄的階層層級,較嚴謹的防護機制則設定於較靠近個別帳戶的層級。 在受支援的情況下,資源政策會定義主體必須滿足才能取得資源存取權的條件。資源政策也會適時縮小允許的動作範圍。 許可界限會設置在管理工作負載許可的主體上,以將許可管理委派給個別工作負載擁有者。

常見的反模式:

  • AWS 組織 AWS 帳戶 中建立成員,但不使用 SCPs 來限制其根憑證可用的使用和許可。

  • 根據最低權限指派許可,但未對可授予的許可集上限設置防護機制。

  • 依賴 的隱含拒絕基礎 AWS IAM來限制許可,信任該政策不會授予不想要的明確允許許可。

  • 在相同的 中執行多個工作負載環境 AWS 帳戶,然後依賴 VPCs、標籤或資源政策等機制來強制執行許可界限。

建立此最佳實務的優勢:許可防護機制有助於建立信心,確保不會有不需要的許可授予情況,即使許可政策嘗試這樣做也不必擔心。 此最佳實務可透過縮小需考量的許可範圍上限來簡化定義和管理許可。

未建立此最佳實務時的曝險等級:

實作指引

建議您採用分層方式為您的組織定義許可防護機制。此方法能夠隨著套用額外的分層,有系統地減少可能的許可集上限。這可協助您根據最低權限原則授予存取權,降低了因政策組態錯誤導致意外存取的風險。

建立許可防護機制的第一步,是將您的工作負載和環境隔離到個別 AWS 帳戶中。 在沒有明確許可的情況下,一個帳戶的主體無法存取另一個帳戶中的資源,即使兩個帳戶都位於同一個 AWS 組織或同一組織單位 (OU) 下。 您可以使用 OUs 將要管理的帳戶分組為單一單位。  

下一步是減少您可授予組織的成員帳戶內主體的許可集上限。 您可以為此目的使用服務控制政策 (SCPs),您可以將其套用至 OU 或 帳戶。 SCPs 可以強制執行常見的存取控制,例如限制對特定 的存取 AWS 區域、協助防止資源遭到刪除,或停用可能有風險的服務動作。  SCPs 您套用至組織的根目錄只會影響其成員帳戶,不會影響管理帳戶。 SCPs 僅管理組織中的主體。您的 SCPs不會管理正在存取您資源的組織外部主體。

另一個步驟是使用IAM資源政策,以限制您可以對他們管理的資源採取的可用動作,以及代理主體必須滿足的任何條件。 只要主體是組織的一部分 (使用 PrincipalOrgId條件索引鍵 ),或只允許特定IAM角色的特定動作,這就可能非常廣泛。 您可以採取類似的方法,以處理IAM角色信任政策中的條件。 如果資源或角色信任政策明確地在與其管理的角色或資源相同的帳戶中命名主體,則該主體不需要授予相同許可的附加IAM政策。 如果委託人位於與資源不同的帳戶中,則委託人確實需要授予這些許可的附加IAM政策。

通常,工作負載團隊會希望管理其工作負載需要的許可。 這可能需要他們建立新的IAM角色和許可政策。 您可以擷取允許團隊在許可IAM界限 中授予的最大許可範圍,並將本文件與團隊可用來管理其IAM角色和許可IAM的角色建立關聯。 這種方法可以讓他們完成工作,同時降低擁有IAM管理存取權的風險。

更精細的步驟是實作權限存取管理 (PAM) 和暫時提升的存取管理 (TEAM) 技術。 的一個範例PAM是要求主體在採取權限動作之前執行多重要素驗證。 如需詳細資訊,請參閱設定 MFA受保護的API存取 。TEAM 需要管理允許主體提升存取的核准和時間範圍的解決方案。 其中一種方法是暫時將主體新增至具有較高存取權之IAM角色的角色信任政策。 另一種方法是,在正常操作下,使用工作階段政策 來縮小IAM角色授予主體的許可範圍,然後在核准的時段內暫時解除此限制。若要進一步了解已經過 AWS 和精選合作夥伴驗證的解決方案,請參閱暫時提升的存取權

實作步驟

  1. 將您的工作負載和環境隔離到個別 AWS 帳戶中。

  2. 使用 SCPs減少可授予您組織成員帳戶內主體的許可集上限。

    1. 建議您採取允許清單方法,來撰寫拒絕所有動作SCPs的 ,但您允許的動作除外,以及允許執行這些動作的條件。首先定義您要控制的資源,然後將「效果」設定為「拒絕」。使用 NotAction 元素來拒絕您指定的動作以外的所有動作。如適用,請將此與 NotLike 條件合併,以定義允許這些動作的時間,例如 StringNotLike 和 ArnNotLike。

    2. 參閱服務控制政策範例

  3. 使用IAM資源政策來縮小範圍,並指定資源上允許動作的條件。 使用IAM角色信任政策中的條件來建立擔任角色的限制。

  4. 將IAM許可界限指派給工作負載團隊可用來管理自己的工作負載IAM角色和許可IAM的角色。

  5. 根據您的需求評估 PAM和 TEAM解決方案。

資源

相關文件:

相關範例:

相關工具: