Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Gestione dell'identità e degli accessi
AWS Identity and Access Management (IAM) è un servizio web che consente di controllare in modo sicuro l'accesso alle AWS risorse. Utilizza IAM per controllare chi è autenticato (accesso effettuato) e autorizzato (dispone di autorizzazioni) per l'utilizzo di risorse. Durante l'onboarding di AMS, sei responsabile della creazione di ruoli di amministratore IAM su più account all'interno di ciascuno dei tuoi account gestiti.
## Protezioni IAM Multi-Account Landing Zone (MALZ)
AMS multi-account landing zone (MALZ) richiede un trust Active Directory (AD) come obiettivo di progettazione principale della gestione degli accessi AMS per consentire a ciascuna organizzazione (sia AMS che cliente) la gestione dei cicli di vita delle proprie identità. In questo modo si evita la necessità di avere le credenziali nelle rispettive directory. L'attendibilità unidirezionale è configurata in modo che l'Active Directory gestita all'interno della piattaforma Account AWS affidi l'AD di proprietà o gestito dal cliente per l'autenticazione degli utenti. Poiché la fiducia è solo unidirezionale, ciò non significa che l'AD gestito sia considerato attendibile dal cliente Active Directory.
In questa configurazione, la directory dei clienti che gestisce le identità degli utenti è nota come User Forest, mentre l'AD gestito a cui sono collegate EC2 le istanze Amazon è nota come Resource Forest. Si tratta di un modello di progettazione Microsoft comunemente utilizzato per l'autenticazione di Windows; per ulteriori informazioni, [vedere Forest](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-models) Design Models.
Questo modello consente a entrambe le organizzazioni di automatizzare i rispettivi cicli di vita e consente sia ad AMS che a te di revocare rapidamente l'accesso se un dipendente lascia l'organizzazione. Senza questo modello, se entrambe le organizzazioni utilizzassero una directory comune (o la creassero users/groups nelle rispettive directory), entrambe dovrebbero inserire flussi di lavoro aggiuntivi e sincronizzare gli utenti per tenere conto dei dipendenti che iniziano e escono. Ciò comporta dei rischi, in quanto tale processo è latente e può essere soggetto a errori.
### Prerequisiti di accesso MALZ
Integrazione con MALZ Identity Provider per l'accesso alla console AWS/AMS, CLI, SDK.
![\[Le relazioni tra il provider di identità e la gestione delle modifiche di AWS IAM Console di gestione AWS, e AMS.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/images/malz-access-prereqs-1.png)
Affidabilità unidirezionale per EC2 le istanze Amazon nel tuo account AMS.
![\[La direzione della fiducia va a senso unico: dalle EC2 istanze Amazon al dominio Active Directory della tua organizzazione.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/images/malz-access-prereqs-2.png)
# Autenticazione con identità
AMS utilizza i ruoli IAM, che sono un tipo di identità IAM. Un ruolo IAM è molto simile a quello di un utente, in quanto è un'identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare AWS. Tuttavia, a un ruolo non sono associate credenziali e, invece di essere associato in modo univoco a una persona, un ruolo è pensato per essere assunto da chiunque ne abbia bisogno. Un utente IAM può assumere un ruolo per ottenere temporaneamente autorizzazioni diverse per un'attività specifica.
I ruoli di accesso sono controllati dall'appartenenza al gruppo interno, che viene amministrata e rivista periodicamente da Operations Management.
# Ruolo utente IAM in AMS
Un ruolo IAM è simile a quello di un utente IAM, in quanto è un' AWS identità con politiche di autorizzazione che determinano ciò che l'identità può e non può fare AWS. Tuttavia, invece di essere associato in modo univoco a una persona, un ruolo è destinato a essere assunto da chiunque.
Attualmente esiste un ruolo utente AMS predefinito`Customer_ReadOnly_Role`, per gli account AMS standard e un ruolo aggiuntivo, `customer_managed_ad_user_role` per gli account AMS con Managed Active Directory.
Le politiche di ruolo stabiliscono le autorizzazioni CloudWatch e le azioni di registro di Amazon S3, l'accesso alla console AMS, le restrizioni di sola lettura per la Servizi AWS maggior parte, l'accesso limitato alla console S3 dell'account e l'accesso al tipo di modifica AMS.
Inoltre, `Customer_ReadOnly_Role` dispone di autorizzazioni mutative per le istanze riservate che consentono di prenotare le istanze. Ha alcuni vantaggi in termini di risparmio, quindi, se sai che avrai bisogno di un certo numero di EC2 istanze Amazon per un lungo periodo di tempo, puoi chiamarle. APIs Per ulteriori informazioni, consulta [Amazon EC2 Reserved Instances.](https://aws.amazon.com/ec2/pricing/reserved-instances/)
**Nota**
L'obiettivo del livello di servizio (SLO) di AMS per la creazione di policy IAM personalizzate per gli utenti IAM è di quattro giorni lavorativi, a meno che non si voglia riutilizzare una policy esistente. Se desideri modificare il ruolo utente IAM esistente o aggiungerne uno nuovo, invia rispettivamente una RFC [IAM: Update Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) o [IAM: Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html).
Se non conosci i ruoli Amazon IAM, consulta Ruoli [IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) per informazioni importanti.
**Multi-Account Landing Zone (MALZ)**: per visualizzare le politiche relative ai ruoli utente predefinite e non personalizzate di AMS per i ruoli utente, vedere, successivo. [MALZ: ruoli utente IAM predefiniti](#json-default-role-malz)
## MALZ: ruoli utente IAM predefiniti
Dichiarazioni sulle policy JSON per i ruoli utente predefiniti multi-account AMS multi-account landing zone.
**Nota**
I ruoli utente sono personalizzabili e possono differire in base all'account. Vengono fornite istruzioni su come trovare il proprio ruolo.
Questi sono esempi dei ruoli utente MALZ predefiniti. Per assicurarti di avere le policy impostate di cui hai bisogno, esegui il comando AWS [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)o accedi alla [console AWS Management -> IAM](https://console.aws.amazon.com/iam/) e scegli **Ruoli** nel riquadro di navigazione.
### Ruoli principali dell'account OU
Un account principale è un account di infrastruttura gestito da Malz. Gli account AMS multi-account landing zone Gli account Core includono un account di gestione e un account di rete.
**Account Core OU: ruoli e politiche comuni**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/defaults-user-role.html)
**Account Core OU: ruoli e politiche dell'account di gestione**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/defaults-user-role.html)
**Account Core OU: ruoli e politiche degli account di rete**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/defaults-user-role.html)
### Ruoli dell'account dell'applicazione
I ruoli degli account dell'applicazione vengono applicati agli account specifici dell'applicazione.
**Account dell'applicazione: ruoli e politiche**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/defaults-user-role.html)
### Esempi di policy
Vengono forniti esempi per la maggior parte delle politiche utilizzate. Per visualizzare la ReadOnlyAccess policy (lunga pagine in quanto fornisce l'accesso in sola lettura a tutti i AWS servizi), puoi utilizzare questo link, se disponi di un account AWS attivo:. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Inoltre, qui è inclusa una versione ridotta.
#### AMSBillingPolitica
`AMSBillingPolicy`
Il nuovo ruolo Fatturazione può essere utilizzato dal reparto contabilità per visualizzare e modificare le informazioni di fatturazione o le impostazioni dell'account nell'account di gestione. Per accedere a informazioni come Contatti alternativi, visualizzare l'utilizzo delle risorse dell'account o tenere sotto controllo la fatturazione o persino modificare i metodi di pagamento, utilizzi questo ruolo. Questo nuovo ruolo comprende tutte le autorizzazioni elencate nella [pagina Web delle azioni IAM di AWS Billing](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Autorizzazioni per visualizzare tutti i tipi di modifica AMS e la cronologia dei tipi di modifica richiesti.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Autorizzazioni per richiedere il tipo di modifica Deployment \$1 Managed landing zone \$1 Management account \$1 Create application account (con VPC).
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Autorizzazioni per richiedere l'account Deployment \$1 Managed landing zone \$1 Networking \$1 Create application route table.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(per gestione \$1 Altro \$1 Altro CTs)
Autorizzazioni per richiedere i tipi di modifica Gestione \$1 Altro \$1 Altro \$1 Creazione e gestione \$1 Altro \$1 Altro \$1 Aggiornamento dei tipi di modifica.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Autorizzazioni per la visualizzazione di dati segreti passwords/hashes condivisi da AMS Gestione dei segreti AWS (ad esempio password di accesso all'infrastruttura per il controllo).
Autorizzazioni per creare dati segreti da condividere con AMS password/hashes . (ad esempio, chiavi di licenza per prodotti che devono essere distribuiti).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Autorizzazioni per richiedere e visualizzare tutti i tipi di modifica AMS e la cronologia dei tipi di modifica richiesti.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Autorizzazioni per gestire le istanze EC2 riservate di Amazon; per informazioni sui prezzi, consulta [Amazon EC2 Reserved](https://aws.amazon.com/ec2/pricing/reserved-instances/) Instances.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Politica
`AMSS3Policy`
Autorizzazioni per creare ed eliminare file da bucket Amazon S3 esistenti.
**Nota**
Queste autorizzazioni non garantiscono la possibilità di creare bucket S3; ciò deve essere fatto con il tipo Deployment \$1 Advanced stack components \$1 S3 storage \$1 Create change.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportAccesso
`AWSSupportAccess`
Accesso completo a Supporto. Per informazioni, consulta [Guida introduttiva a Supporto](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Per informazioni su Premium Support, vedere [Supporto](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Politica AWS gestita dal pubblico)
Autorizzazioni per sottoscrivere, annullare l'iscrizione e visualizzare Marketplace AWS gli abbonamenti.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Accesso completo a. AWS Certificate Manager Per ulteriori informazioni, consulta [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)informazioni, (Public AWS Managed Policy).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullAccesso
`AWSWAFFullAccess`
Accesso completo a AWS WAF. Per ulteriori informazioni, vedere [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)informazioni, (politica AWS gestita dal pubblico). Questa politica garantisce l'accesso completo alle AWS WAF risorse.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Accesso in sola lettura a tutti i AWS servizi e le risorse sulla console. AWS Quando AWS lancia un nuovo servizio, AMS aggiorna la ReadOnlyAccess policy per aggiungere autorizzazioni di sola lettura per il nuovo servizio. Le autorizzazioni aggiornate vengono applicate a tutte le entità principali a cui la policy è collegata.
Ciò non garantisce la possibilità di accedere agli host o agli EC2 host del database.
Se ne hai uno attivo Account AWS, puoi utilizzare questo link [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary)per visualizzare l'intera ReadOnlyAccess politica. L'intera ReadOnlyAccess politica è molto lunga in quanto fornisce l'accesso in sola lettura a tutti. Servizi AWS Di seguito è riportato un estratto parziale della politica. ReadOnlyAccess
**Single-Account Landing Zone (SALZ)**: per visualizzare le politiche relative ai ruoli utente predefinite e non personalizzate di AMS relative ai ruoli utente, vedere, successivo. [SALZ: ruolo utente IAM predefinito](#json-default-role)
## SALZ: ruolo utente IAM predefinito
Dichiarazioni di policy JSON per il ruolo utente predefinito di AMS single-account landing zone.
**Nota**
Il ruolo utente predefinito di SALZ è personalizzabile e potrebbe differire in base all'account. Vengono fornite istruzioni su come trovare il proprio ruolo.
Di seguito è riportato un esempio del ruolo utente SALZ predefinito. Per assicurarti di avere le politiche impostate per te, esegui il [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)comando. In alternativa, accedi alla AWS Identity and Access Management console all'indirizzo [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/), quindi scegli **Ruoli**.
Il ruolo di sola lettura del cliente è una combinazione di più politiche. Segue una suddivisione del ruolo (JSON).
Politica di audit di Managed Services:
ReadOnly Politica IAM di Managed Services
Politica per gli utenti di Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Politica condivisa di Customer Secrets Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Politica di iscrizione al Customer Marketplace
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------
# Registrazione e monitoraggio degli eventi di sicurezza
AMS monitora continuamente l'ambiente gestito per rilevare eventuali minacce alla sicurezza. Gli eventi di sicurezza potrebbero essere rilevati da AMS o da te. AMS aggiorna regolarmente il proprio processo di automazione, basato sulla Computer Security Incident Handling Guide del National Institute of Standards and Technology (NIST), per rilevare meglio le minacce alla sicurezza.
# Sicurezza degli endpoint (EPS)
Le risorse fornite nell'ambiente AMS Advanced includono automaticamente l'installazione di un client di monitoraggio della sicurezza degli endpoint (EPS). Questo processo garantisce che le risorse gestite da AMS Advanced siano monitorate e supportate 24 ore su 24, 7 giorni su 7. Inoltre, AMS Advanced monitora tutte le attività degli agenti e, se viene rilevato un evento di sicurezza, si crea un incidente.
**Nota**
[Gli incidenti di sicurezza vengono gestiti come incidenti; per ulteriori informazioni, consulta Risposta agli incidenti.](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html)
La sicurezza degli endpoint fornisce una protezione antimalware, in particolare sono supportate le seguenti azioni:
+ EC2 le istanze vengono registrate con EPS
+ EC2 le istanze vengono annullate dalla registrazione di EPS
+ EC2 istanze di protezione antimalware in tempo reale
+ battito cardiaco avviato dall'agente EPS
+ EPS ripristina il file in quarantena
+ Notifica degli eventi EPS
+ Reportistica EPS
AMS Advanced utilizza Trend Micro per la sicurezza degli endpoint (EPS). Queste sono le impostazioni EPS predefinite. Per ulteriori informazioni su Trend Micro, consulta il [Trend Micro Deep Security Help Center](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true); tieni presente che i link non Amazon possono cambiare senza preavviso.
Le impostazioni predefinite di AMS Advanced Multi-Account Landing Zone (MALZ) sono descritte nelle seguenti sezioni; per le impostazioni EPS non predefinite di AMS Multi-Account Landing Zone EPS, [vedere Impostazioni non predefinite di AMS Advanced Multi-Account Landing](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings) Zone EPS.
**Nota**
[Puoi portare il tuo EPS, vedi AMS porta il tuo EPS.](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html)
## Impostazioni generali EPS
Impostazioni generali di rete per la sicurezza degli endpoint.
**Impostazioni predefinite EPS**
| Impostazione | Default |
| --- | --- |
| Porte firewall (gruppo di sicurezza delle istanze) | Gli agenti EPS Deep Security Manager (DSMs) devono avere la porta 4120 aperta Agent/Relay per la comunicazione con Manager e la porta 4119 per la console di gestione. I relè EPS devono avere la porta 4122 aperta per la Manager/Agent comunicazione verso Relay. Nessuna porta specifica deve essere aperta per le comunicazioni in entrata dell'istanza del cliente, poiché gli agenti avviano tutte le richieste. |
| Direzione della comunicazione | Agente/dispositivo avviato |
| Intervallo del battito cardiaco | Dieci minuti |
| Numero di battiti cardiaci mancati prima di un avviso | Due |
| Deriva massima consentita (differenza) tra gli orari del server | Illimitato |
| Genera errori offline per le macchine virtuali inattive (registrate, ma non online) | No |
| Politica predefinita | Politica di base (descritta di seguito) |
| Attivazione di più computer con lo stesso nome host | È consentita |
| Vengono generati avvisi per gli aggiornamenti in sospeso | Dopo sette giorni |
| Pianificazione dell'aggiornamento | AMS prevede un ciclo di rilascio mensile per gli aggiornamenti software Trend Micro Deep Security Manager (DSM) /Deep Security Agent (DSA). Tuttavia, AMS non mantiene uno SLA per gli aggiornamenti. Gli aggiornamenti vengono eseguiti a livello di flotta dai team di sviluppatori AMS durante l'implementazione. Gli aggiornamenti DSA/DSA vengono registrati negli eventi del sistema Trend Micro DSM che AMS conserva localmente per impostazione predefinita per 13 settimane. Per la documentazione del fornitore, consulta [Eventi di sistema](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html) nel Trend Micro Deep Security Help Center. I log vengono inoltre esportati nel gruppo di log aws/ams/eps/var/log/DSM /.log in Amazon. CloudWatch |
| Fonte dell'aggiornamento | Server di aggiornamento Trend Micro (https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| Eliminazione dei dati relativi a eventi o registri | Gli eventi e i registri vengono eliminati dal database DSM dopo sette giorni. |
| Le versioni del software Agent sono conservate | Fino a cinque |
| Vengono mantenuti gli aggiornamenti più recenti delle regole | Fino a dieci |
| Archiviazione dei registri | Per impostazione predefinita, i file di log vengono archiviati in modo sicuro in Amazon S3, ma puoi anche archiviarli su Amazon Glacier per soddisfare i requisiti di audit e conformità. |
## Politica di base
Impostazioni predefinite della policy di base per la sicurezza degli endpoint.
**Politica di base EPS**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/eps-defaults.html)
## Anti-malware
Impostazioni antimalware per la sicurezza degli endpoint.
**Impostazioni predefinite anti-malware EPS**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/eps-defaults.html)
# Processo di mitigazione del malware
AMS utilizza la Deep Security Platform (sistema antimalware) di Trend Micro per rilevare e rispondere al malware sulle istanze gestite da AMS. Per impostazione predefinita, l'agente di rilevamento Trend Micro viene eseguito su tutte le EC2 istanze Amazon, incluse quelle nei servizi condivisi e nelle sottoreti private, per i sistemi operativi Windows e Linux. Il sistema antimalware è collegato al monitoraggio AMS in modo che venga generato un evento ogni volta che viene rilevato un malware. Se c'è un impatto sui clienti, l'evento viene inoltrato al processo di gestione degli incidenti (per i dettagli, vedere). [Risposta agli incidenti AMS](sec-incident-response.md) Mentre AMS valuta l'impatto, l'utente riceve una notifica e si tenta di mitigare l'impatto.
Le definizioni antimalware di Trend Micro vengono aggiornate automaticamente quando Trend Micro pubblica gli aggiornamenti.
Durante l'onboarding delle applicazioni, si indica l'azione che si desidera che AMS intraprenda quando viene rilevato un malware su un'istanza:
+ Assicurati che il file in quarantena sia nell'elenco dei file consentiti, rimuovilo dalla quarantena e rilascialo nuovamente nel file system.
+ Elimina il file in quarantena, rimuovendolo dall'istanza.
+ Sospendi l'istanza e sostituiscila. L'istanza sospesa è quindi disponibile per essere montata per la ricerca forense.
Dopo l'onboarding dell'applicazione:
+ Quando il sistema antimalware rileva un malware su un'istanza, AMS lo mette automaticamente in quarantena. Ciò innesca un evento e un'indagine di follow-up.
+ AMS notifica l'evento tramite una notifica di servizio e inizia a seguire l'azione di mitigazione predefinita selezionata.
+ Se non hai scelto un'azione predefinita, AMS ti chiede quale azione intraprendere. Dopo aver ricevuto le istruzioni, AMS esegue l'azione selezionata e ti avvisa. AMS ti avvisa nuovamente una volta completata l'azione, inclusi i dettagli necessari per l'analisi forense, se applicabile.
# Abilita IDS e IPS in Trend Micro Deep Security
Puoi richiedere che AMS abiliti Trend Micro Intrusion Detection System (IDS) e Intrusion Protection Systems (IPS), funzionalità non predefinite, per il tuo account.
A tale scopo, invia una richiesta di aggiornamento (Gestione \$1 Altro \$1 Altro \$1 Aggiornamento) e includi un elenco di indirizzi e-mail per ricevere le notifiche IDS e IPS. Questi indirizzi vengono aggiunti a un argomento SNS del tuo account, che AMS crea per te.
**Nota**
AMS non può aggiungere alcun servizio Trend Micro che possa interferire con la nostra capacità di fornire altri servizi AMS.
# Scansioni antimalware complete del sistema
Il Payment Card Industry Data Security Standard (PCI DSS) richiede scansioni antimalware complete del sistema, abilitate per impostazione predefinita sul VPC gestito da AMS. Le scansioni complete del sistema sono impostate per essere eseguite alle 2 del mattino (nel fuso orario impostato sul server) perché utilizzano molta CPU. Le scansioni complete del sistema si aggiungono alle normali scansioni antimalware che non utilizzano molta CPU.
È disponibile un nuovo tipo di modifica della gestione (CT), **Disable Malware Sans, che consente di disabilitare le scansioni** antimalware complete del sistema. Puoi trovare il CT in Gestione \$1 Sicurezza dell'host \$1 Scansione completa del sistema \$1 Disabilita la classificazione, modifica l'ID ct-1pybwg08h8qsz. Per riattivare le scansioni, usa Gestione \$1 Altro \$1 Altro \$1 Aggiorna CT. La disabilitazione delle scansioni complete del sistema non disattiva le normali scansioni antimalware.
## Sicurezza di Amazon Inspector
Il servizio Amazon Inspector monitora la sicurezza degli stack gestiti da AMS. Amazon Inspector è un servizio di valutazione della sicurezza automatizzato che aiuta a identificare le lacune nella sicurezza e nella conformità dell'infrastruttura distribuita. AWS Le valutazioni di sicurezza di Amazon Inspector ti consentono di valutare automaticamente gli stack in base all'esposizione, alle vulnerabilità e alle deviazioni dalle best practice verificando l'accessibilità e le vulnerabilità di rete non intenzionali nelle tue istanze Amazon. EC2 Dopo aver eseguito una valutazione, Amazon Inspector produce un elenco dettagliato di risultati di sicurezza con priorità in base al livello di gravità. Le valutazioni di Amazon Inspector sono offerte come pacchetti di regole predefiniti mappati su best practice e definizioni di sicurezza comuni. Queste regole vengono aggiornate regolarmente dai ricercatori di sicurezza. AWS Per ulteriori informazioni su Amazon Inspector, consulta Amazon [Inspector](https://aws.amazon.com/inspector).
**AMS Amazon Inspector FAQs**
+ Amazon Inspector è installato per impostazione predefinita sui miei account AMS?
No. Amazon Inspector non fa parte della build o dell'inserimento di carichi di lavoro predefiniti dell'AMI.
+ Come posso accedere e installare Amazon Inspector?
Invia una richiesta RFC (Management \$1 Other \$1 Other \$1 Create) per richiedere l'accesso all'account e l'installazione a Inspector e il team operativo AMS modificherà il ReadOnly Customer\$1 \$1Role per fornire l'accesso alla console Amazon Inspector (senza accesso SSM).
+ L'agente Amazon Inspector deve essere installato su tutte le EC2 istanze Amazon che voglio valutare?
No, le valutazioni di Amazon Inspector con il pacchetto di regole di raggiungibilità della rete possono essere eseguite senza un agente per nessuna istanza Amazon. EC2 L'agente è necessario per i pacchetti di regole di valutazione dell'host. Per ulteriori informazioni sull'installazione degli agenti, consulta [Installazione degli agenti Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_installing-uninstalling-agents.html).
+ È previsto un costo aggiuntivo per questo servizio?
Sì. I prezzi di Amazon Inspector sono disponibili sul sito dei prezzi di [Amazon Inspector](https://aws.amazon.com/inspector/pricing/).
+ Quali sono i risultati di Amazon Inspector?
I risultati sono potenziali problemi di sicurezza scoperti durante la valutazione di Amazon Inspector dell'obiettivo di valutazione selezionato. I risultati vengono visualizzati nella console Amazon Inspector o nell'API e contengono sia una descrizione dettagliata dei problemi di sicurezza sia consigli per risolverli.
+ Sono disponibili i report della valutazione di Amazon Inspector?
Sì. Un report di valutazione è un documento contenente i dettagli degli elementi sottoposti a test durante l'esecuzione di valutazioni e i risultati della valutazione. I risultati della valutazione vengono formattati come report standard. Tali report possono essere generati per condividere i risultati all'interno del team con lo scopo di individuare le azioni correttive, corredare i dati relativi all'audit della conformità o archiviare dati per riferimenti futuri. Un report di valutazione di Amazon Inspector può essere generato per un'esecuzione di valutazione una volta completato con successo.
+ Posso usare i tag per identificare gli stack su cui voglio eseguire i report di Amazon Inspector?
Sì.
+ I team AMS Operations avranno accesso ai risultati della valutazione di Amazon Inspector?
Sì. Chiunque abbia accesso alla console Amazon Inspector in AWS è in grado di visualizzare risultati e report di valutazione.
+ I team operativi di AMS consiglieranno o agiranno in base ai risultati dei report di Amazon Inspector?
No. Se desideri apportare modifiche in base ai risultati del rapporto Amazon Inspector, devi richiedere le modifiche tramite un RFC (Management \$1 Other \$1 Other \$1 Update).
+ AMS riceverà una notifica quando eseguo un rapporto Amazon Inspector?
Quando richiedi l'accesso ad Amazon Inspector, l'operatore AMS che esegue la RFC notifica la richiesta al tuo CSDM.
Per ulteriori informazioni, consulta [Amazon Inspector FAQs](https://aws.amazon.com/inspector/faqs/).
# Risposta agli incidenti AMS
AMS utilizza le migliori pratiche tradizionali di gestione dei servizi IT (ITSM) per ripristinare il servizio, quando necessario, il più rapidamente possibile.
Forniamo follow-the-sun assistenza 24 ore su 24, 7 giorni su 7, 365 giorni all'anno attraverso diversi centri operativi in tutto il mondo con operatori dedicati che monitorano attivamente i dashboard e le code degli incidenti.
I nostri tecnici operativi utilizzano strumenti interni di tracciamento degli incidenti per identificare, registrare, classificare, assegnare priorità, diagnosticare, risolvere e chiudere gli incidenti e fornirti aggiornamenti su tutte queste attività tramite la console AMS o tramite l'API. Supporto I nostri operatori, molti dei quali hanno lavorato in AWS Premium Support ricoprendo diversi profili e ruoli tecnologici, sfruttano una varietà di Supporto strumenti interni per aiutarli in tutte queste attività. Questi operatori hanno una profonda familiarità con le infrastrutture supportate da AMS e dispongono di competenze tecniche di livello esperto per risolvere tutti i problemi di supporto identificati. Nei rari casi in cui i nostri operatori necessitino di assistenza, i team di Premium Support and AWS Service sono disponibili per fornire assistenza secondo necessità.
Nei casi in cui incidenti ad alta priorità abbiano un impatto sui carichi di lavoro critici, AMS consiglierà il ripristino dell'infrastruttura. Spesso c'è un compromesso tra la risoluzione di un problema o il ripristino da un backup funzionante e i rischi e gli impatti dei tempi di inattività del servizio per i clienti sono i fattori decisivi. Se hai tempo da dedicare alla risoluzione dei problemi, AMS ti assisterà, ma se l'urgenza del ripristino è elevata, possiamo avviare immediatamente un ripristino.
**Nota**
I dati effimeri che non fanno parte del modello di stack o del ripristino dei dati vengono persi. AMS compie ogni ragionevole sforzo per eseguire il ripristino dell'infrastruttura quando le offerte di AWS servizi non sono disponibili. Il ripristino dell'infrastruttura viene completato una volta che le offerte AWS di servizi sono disponibili.
Se non autorizzi il ripristino dell'infrastruttura come consigliato da AMS, non avrai diritto a un credito di servizio per l'impegno di AMS relativo ai tempi di risoluzione degli incidenti.
# Convalida della conformità
AMS implementa e gestisce una libreria di AWS Config regole e azioni correttive, per proteggere da configurazioni errate che potrebbero ridurre la sicurezza e l'integrità operativa degli account.
Ad esempio, quando viene creato un bucket Amazon S3, AWS Config può valutare il bucket Amazon S3 in base a una regola che richiede ai bucket Amazon S3 di negare l'accesso pubblico in lettura. Se la policy o la lista di controllo degli accessi ai bucket (ACL) di Amazon S3 consentono l'accesso pubblico in lettura, AWS Config contrassegna sia il bucket che la regola come non conformi. Questi Regole di AWS Config contrassegnano le risorse come conformi, non conformi o non applicabili, in base al risultato della loro valutazione. [Per ulteriori informazioni sul AWS Config servizio, consulta la Guida per gli sviluppatori.AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
Puoi utilizzare la AWS Config console, la AWS CLI o l' AWS Config API per visualizzare le regole distribuite nel tuo account e lo stato di conformità delle tue regole e risorse. Per ulteriori informazioni, consulta la AWS Config documentazione: [Visualizzazione della conformità della configurazione](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html).
**Nota**
Ulteriori informazioni su questo argomento sono disponibili accedendo ai report di AWS Artifact. Per ulteriori informazioni, consulta l'argomento [Download dei rapporti in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Per accedere ad AWS Artifact, puoi contattare il tuo CSDM per ricevere istruzioni o andare alla pagina Getting Started [with](https://aws.amazon.com/artifact/getting-started) AWS Artifact. Queste informazioni non sono incluse in questa guida per l'utente perché contengono contenuti di sicurezza sensibili.
# Multi-Account Landing Zone che visualizza lo stato di conformità del tuo Regole di AWS Config
La landing zone multi-account AMS utilizza il servizio di AWS Config aggregazione per creare una visione centralizzata della conformità per tutti i tuoi account. Ciò significa che puoi vedere lo stato di conformità di Regole di AWS Config tutto il tuo ambiente di landing zone multi-account AMS nell' AWS Config aggregatore del tuo account di sicurezza.
Di seguito è riportato un esempio dell' AWS Config aggregatore che mostra lo stato di conformità centralizzato di tutti gli account. Regole di AWS Config
![\[AWS Config dashboard showing compliant rules across regions and accounts.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/images/ams-malz-dd-agg-rules.png)
Per ulteriori informazioni, consulta la documentazione AWS per [Config](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) Aggregator.
+ In che modo AMS utilizza le regole di AWS Config?
AMS crea Regole di AWS Config per dare visibilità alla configurazione delle AWS risorse rispetto alle condizioni specificate nelle regole. Se una regola non è conforme, puoi richiedere una modifica e il team AMS Ops collaborerà con te per intraprendere azioni correttive.
+ In tal caso, vedrai apparire le seguenti modifiche nei tuoi account AMS:
+ Regole di AWS Config in AWS Config > Regole
+ Nel tuo account sono presenti regole di Config personalizzate con le relative funzioni Lambda
+ Config Aggregator nell'account Security e Config Authorization in tutti gli account (solo Multi-Account Landing Zone)
Di seguito è riportato un esempio Regole di AWS Config e i relativi risultati della valutazione della conformità sono riportati di seguito:
![\[Regole di AWS Config dashboard showing compliant status for multiple security-related rules.\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/images/ams-malz-dd-rules-2.png)
Per ulteriori informazioni su AWS Config, consulta:
+ AWS Config: [cos'è Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS Config Rules: [valutazione](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) delle risorse con regole
+ AWS Config Rules: [Controllo dinamico della conformità: AWS Config Rules — Controllo dinamico della conformità](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/) per le risorse cloud
+ AWS Config Aggregator: aggregazione di dati [multi-account](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html) e più regioni
# Restrizioni della politica di controllo del servizio AMS multi-account landing zone
Questa sezione è stata redatta perché contiene informazioni sensibili relative alla sicurezza di AMS. **Queste informazioni sono disponibili nella documentazione della console AMS.** Per accedere ad AWS Artifact, puoi contattare il tuo CSDM per ricevere istruzioni o andare alla pagina Getting Started [with](https://aws.amazon.com/artifact/getting-started) AWS Artifact.
# Resilienza
L'infrastruttura AWS globale è costruita attorno a zone Regioni AWS di disponibilità. Regioni AWS forniscono più zone di disponibilità fisicamente separate e isolate, collegate con reti a bassa latenza, ad alto throughput e altamente ridondanti. Con le zone di disponibilità, puoi progettare e gestire applicazioni e database che eseguono automaticamente il failover tra zone di disponibilità senza interruzioni. Le zone di disponibilità sono più disponibili, tolleranti ai guasti e scalabili rispetto alle infrastrutture a data center singolo o multiplo tradizionali.
[Per ulteriori informazioni su AWS regioni e zone di disponibilità, consulta infrastruttura globale.AWS](https://aws.amazon.com/about-aws/global-infrastructure)
# Sicurezza dell'infrastruttura
**Nota**
Ulteriori informazioni su questo argomento sono disponibili accedendo ai report di AWS Artifact. Per ulteriori informazioni, consulta l'argomento [Download dei rapporti in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Per accedere ad AWS Artifact, puoi contattare il tuo CSDM per ricevere istruzioni o andare alla pagina Getting Started [with](https://aws.amazon.com/artifact/getting-started) AWS Artifact. Queste informazioni non sono incluse in questa guida per l'utente perché contengono contenuti di sicurezza sensibili.
# Controllo di sicurezza per sistemi end-of-support operativi
I sistemi operativi che non rientrano nel periodo di supporto generale previsto da "end-of-support" o EOS del produttore del sistema operativo e che non ricevono aggiornamenti di sicurezza presentano un rischio maggiore per la sicurezza.
AWS offre alcuni servizi per facilitare la gestione del sistema operativo. end-of-support Per informazioni su Windows end-of-support, vedere [Programma di End-of-Support migrazione per Windows Server](https://aws.amazon.com/emp-windows-server/).
**Nota**
Ulteriori informazioni su questo argomento sono disponibili accedendo ai report di AWS Artifact. Per ulteriori informazioni, consulta l'argomento [Download dei rapporti in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Per accedere ad AWS Artifact, puoi contattare il tuo CSDM per ricevere istruzioni o andare alla pagina Getting Started [with](https://aws.amazon.com/artifact/getting-started) AWS Artifact. Queste informazioni non sono incluse in questa guida per l'utente perché contengono contenuti di sicurezza sensibili.
## Utilizzo dei gruppi di sicurezza
Un gruppo di sicurezza funge da firewall virtuale che controlla il traffico di una o più istanze. I gruppi di sicurezza AMS consentono di impostare le regole del traffico in entrata e in uscita a livello di istanza. Puoi creare un gruppo di sicurezza e specificare le risorse nel tuo account AMS, nelle istanze Amazon, nelle EC2 istanze DB di Amazon RDS, nei Load Balancers, nelle istanze di replica Deep Security Manager (DSM), negli obiettivi di montaggio EFS e nei ElastiCache cluster, da associare al gruppo di sicurezza. Una volta associato, il traffico da o verso tali istanze è vincolato dalle regole impostate nel gruppo di sicurezza.
Per comprendere meglio la sicurezza generale di AWS, consulta [Best Practices for Security, Identity, & Compliance](https://aws.amazon.com/architecture/security-identity-compliance/) e [Amazon EC2 Security Groups for Linux Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html).
AMS dispone ora di una serie di tipi di modifiche per la creazione e la gestione di gruppi di sicurezza:
+ Distribuzione \$1 Componenti dello stack avanzati \$1 Gruppo di sicurezza \$1 Crea (ct-1oxx2g2d7hc90)
+ Gestione \$1 Componenti avanzati dello stack \$1 Gruppo di sicurezza \$1 Elimina (ct-3cp96z7r065e4)
+ Gestione \$1 Componenti avanzati dello stack \$1 Gruppo di sicurezza \$1 Aggiornamento (ct-3memthlcmvc1b)
Per esempi[,](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-sec-group-create-delete-update.html) vedi Gruppi di sicurezza.
# Gruppi di sicurezza
In AWS VPCs, i gruppi di sicurezza AWS agiscono come firewall virtuali, controllando il traffico per uno o più stack (un'istanza o un insieme di istanze). Quando uno stack viene lanciato, viene associato a uno o più gruppi di sicurezza, che determinano a quale traffico è consentito raggiungerlo:
+ Per gli stack nelle sottoreti pubbliche, i gruppi di sicurezza predefiniti accettano il traffico proveniente da HTTP (80) e HTTPS (443) da tutte le posizioni (Internet). Gli stack accettano anche traffico SSH e RDP interno dalla rete aziendale e dai bastioni AWS. Questi stack possono quindi uscire attraverso qualsiasi porta verso Internet. Possono inoltre accedere alle sottoreti private e ad altri stack della sottorete pubblica.
+ Gli stack delle sottoreti private possono passare a qualsiasi altro stack della sottorete privata e le istanze all'interno di uno stack possono comunicare completamente tra loro tramite qualsiasi protocollo.
**Importante**
Il gruppo di sicurezza predefinito per gli stack nelle sottoreti private consente a tutti gli stack della sottorete privata di comunicare con altri stack in quella sottorete privata. Se si desidera limitare le comunicazioni tra gli stack all'interno di una sottorete privata, è necessario creare nuovi gruppi di sicurezza che descrivano la restrizione. Ad esempio, se desiderate limitare le comunicazioni a un server di database in modo che gli stack di quella sottorete privata possano comunicare solo da un server di applicazioni specifico tramite una porta specifica, richiedete un gruppo di sicurezza speciale. In questa sezione viene descritto come eseguire questa operazione.
## Gruppi di sicurezza predefiniti
------
#### [ MALZ ]
La tabella seguente descrive le impostazioni predefinite del gruppo di sicurezza in entrata (SG) per gli stack. L'SG si chiama "SentinelDefaultSecurityGroupPrivateOnly-VPC-ID», dove è *ID* un ID VPC nel tuo account di landing zone multi-account AMS. Tutto il traffico in uscita è consentito verso "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" tramite questo gruppo di sicurezza (è consentito tutto il traffico locale all'interno delle sottoreti dello stack).
Tutto il traffico in uscita è consentito a 0.0.0.0/0 da un secondo gruppo di sicurezza "». SentinelDefaultSecurityGroupPrivateOnly
**Suggerimento**
Se scegli un gruppo di sicurezza per un tipo di modifica AMS, come EC2 creare o OpenSearch creare un dominio, utilizzerai uno dei gruppi di sicurezza predefiniti descritti qui o un gruppo di sicurezza creato da te. Puoi trovare l'elenco dei gruppi di sicurezza, per VPC, nella EC2 console AWS o nella console VPC.
Esistono gruppi di sicurezza predefiniti aggiuntivi che vengono utilizzati per scopi AMS interni.
**Gruppi di sicurezza AMS predefiniti (traffico in entrata)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/about-security-groups.html)
------
#### [ SALZ ]
La tabella seguente descrive le impostazioni predefinite del gruppo di sicurezza in entrata (SG) per gli stack. L'SG è denominato "mc-initial-garden- SentinelDefaultSecurityGroupPrivateOnly -*ID*" dove *ID* è un identificatore univoco. Tutto il traffico in uscita è consentito verso "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" tramite questo gruppo di sicurezza (è consentito tutto il traffico locale all'interno delle sottoreti dello stack).
Tutto il traffico in uscita è consentito a 0.0.0.0/0 da un secondo gruppo di sicurezza "- -». mc-initial-garden SentinelDefaultSecurityGroupPrivateOnlyEgressAll *ID*
**Suggerimento**
Se scegli un gruppo di sicurezza per un tipo di modifica AMS, come EC2 creare o OpenSearch creare un dominio, utilizzerai uno dei gruppi di sicurezza predefiniti descritti qui o un gruppo di sicurezza creato da te. Puoi trovare l'elenco dei gruppi di sicurezza, per VPC, nella EC2 console AWS o nella console VPC.
Esistono gruppi di sicurezza predefiniti aggiuntivi che vengono utilizzati per scopi AMS interni.
**Gruppi di sicurezza AMS predefiniti (traffico in entrata)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/it_it/managedservices/latest/userguide/about-security-groups.html)
------
## Creare, modificare o eliminare gruppi di sicurezza
È possibile richiedere gruppi di sicurezza personalizzati. Nei casi in cui i gruppi di sicurezza predefiniti non soddisfano le esigenze delle applicazioni o dell'organizzazione, è possibile modificare o creare nuovi gruppi di sicurezza. Tale richiesta sarebbe considerata obbligatoria per l'approvazione e verrebbe esaminata dal team operativo AMS.
Per creare un gruppo di sicurezza al di fuori degli stack VPCs, invia una RFC utilizzando il tipo di `Deployment | Advanced stack components | Security group | Create (review required)` modifica (ct-1oxx2g2d7hc90).
Per le modifiche ai gruppi di sicurezza Active Directory (AD), utilizza i seguenti tipi di modifica:
+ Per aggiungere un utente: invia una RFC utilizzando Management \$1 Directory Service \$1 Utenti e gruppi \$1 Aggiungi utente al gruppo [ct-24pi85mjtza8k]
+ Per rimuovere un utente: invia una RFC utilizzando Management \$1 Directory Service \$1 Utenti e gruppi \$1 Rimuovi utente dal gruppo [ct-2019s9y3nfml4]
**Nota**
Quando si utilizza «review required» CTs, AMS consiglia di utilizzare l'opzione ASAP **Scheduling** (scegliere **ASAP** nella console, lasciare vuote le date di inizio e fine nell'API/CLI) in quanto CTs richiedono che un operatore AMS esamini la RFC ed eventualmente comunichi con l'utente prima che possa essere approvata ed eseguita. Se li pianifichi RFCs, assicurati di attendere almeno 24 ore. Se l'approvazione non avviene prima dell'orario di inizio programmato, la RFC viene rifiutata automaticamente.
## Trova gruppi di sicurezza
Per trovare i gruppi di sicurezza collegati a uno stack o a un'istanza, usa la EC2 console. Dopo aver trovato lo stack o l'istanza, puoi vedere tutti i gruppi di sicurezza ad esso collegati.
Per informazioni su come trovare i gruppi di sicurezza nella riga di comando e filtrare l'output, consulta [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html).
# Libreria di controlli preventivi e investigativi AMS
AWS Managed Services (AMS) ti offre una serie di policy di controllo library/catalog dei servizi comprovate (SCPs) ConfigRules che possono essere sfruttate per migliorare il tuo livello di sicurezza e mitigare le lacune di conformità nei tuoi account AMS.
**Topics**
+ [
# Regole curate SCPs e di Config
](scp-library-compliance.md)
+ [
# Notifica personalizzata per le regole di Config
](scp-lib-custom-notice.md)
# Regole curate SCPs e di Config
Regole curate SCPs e di Config per AMS Advanced.
+ **Politiche di controllo del servizio (SCPs)**: quelle fornite SCPs si aggiungono a quelle AMS predefinite.
È possibile utilizzare questi controlli della libreria insieme a quelli predefiniti per soddisfare requisiti di sicurezza specifici.
+ **Regole di configurazione**: come misura di base, AMS consiglia di applicare i Conformance Pack (vedi [Conformance Pack](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) nella AWS Config guida) oltre alle regole di configurazione AMS predefinite (vedi Artefatti AMS per le regole predefinite). I Conformance Pack coprono la maggior parte dei requisiti di conformità e AWS li aggiorna regolarmente.
Le regole elencate qui possono essere utilizzate per colmare lacune specifiche dei casi d'uso che non sono coperte dai Conformance Pack
**Nota**
Man mano che le regole e i pacchetti di conformità predefiniti di AMS vengono aggiornati nel tempo, potresti vedere dei duplicati di queste regole.
In generale, AMS consiglia di eseguire una pulizia periodica delle regole di Config duplicate.
Per AMS Advanced, Config Rules non deve utilizzare riparazioni automatiche (vedi Remediating [Noncompliant AWS Resources by AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html) Rules) per evitare modifiche. out-of-band
## SCP-AMS-001: Limita la creazione di EBS
Impedisci la creazione di volumi EBS se la crittografia non è abilitata.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002: Limita il lancio EC2
Impedisci l'avvio di un' EC2 istanza se il volume EBS non è crittografato. Ciò include la negazione di un EC2 avvio da dati non crittografati, AMIs poiché questo SCP si applica anche ai volumi root.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001: Limita gli invii RFC
Impedisci ai ruoli AMS predefiniti di inviare dati automatici specifici RFCs come **Create VPC** o **Delete** VPC. Ciò è utile se desideri applicare autorizzazioni più granulari ai ruoli federati.
Ad esempio, potresti volere che l'impostazione predefinita `AWSManagedServicesChangeManagement Role` sia in grado di inviare la maggior parte delle informazioni disponibili RFCs tranne quelle che consentono la creazione e l'eliminazione di un VPC, la creazione di sottoreti aggiuntive, l'offboarding di un account dell'applicazione, l'aggiornamento o l'eliminazione dei provider di identità SAML:
## SCP-AMS-003: Limita o crea RDS in AMS EC2
Impedisci la creazione di istanze Amazon EC2 e RDS prive di tag specifici, permettendo al `AMS Backup IAM` ruolo predefinito di AMS di farlo. Ciò è necessario per il disaster recovery o il DR.
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004: Limita i caricamenti su S3
Impedisci il caricamento di oggetti S3 non crittografati.
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005: Limita l'accesso all'API e alla console
Impedisci l'accesso alla console AWS e all'API per le richieste provenienti da indirizzi IP noti non validi come cliente determinato InfoSec.
## SCP-AMS-006: Impedisci all'entità IAM di rimuovere l'account membro dall'organizzazione
Impedire a un' AWS Identity and Access Management entità di rimuovere gli account dei membri dall'organizzazione.
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007: Impedisci la condivisione di risorse con account esterni alla tua organizzazione
Impedite la condivisione di risorse con account esterni all' AWS organizzazione
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008: Impedisci la condivisione con organizzazioni o unità organizzative () OUs
Impedisci la condivisione di risorse con un' and/or unità organizzativa dell'account appartenente a un'organizzazione.
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009: Impedisci agli utenti di accettare inviti alla condivisione di risorse
Impedisci agli account dei membri di accettare inviti AWS RAM a partecipare alla condivisione di risorse. Questa API non supporta alcuna condizione e impedisce le condivisioni solo da account esterni.
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010: Impedisci che la regione dell'account abiliti e disabiliti le azioni
Impedisci l'attivazione o la disabilitazione di nuove AWS regioni per i tuoi AWS account.
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011: Impedisci le azioni di modifica della fatturazione
Impedisci modifiche alla configurazione di fatturazione e pagamento.
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012: Impedisci la cancellazione o la modifica di specifiche CloudTrails
Impedisci modifiche a AWS CloudTrail percorsi specifici.
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013: Impedisci di disabilitare la crittografia EBS predefinita
Impedisci la disabilitazione della crittografia Amazon EBS predefinita.
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014: Impedisci la creazione di VPC e sottorete predefiniti
Impedisci la creazione di un Amazon VPC e di sottoreti predefiniti.
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015: Impedisci la disabilitazione e la modifica GuardDuty
Impedisci che Amazon GuardDuty venga modificato o disabilitato.
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016: Impedisci l'attività degli utenti root
Impedisci all'utente root di eseguire qualsiasi azione.
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017: Impedisci di creare chiavi di accesso per l'utente root
Impedisci la creazione di chiavi di accesso per l'utente root.
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018: Impedisci di disabilitare il blocco di accesso pubblico all'account S3
Impedisci la disabilitazione del blocco di accesso pubblico a un account Amazon S3. In questo modo si evita che qualsiasi bucket dell'account diventi pubblico.
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019: Impedisci di disabilitare AWS Config o modificare le regole di Config
Impedisci la disabilitazione o la modifica delle regole. AWS Config
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020: Impedisci tutte le azioni IAM
Impedisci tutte le azioni IAM.
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021: Impedisci l'eliminazione di log, gruppi e flussi CloudWatch
Impedisci l'eliminazione di gruppi e stream Amazon CloudWatch Logs.
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022: Impedisci la cancellazione di Glacier
Impedisci l'eliminazione di Amazon Glacier.
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023: Impedisci l'eliminazione di IAM Access Analyzer
Impedisci l'eliminazione di IAM Access Analyzer.
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024: Impedisci modifiche al Security Hub
Impedire l'eliminazione di. AWS Security Hub CSPM
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025: Impedisci la cancellazione sotto Directory Service
Impedisci l'eliminazione delle risorse sotto Directory Service.
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026: Impedisci l'uso del servizio negato
Impedire l'uso dei servizi negati.
**Nota**
Sostituisci *service1* e *service2* con i nomi dei tuoi servizi. Esempio *access-analyzer* o*IAM*.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"]
}
```
## SCP-AMS-027: Impedisci l'uso di servizi negati in regioni specifiche
Impedire l'uso di servizi negati in aree geografiche specifiche. AWS
**Nota**
Sostituisci *service1* e *service2* con i nomi dei tuoi servizi. Esempio *access-analyzer* o*IAM*.
Sostituisci *region1* e *region2* con i nomi dei tuoi servizi. Esempio *us-west-2* o*use-east-1*.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"region1",
"region2"
]
}
}
}
```
## SCP-AMS-028: Impedisci che i tag vengano modificati se non da mandanti autorizzati
Impedisci la modifica dei tag da parte di qualsiasi utente ad eccezione dei principali autorizzati. Usa i tag di autorizzazione per autorizzare i principali. I tag di autorizzazione devono essere associati alle risorse e ai presidi. A user/role è considerato autorizzato solo se il tag sulla risorsa e sul principale corrispondono. Per ulteriori informazioni, consulta le seguenti risorse:
+ [Protezione dei tag delle risorse utilizzati per l'autorizzazione utilizzando una politica di controllo del servizio in AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [Impedisci che i tag vengano modificati se non da responsabili autorizzati](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029: Impedisci agli utenti di eliminare i log di flusso di Amazon VPC
Impedisci l'eliminazione di Amazon VPC Flow Logs.
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030: Impedisci la condivisione della sottorete VPC con account diversi dall'account di rete
Impedisci la condivisione di sottoreti Amazon VPC con account diversi dall'account di rete.
**Nota**
Sostituiscilo *NETWORK\$1ACCOUNT\$1ID* con l'ID del tuo account di rete.
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "NETWORK_ACCOUNT_ID"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031: Impedisci il lancio di istanze con tipi di istanze proibiti
Impedisci il lancio di tipi di EC2 istanze Amazon proibiti.
**Nota**
Sostituisci *instance\$1type1* e *instance\$1type2* con i tipi di istanza che desideri limitare, ad esempio *t2.micro* o una stringa jolly come. *\$1.nano*
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"instance_type1",
"instance_type2"
]
}
}
}
```
## SCP-AMS-032: Impedisci il lancio di istanze senza IMDSv2
Previeni EC2 le istanze Amazon senza IMDSv2.
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033: Impedisci modifiche a un ruolo IAM specifico
Impedisci le modifiche a ruoli IAM specifici.
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034: Impedisci la modifica di ruoli IAM specifici AssumeRolePolicy
Impedisci le modifiche ai ruoli IAM AssumeRolePolicy per specifici.
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## ConfigRule: tag obbligatori
Verifica se EC2 le istanze hanno i tag personalizzati che hai richiesto. Inoltre InfoSec, questo è utile anche per la gestione dei costi
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: Chiave di accesso ruotata
Verifica che le chiavi di accesso vengano ruotate entro il periodo di tempo specificato. In genere, tale periodo è impostato su 90 giorni in base ai requisiti di conformità tipici.
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: chiave di accesso root IAM in AMS
Verifica che non sia presente una chiave di accesso root su un account. Per gli account AMS Advanced, si prevede che ciò sia conforme out-of-the-box.
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: SSM gestito EC2
Verifica che la tua gestione EC2s sia affidata a SSM Systems Manager.
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: utente IAM non utilizzato in AMS
Verifica le credenziali utente IAM che non sono state utilizzate per una durata specificata. Analogamente al controllo della rotazione delle chiavi, il valore predefinito è di 90 giorni in base ai requisiti di conformità tipici.
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: registrazione del bucket S3
Verifica che la registrazione sia stata abilitata per i bucket S3 nell'account.
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: controllo delle versioni del bucket S3
Verifica che il controllo delle versioni e l'eliminazione dell'MFA (opzionale) siano abilitati su tutti i bucket S3
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: accesso pubblico a S3
Verifica che le impostazioni di accesso pubblico (Public ACL, Public Policy, Public Buckets) siano limitate in tutto l'account
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: risultati non archiviati GuardDuty
Verifica la presenza di eventuali GuardDuty risultati non archiviati più vecchi della durata specificata. La durata predefinita è di 30 giorni per i risultati a bassa risoluzione, 7 giorni per i risultati a media e 1 giorno per i risultati ad alto livello.
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: eliminazione CMK
Verifica la presenza di eventuali chiavi master AWS Key Management Service personalizzate (CMKs) di cui è prevista l'eliminazione (ovvero in sospeso). Questo è fondamentale in quanto l'inconsapevolezza sull'eliminazione da CMK può portare all'irrecuperabilità dei dati
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: Rotazione CMK
Verifica che la rotazione automatica sia abilitata per ogni CMK dell'account
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```
# Notifica personalizzata per le regole di Config
Possono verificarsi casi di regole di Config critiche non conformi che richiedono una maggiore consapevolezza direttamente con il tuo team dirigenziale. InfoSec Per tali scenari, AMS consiglia di configurare una notifica personalizzata basata sugli eventi di non conformità.
Ad esempio:
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the mandated tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
NotificationEventRule:
Type: 'AWS::Events::Rule'
Properties:
Name: CWEventForrequired-tags
Description: >-
SNS Notification for Non-Compliant Events of Config Rule:
required-tags
State: ENABLED
EventPattern:
detail-type:
- Config Rules Compliance Change
source:
- aws.config
detail:
newEvaluationResult:
complianceType:
- NON_COMPLIANT
configRuleARN:
- 'Fn::GetAtt':
- RequiredEC2Tags
- Arn
Targets:
- Id: RemediationNotification
Arn:
Ref: SnsTopic
InputTransformer:
InputTemplate: >-
"EC2 Instance is non-compliant. Please add required tags: COST_CENTER, APP_ID, Name, and Backup."
InputPathsMap:
instance_id: $.detail.resourceId
SnsTopic:
Type: 'AWS::SNS::Topic'
Properties:
Subscription:
- Endpoint: Cloud_Ops_Leaders@customer.com
Protocol: email
TopicName: noncompliant-instance-notification
SnsTopicPolicy:
Type: 'AWS::SNS::TopicPolicy'
Properties:
PolicyDocument:
Statement:
- Sid: __default_statement_ID
Effect: Allow
Principal:
AWS: '*'
Action:
- 'SNS:GetTopicAttributes'
- 'SNS:SetTopicAttributes'
- 'SNS:AddPermission'
- 'SNS:RemovePermission'
- 'SNS:DeleteTopic'
- 'SNS:Subscribe'
- 'SNS:ListSubscriptionsByTopic'
- 'SNS:Publish'
- 'SNS:Receive'
Resource:
Ref: SnsTopic
Condition:
StringEquals:
'AWS:SourceOwner':
Ref: 'AWS::AccountId'
- Sid: TrustCWEToPublishEventsToMyTopic
Effect: Allow
Principal:
Service: events.amazonaws.com
Action: 'sns:Publish'
Resource:
Ref: SnsTopic
Topics:
- Ref: SnsTopic
```
# Amazon EventBridge regola il ruolo collegato ai servizi per AMS Advanced
AMS Advanced utilizza il ruolo collegato ai servizi (SLR) denominato **AWSServiceRoleForManagedServices\$1Events**: questo ruolo si affida a uno dei responsabili del servizio AWS Managed Services (events.managedservices.amazonaws.com) affinché assuma il ruolo al posto tuo. Il servizio utilizza il ruolo per creare regole gestite. EventBridge Questa regola è l'infrastruttura richiesta nel tuo AWS account per fornire informazioni sulla modifica dello stato di allarme dal tuo account a AWS Managed Services.
## Autorizzazioni per EventBridge SLR for AMS Advanced
Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi **AWSServiceRoleForManagedServices\$1Events** considera attendibili i seguenti servizi:
+ events.managedservices.amazonaws.com
A questo ruolo è associata la policy **AWSManagedServices\$1EventsServiceRolePolicy** AWS gestita (vedi [AWS managed policy: AWSManagedServices\$1EventsServiceRolePolicy](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html#EventsServiceRolePolicy)). Il servizio utilizza il ruolo per fornire informazioni sulla modifica dello stato di allarme dall'account a AWS Managed Services. Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta [Service-Linked Role Permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) nella *AWS Identity and Access Management* User Guide.
[Puoi scaricare il codice JSON **AWSManagedServices\$1EventsServiceRolePolicy**in questo ZIP: .zip. EventsServiceRolePolicy](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/samples/EventsServiceRolePolicy.zip)
## Creazione di una EventBridge reflex per AMS Advanced
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando effettui l'onboarding su AMS nella console di AWS gestione AWS CLI, o nell' AWS API, AMS Advanced crea automaticamente il ruolo collegato al servizio.
**Importante**
Questo ruolo collegato al servizio può apparire nel tuo account se utilizzavi il servizio AMS Advanced prima del 7 febbraio 2023, quando ha iniziato a supportare i ruoli collegati ai servizi, quindi AMS Accelerate ha creato il ruolo nel tuo account. AWSServiceRoleForManagedServices\$1Events Per ulteriori informazioni, consulta [Un nuovo ruolo è apparso nel mio account IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando effettui l'accesso ad AMS, AMS Advanced crea nuovamente il ruolo collegato ai servizi per te.
## Modifica di una EventBridge reflex per AMS Advanced
AMS Advanced non consente di modificare il ruolo collegato al AWSServiceRoleForManagedServices\$1Events servizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta [Modifica di un ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) nella *Guida per l'utente di IAM*.
## Eliminazione di una EventBridge reflex per AMS Advanced
Non è necessario eliminare manualmente il ruolo AWSServiceRoleForManagedServices\$1Events . Quando esci da AMS tramite la console di AWS gestione AWS CLI o l' AWS API, AMS Advanced ripulisce le risorse ed elimina automaticamente il ruolo collegato ai servizi.
Puoi anche utilizzare la console IAM, AWS CLI o l' AWS API per eliminare manualmente il ruolo collegato al servizio. Per farlo, sarà necessario prima eseguire manualmente la pulizia delle risorse associate al ruolo collegato ai servizi e poi eliminarlo manualmente.
**Nota**
Se il servizio AMS Advanced utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.
**Per eliminare le risorse AMS Advanced **utilizzate dal ruolo AWSServiceRoleForManagedServices\$1Events collegato al servizio****
**Per eliminare manualmente il ruolo collegato ai servizi mediante IAM**
Utilizza la console IAM AWS CLI, l'o l' AWS API per eliminare il ruolo collegato al AWSServiceRoleForManagedServices\$1Events servizio.
Per ulteriori informazioni, consultare [Eliminazione del ruolo collegato ai servizi](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) nella *Guida per l'utente di IAM*.
# Best practice relative alla sicurezza
Questa sezione è stata redatta perché contiene informazioni sensibili relative alla sicurezza di AMS. **Queste informazioni sono disponibili nella documentazione della console AMS.** Per accedere ad AWS Artifact, puoi contattare il tuo CSDM per ricevere istruzioni o andare alla pagina Getting Started [with](https://aws.amazon.com/artifact/getting-started) AWS Artifact.
## Impostazioni non predefinite EPS della landing zone multi-account AMS
Questa sezione è stata redatta perché contiene informazioni sensibili relative alla sicurezza di AMS. **Queste informazioni sono disponibili nella documentazione della console AMS.** Per accedere ad AWS Artifact, puoi contattare il tuo CSDM per ricevere istruzioni o andare alla pagina Getting Started [with](https://aws.amazon.com/artifact/getting-started) AWS Artifact.
## Guardrail AMS
Un guardrail è una regola di alto livello che fornisce una governance continua per l'intero ambiente AMS.
Questa sezione è stata redatta perché contiene informazioni sensibili relative alla sicurezza di AMS. **Queste informazioni sono disponibili nella documentazione della console AMS.** Per accedere ad AWS Artifact, puoi contattare il tuo CSDM per ricevere istruzioni o andare alla pagina Getting Started [with](https://aws.amazon.com/artifact/getting-started) AWS Artifact.
## Politiche di controllo del servizio MALZ
Questa sezione è stata redatta perché contiene informazioni sensibili relative alla sicurezza di AMS. **Queste informazioni sono disponibili nella documentazione della console AMS.** Per accedere ad AWS Artifact, puoi contattare il tuo CSDM per ricevere istruzioni o andare alla pagina Getting Started [with](https://aws.amazon.com/artifact/getting-started) AWS Artifact.