Liste di controllo degli accessi (ACL) in AWS Security Incident Response

Supporta le ACL: no

Le liste di controllo degli accessi (ACL) controllano quali principali (membri, utenti o ruoli dell’account) hanno le autorizzazioni per accedere a una risorsa. Le ACL sono simili alle policy basate su risorse, sebbene non utilizzino il formato del documento di policy JSON.

Attribute-basedcontrollo degli accessi (ABAC) con AWS Security Incident Response

Supporta ABAC (tag nelle policy): sì

Attribute-based il controllo degli accessi (ABAC) è una strategia di autorizzazione che definisce le autorizzazioni in base agli attributi. In AWS, questi attributi sono chiamati tag. È possibile collegare dei tag alle entità IAM (utenti o ruoli) e a numerose risorse AWS . L’assegnazione di tag alle entità e alle risorse è il primo passaggio di ABAC. In seguito, vengono progettate policy ABAC per consentire operazioni quando il tag dell’entità principale corrisponde al tag sulla risorsa a cui si sta provando ad accedere. La strategia ABAC è utile in ambienti soggetti a una rapida crescita e aiuta in situazioni in cui la gestione delle policy diventa impegnativa.

Per controllare l’accesso basato su tag, fornire informazioni sui tag nell’elemento condizione di una policy utilizzando le chiavi di condizione AWS:ResourceTag/key-name, AWS:RequestTag/key-name o AWS:TagKeys. Se un servizio supporta tutte e tre le chiavi di condizione per ogni tipo di risorsa, il valore per il servizio è Sì. Se un servizio supporta tutte e tre le chiavi di condizione solo per alcuni tipi di risorsa, allora il valore sarà Parziale. Per ulteriori informazioni su ABAC, consulta Che cos'è ABAC? nella Guida per l'utente IAM. Per visualizzare un tutorial con i passaggi per configurare ABAC, consulta Utilizzare il controllo degli accessi basato sugli attributi (ABAC) nella Guida per l'utente.AWS Identity and Access Management

Credenziali temporanee con AWS Security Incident Response

Supporta le credenziali temporanee: sì

AWS i servizi non funzionano quando si accede utilizzando credenziali temporanee. Per ulteriori informazioni, inclusi AWS i servizi che funzionano con credenziali temporanee, consulta AWS i servizi che funzionano con IAM nella Guida per l'AWS Identity and Access Management utente. Stai utilizzando credenziali temporanee se accedi alla Console di AWS gestione utilizzando qualsiasi metodo tranne il nome utente e la password. Ad esempio, quando accedi AWS utilizzando il link Single Sign-On (SSO) della tua azienda, tale processo crea automaticamente credenziali temporanee. Le credenziali temporanee vengono create in automatico anche quando accedi alla console come utente e poi cambi ruolo. Per ulteriori informazioni sullo scambio dei ruoli, consulta Cambio di un ruolo (console) nella Guida per l'utente IAM.

È possibile creare manualmente credenziali temporanee utilizzando la AWS CLI o l'API AWS . È quindi possibile utilizzare tali credenziali temporanee per accedere. AWS AWS consiglia di generare dinamicamente credenziali temporanee anziché utilizzare chiavi di accesso a lungo termine. Per maggiori informazioni, consulta Credenziali di sicurezza provvisorie in IAM.

Sessioni di accesso diretto per AWS Security Incident Response

Supporta l’inoltro delle sessioni di accesso (FAS): sì

Quando utilizzi un utente o un ruolo IAM per eseguire azioni AWS, sei considerato un principale. Quando si utilizzano alcuni servizi, è possibile eseguire un’operazione che attiva un’altra operazione in un servizio diverso. FAS utilizza le autorizzazioni del principale che chiama un AWS servizio, in combinazione con il servizio richiedente per effettuare richieste ai AWS servizi a valle. Le richieste FAS vengono effettuate solo quando un servizio riceve una richiesta che richiede interazioni con altri AWS servizi o risorse per essere completata. In questo caso è necessario disporre delle autorizzazioni per eseguire entrambe le azioni. Per i dettagli delle policy relative alle richieste FAS, consulta Forward access sessions.