View a markdown version of this page

Esempi di policy basate sull'identità per AWS Shield il responsabile della sicurezza di rete - AWS WAF, AWS Firewall Manager AWS Shield Advanced, e direttore AWS Shield della sicurezza di rete
Best practice per le policyAggiornamenti alle politiche basate sull'identitàPolitica di accesso amministrativo basata sull'identitàPolicy basata sull'identità di accesso in sola lettura

Ti presentiamo una nuova esperienza di console per AWS WAF

Ora puoi utilizzare l'esperienza aggiornata per accedere alle AWS WAF funzionalità da qualsiasi punto della console. Per ulteriori dettagli, consulta Lavorare con la console.

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Esempi di policy basate sull'identità per AWS Shield il responsabile della sicurezza di rete

Nota

Quando inizi a utilizzare AWS Shield Network Security Director, creiamo automaticamente un ruolo collegato ai servizi che soddisfa tutti i requisiti minimi di autorizzazione. La creazione e la gestione delle proprie politiche basate sull'identità sono facoltative.

Per fornire un accesso appropriato a Network Security Director, è possibile creare policy basate sull'identità che concedano le autorizzazioni necessarie per l'accesso amministrativo e di sola lettura.

Per ulteriori informazioni sulla creazione e la gestione delle policy IAM, consulta Managed policies and inline policies nella IAM User Guide.

Queste autorizzazioni consentono al responsabile AWS Shield della sicurezza di rete di eseguire un'analisi completa della sicurezza e fornire raccomandazioni accurate sulla sicurezza della rete. Le politiche di esempio fornite in questa guida sono progettate per casi d'uso comuni. È possibile utilizzare queste politiche come punto di partenza e modificarle secondo necessità per soddisfare requisiti specifici.

Esempi di politiche in questa guida

Best practice per le policy

Le politiche basate sull'identità determinano se qualcuno può creare, accedere o eliminare le risorse del responsabile della sicurezza di rete nel tuo account. Queste azioni possono comportare costi aggiuntivi per l’ Account AWS. Quando si creano o modificano policy basate sull’identità, seguire queste linee guida e raccomandazioni:

  • Inizia con le policy AWS gestite e passa alle autorizzazioni con privilegi minimi: per iniziare a concedere autorizzazioni a utenti e carichi di lavoro, utilizza le politiche gestite che concedono le autorizzazioni per molti casi d'uso comuni.AWS Sono disponibili nel tuo. Account AWS Ti consigliamo di ridurre ulteriormente le autorizzazioni definendo politiche gestite dai AWS clienti specifiche per i tuoi casi d'uso. Per maggiori informazioni, consulta Policy gestite da AWS o Policy gestite da AWS per le funzioni dei processi nella Guida per l’utente di IAM.

  • Applicazione delle autorizzazioni con privilegio minimo - Quando si impostano le autorizzazioni con le policy IAM, concedere solo le autorizzazioni richieste per eseguire un’attività. È possibile farlo definendo le azioni che possono essere intraprese su risorse specifiche in condizioni specifiche, note anche come autorizzazioni con privilegio minimo. Per maggiori informazioni sull’utilizzo di IAM per applicare le autorizzazioni, consulta Policy e autorizzazioni in IAM nella Guida per l’utente di IAM.

  • Condizioni d’uso nelle policy IAM per limitare ulteriormente l’accesso - Per limitare l’accesso ad azioni e risorse è possibile aggiungere una condizione alle policy. Ad esempio, è possibile scrivere una condizione di policy per specificare che tutte le richieste devono essere inviate utilizzando SSL. Puoi anche utilizzare le condizioni per concedere l'accesso alle azioni del servizio se vengono utilizzate tramite uno specifico Servizio AWS, ad esempio CloudFormation. Per maggiori informazioni, consultare la sezione Elementi delle policy JSON di IAM: condizione nella Guida per l’utente di IAM.

  • Utilizzo dello strumento di analisi degli accessi IAM per convalidare le policy IAM e garantire autorizzazioni sicure e funzionali - Lo strumento di analisi degli accessi IAM convalida le policy nuove ed esistenti in modo che aderiscano al linguaggio (JSON) della policy IAM e alle best practice di IAM. Lo strumento di analisi degli accessi IAM offre oltre 100 controlli delle policy e consigli utili per creare policy sicure e funzionali. Per maggiori informazioni, consultare Convalida delle policy per il Sistema di analisi degli accessi IAM nella Guida per l’utente di IAM.

  • Richiedi l'autenticazione a più fattori (MFA): se hai uno scenario che richiede utenti IAM o un utente root nel Account AWS tuo, attiva l'MFA per una maggiore sicurezza. Per richiedere la MFA quando vengono chiamate le operazioni API, aggiungere le condizioni MFA alle policy. Per maggiori informazioni, consultare Protezione dell’accesso API con MFA nella Guida per l’utente di IAM.

Per maggiori informazioni sulle best practice in IAM, consulta Best practice di sicurezza in IAM nella Guida per l’utente di IAM.

Aggiornamenti alle politiche basate sull'identità

Man mano che vengono aggiunti aggiornamenti e funzionalità a Network Security Director, potrebbe essere necessario aggiornare le politiche basate sull'identità per includere autorizzazioni aggiuntive. Consulta questa guida per informazioni sulle nuove autorizzazioni che potrebbero essere necessarie.

A differenza delle politiche AWS gestite, le politiche gestite dai clienti non vengono aggiornate automaticamente. Sei responsabile del mantenimento e dell'aggiornamento di queste politiche secondo necessità.

Per maggiori informazioni, consulta Aggiunta di autorizzazioni a un utente nella Guida per l’utente di IAM.

Politica di accesso amministrativo basata sull'identità

Crea una policy basata sull'identità con l'esempio seguente per fornire l'accesso amministrativo completo alle operazioni di Network Security Director e la possibilità di creare il ruolo collegato al servizio richiesto.

Nome della politica: NetworkSecurityDirectorAdminPolicy

Descrizione della politica: consente l'accesso amministrativo completo alle operazioni di AWS Shield Network Security Director e fornisce anche l'accesso per creare o eliminare il ruolo collegato al servizio per Network Security Director.

JSON

 {
   "Version":"2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-security-director:*"
       ],
       "Resource": "*"
     },
     {
       "Effect": "Allow",
       "Action": [
         "iam:CreateServiceLinkedRole"
       ],
       "Resource": "arn:aws:iam::*:role/aws-service-role/network-security-director.amazonaws.com/AWSServiceRoleForNetworkSecurityDirector"
     }
   ]
 }

Policy basata sull'identità di accesso in sola lettura

Crea una policy basata sull'identità con il seguente esempio di policy per fornire un accesso in sola lettura alle operazioni del Network Security Director.

Nome della policy: NetworkSecurityDirectorReadOnlyPolicy

Descrizione della politica: consente l'accesso in sola lettura al direttore AWS Shield della sicurezza di rete.

JSON

 {
   "Version":"2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-security-director:Get*",
         "network-security-director:List*"
       ],
       "Resource": "*"
     }
   ]
 }