# SEC03-BP07 Analisi dell'accesso pubblico e multi-account
<a name="sec_permissions_analyze_cross_account"></a>

Monitora continuamente i risultati che evidenziano l'accesso pubblico e multi-account. Limita l'accesso pubblico e multi-account alle risorse che ne hanno bisogno. 

 **Anti-pattern comuni:** 
+  La mancanza di un processo per governare l'accesso multi-account e l'accesso pubblico alle risorse. 

 **Livello di rischio associato se questa best practice non fosse adottata:** basso 

## Guida all'implementazione
<a name="implementation-guidance"></a>

In AWS puoi concedere l'accesso a risorse in un altro account. Concedi l'accesso diretto multi-account utilizzando le policy collegate alle risorse, ad esempio [le policy di bucket Amazon Simple Storage Service (Amazon S3)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html), o consentendo a un'identità di assumere un ruolo IAM in un altro account. Quando si utilizzano le policy di risorse, verifica che l'accesso sia concesso alle identità dell'organizzazione e rendi pubbliche le risorse. Definisci un processo per approvare tutte le risorse che devono essere pubblicamente disponibili. 

 [IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) usa la [sicurezza comprovabile](https://aws.amazon.com/security/provable-security/) per identificare tutti i percorsi di accesso a una risorsa dall'esterno del proprio account. Esamina continuamente le policy delle risorse e segnala i risultati dell'accesso pubblico e tra account per semplificare l'analisi di accessi potenzialmente estensivi. Prendi in considerazione la configurazione di IAM Access Analyzer con AWS Organizations per verificare di avere visibilità su tutti i tuoi account. IAM Access Analyzer ti permette anche di [visualizzare in anteprima i risultati del sistema di analisi degli accessi](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html)prima di implementare le autorizzazioni delle risorse. Questo consente di convalidare che le modifiche alla policy concedono solo l'accesso multi-account e pubblico autorizzati alle risorse. Quando si progetta per l'accesso a più account, [le policy di attendibilità consentono di controllare in quali casi è possibile assumere un ruolo](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). Ad esempio, puoi limitare l'assunzione del ruolo a un particolare intervallo di IP di origine. 

 Puoi anche utilizzare [AWS Config per segnalare e correggere le risorse](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) per qualsiasi configurazione di accesso pubblico accidentale, tramite i controlli delle policy AWS Config. Servizi come [AWS Control Tower](https://aws.amazon.com/controltower) e [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) semplificano l'implementazione di controlli e guardrail in AWS Organizations per identificare e correggere le risorse pubblicamente esposte. Ad esempio, AWS Control Tower ha un guardrail gestito in grado di rilevare se [gli snapshot Amazon EBS sono ripristinabili da tutti gli account AWS](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).

## Risorse
<a name="resources"></a>

 **Documenti correlati:** 
+  [Utilizzo di AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+  [Guardrails in AWS Control Tower (Guardrail in AWS Control Tower)](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Foundational Security Best Practices standard (Standard delle best practice per la sicurezza di base di AWS)](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+  [AWS Config Managed Rules (Regole gestite di AWS Config)](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) 
+  [Riferimento dei controlli AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html) 

 **Video correlati:** 
+ [Best Practices for securing your multi-account environment (Best practice per la protezione dell'ambiente multi-account)](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer (Approfondimenti sul Sistema di analisi degli accessi IAM)](https://www.youtube.com/watch?v=i5apYXya2m0)