# SEC08-BP04 Applicazione del controllo degli accessi
<a name="sec_protect_data_rest_access_control"></a>

Applica il controllo degli accessi con privilegi minimi e meccanismi come backup, isolamento e controllo delle versioni, per favorire la protezione dei dati a riposo. Impedisci agli operatori di concedere l'accesso pubblico ai tuoi dati. 

 Controlli diversi inclusi l'accesso (tramite il privilegio minimo), i backup (vedi [il whitepaper sull'affidabilità](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), l'isolamento e il controllo delle versioni possono tutti aiutare a proteggere i dati a riposo. L'accesso ai dati deve essere controllato utilizzando i meccanismi di rilevamento trattati in precedenza in questo documento, tra cui CloudTrail e il registro del livello di servizio, ad esempio i registri di accesso Amazon Simple Storage Service (Amazon S3). Devi eseguire un inventario dei dati accessibili al pubblico e pianificare come ridurre la quantità di dati disponibili nel tempo. Amazon Glacier Vault Lock e Amazon S3 Object Lock sono funzionalità che forniscono un controllo degli accessi obbligatorio. Una volta bloccata una policy Vault con l'opzione di conformità, nemmeno l'utente root può modificarla fino alla scadenza del blocco. Il meccanismo soddisfa i requisiti di gestione di libri e record di SEC, CFTC e FINRA. Per ulteriori dettagli, consulta [questo whitepaper](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf). 

 **Livello di rischio associato se questa best practice non fosse adottata:** Basso 

## Guida all'implementazione
<a name="implementation-guidance"></a>
+  Applicazione del controllo degli accessi: applica il controllo degli accessi con privilegio minimo, incluso l'accesso alle chiavi di crittografia. 
  +  [Introduzione alla gestione delle autorizzazioni di accesso per le risorse Amazon S3](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  Separazione dei dati in base a diversi livelli di classificazione: usa diversi Account AWS per i livelli di classificazione dei dati gestiti da AWS Organizations. 
  +  [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 
+  Revisione delle policy AWS KMS: rivedi il livello di accesso consentito nelle policy di AWS KMS. 
  +  [Panoramica sulla gestione dell'accesso alle risorse di AWS KMS](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  Esame dei bucket Amazon S3 e delle autorizzazioni degli oggetti: rivedi con regolarità il livello di accesso concesso nelle policy dei bucket Amazon S3. Le best practice prevedono l'assenza di bucket pubblicamente leggibili o scrivibili. Valuta l'utilizzo di AWS Config per rilevare i bucket disponibili pubblicamente e di Amazon CloudFront per fornire contenuti provenienti da Amazon S3. 
  +  [Regole di AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
  +  [Amazon S3 \$1 Amazon CloudFront: un abbinamento nel cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  Abilitazione del controllo delle versioni e del blocco degli oggetti di Amazon S3. 
  +  [Utilizzo del controllo delle versioni](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
  +  [Blocco degli oggetti con Amazon S3 Object Lock](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  Utilizzo di Amazon S3 Inventory: Amazon S3 Inventory è uno degli strumenti utilizzabili per eseguire audit e segnalare lo stato di replica e crittografia degli oggetti. 
  +  [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  Esame delle autorizzazioni di condivisione Amazon EBS e AMI: le autorizzazioni di condivisione consentono la condivisione di immagini e volumi con Account AWS esterni al tuo carico di lavoro. 
  +  [Condivisione di uno snapshot Amazon EBS](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
  +  [AMI condivise](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 

## Risorse
<a name="resources"></a>

 **Documenti correlati:** 
+  [Whitepaper per i dettagli della crittografia di AWS KMS](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Video correlati:** 
+  [Securing Your Block Storage on AWS (Protezione dello storage a blocchi in AWS).](https://youtu.be/Y1hE1Nkcxs8)