As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Recomendações de controle de segurança para gerenciamento de identidades e acesso
Você pode criar identidades em AWS ou conectar uma fonte de identidade externa. Por meio de políticas AWS Identity and Access Management (IAM), você concede aos usuários as permissões necessárias para que eles possam acessar ou gerenciar AWS recursos e aplicativos integrados. O gerenciamento eficaz de identidades e acesso ajuda a validar se as pessoas e as máquinas certas têm acesso aos recursos certos, nas condições certas. O AWS Well-Architected Framework fornece as melhores práticas para gerenciar identidades e suas permissões. Exemplos de práticas recomendadas incluem contar com um provedor de identidades centralizado e usar mecanismos de login robustos, como a autenticação multifator (MFA). Os controles de segurança nesta seção podem ajudar você a implementar essas práticas recomendadas.
Controles nesta seção:
Monitorar e configurar notificações da atividade do usuário-raiz
Ao criar um pela primeira vez Conta da AWS, você começa com uma identidade de login único chamada usuário raiz. Por padrão, o usuário-raiz tem acesso completo a todos os recursos e Serviços da AWS na conta. Você deve controlar e monitorar rigorosamente o usuário-raiz e usá-lo somente para tarefas que exijam credenciais de usuário-raiz.
Para saber mais, consulte os seguintes recursos:
-
Conceda acesso com privilégios mínimos no Well-Architected Framework AWS
-
Monitore a atividade do usuário raiz do IAM na AWS orientação prescritiva
Não crie chaves de acesso para o usuário-raiz
O usuário raiz é o mais privilegiado em uma Conta da AWS. Desabilitar o acesso programático ao usuário-raiz ajuda a reduzir o risco de exposição acidental das credenciais do usuário e o subsequente comprometimento do ambiente de nuvem. Recomendamos que você crie e use perfis do IAM como credenciais temporárias para acessar seus recursos e Contas da AWS .
Para saber mais, consulte os seguintes recursos:
-
A chave de acesso do usuário raiz do IAM não deve existir na AWS Security Hub CSPM documentação
-
Excluir chaves de acesso para o usuário-raiz na documentação do IAM
-
Perfis do IAM na documentação do IAM
Habilitar a MFA para o usuário-raiz
Recomendamos que você habilite vários dispositivos de autenticação multifator (MFA) para Conta da AWS o usuário raiz e os usuários do IAM. Isso aumenta a barreira de segurança nas Contas da AWS e pode simplificar o gerenciamento de acesso. Como um usuário-raiz é um usuário altamente privilegiado que pode executar ações privilegiadas, é crucial exigir a MFA para ele. Você pode usar um dispositivo de hardware com MFA que gera um código numérico baseado no algoritmo de senha de uso único com marcação temporal (TOTP), uma chave de segurança de hardware FIDO ou uma aplicação de autenticação virtual.
Em 2024, o MFA será necessário para acessar o usuário raiz de qualquer um. Conta da AWS Para obter mais informações, consulte Secure by Design: AWS para aprimorar os requisitos de MFA em 2024 no AWS blog
Se possível, recomendamos usar um dispositivo de hardware MFA para o usuário-raiz. A MFA virtual pode não fornecer o mesmo nível de segurança oferecido por dispositivos MFA de hardware. Você pode usar a MFA virtual enquanto aguarda a aprovação ou entrega da compra do hardware.
Em situações em que você gerencia centenas de contas AWS Organizations, dependendo da tolerância ao risco da sua organização, talvez não seja escalável usar a MFA baseada em hardware para o usuário raiz de cada conta em uma unidade organizacional (OU). Nesse caso, você pode escolher uma conta na UO que atue como uma conta gerencial da UO e, em seguida, desabilitar o usuário-raiz para as outras contas nessa UO. Por padrão, a conta gerencial da UO não tem acesso às outras contas. Ao configurar o acesso entre contas com antecedência, você pode acessar as outras contas da conta gerencial da UO em caso de emergência. Para configurar o acesso entre contas, você cria um perfil do IAM na conta de membro e define políticas para que somente o usuário-raiz na conta gerencial da UO possa assumir esse perfil. Para obter mais informações, consulte Tutorial: Delegar acesso ao Contas da AWS uso de funções do IAM na documentação do IAM.
Recomendamos habilitar vários dispositivos MFA para suas credenciais de usuário-raiz. Você pode registrar até oito dispositivos MFA de qualquer combinação.
Para saber mais, consulte os seguintes recursos:
-
Habilitar um token de hardware TOTP na documentação do IAM
-
Habilitar um dispositivo de autenticação multifator (MFA) virtual na documentação do IAM
-
Enabling a FIDO security key na documentação do IAM
-
Proteger o acesso do seu usuário-raiz com autenticação multifator (MFA) na documentação do IAM
Siga as práticas recomendadas de segurança do IAM
A documentação do IAM inclui uma lista das melhores práticas projetadas para ajudar você a proteger seus Contas da AWS recursos. Ela inclui recomendações para configurar o acesso e as permissões de acordo com o princípio de privilégio mínimo. Exemplos das práticas recomendadas de segurança do IAM incluem a configuração da federação de identidades, a exigência de MFA e o uso de credenciais temporárias.
Para saber mais, consulte os seguintes recursos:
-
Práticas recomendadas de segurança no IAM na documentação do IAM
-
Usando credenciais temporárias com AWS recursos na documentação do IAM
Conceder permissões de privilégio mínimo
Privilégio mínimo é a prática de conceder apenas as permissões necessárias para executar uma tarefa. Você faz isso definindo as ações que podem ser executadas em recursos específicos sob condições específicas.
O controle de acesso por atributo (ABAC) é uma estratégia de autorização que define permissões com base em atributos, como suas tags. Você pode usar atributos de grupo, identidade e recurso para definir permissões dinamicamente em escala, em vez de definir permissões para usuários individuais. Por exemplo, você pode usar o ABAC para permitir que um grupo de desenvolvedores acesse somente recursos que tenham uma tag específica associada ao seu projeto.
Para saber mais, consulte os seguintes recursos:
-
Aplicar permissões de privilégio mínimo na documentação do IAM
-
What is ABAC for AWS na documentação do IAM
Definir barreiras de permissão no nível da workload
É uma prática recomendada usar uma estratégia de várias contas, pois ela oferece flexibilidade para definir barreiras de proteção no nível da workload. A Arquitetura de Referência de AWS Segurança oferece orientação prescritiva sobre como estruturar suas contas. Essas contas são gerenciadas como uma organização em AWS Organizations, e as contas são agrupadas em unidades organizacionais (OUs).
Os Serviços da AWS, como o AWS Control Tower, podem ajudar você a gerenciar de forma centralizada os controles em uma organização. Recomendamos que você defina uma finalidade clara para cada conta ou UO dentro da organização e aplique controles de acordo com essa finalidade. AWS Control Tower implementa controles preventivos, de detecção e proativos que ajudam você a controlar os recursos e monitorar a conformidade. Um controle preventivo é projetado para evitar que um evento ocorra. Um controle de detecção é projetado para detectar, registrar em log e alertar após a ocorrência de um evento. Um controle proativo é projetado para impedir a implantação de recursos não compatíveis, verificando os recursos antes de serem provisionados.
Para saber mais, consulte os seguintes recursos:
-
Cargas de trabalho separadas usando contas no AWS Well-Architected Framework
-
AWS Arquitetura de referência de segurança (AWS SRA) na orientação AWS prescritiva
-
Sobre os controles AWS Control Tower na AWS Control Tower documentação
-
Implementando controles de segurança AWS na AWS orientação prescritiva
-
Use políticas de controle de serviço para definir barreiras de permissão em todas as contas em sua AWS organização
no Blog de Segurança AWS
Alternar chaves de acesso do IAM em um intervalo regular
É uma prática recomendada atualizar as chaves de acesso para casos de uso que exigem credenciais de longo prazo. Recomendamos alternar as chaves de acesso a cada 90 dias ou menos. A alternância de chaves de acesso reduz o risco de que uma chave de acesso associada a uma conta comprometida ou encerrada seja utilizada. Também impede o acesso usando uma chave antiga que pode ter sido perdida, comprometida ou roubada. Sempre atualize as aplicações após alternar as chaves de acesso.
Para saber mais, consulte os seguintes recursos:
-
Update access keys when needed for use cases that require long-term credentials na documentação do IAM
-
Gire automaticamente as chaves de acesso do usuário do IAM em grande escala com AWS Organizations e AWS Secrets Manager na orientação AWS prescritiva
-
Updating access keys na documentação do IAM
Identificar recursos compartilhados com uma entidade externa
Uma entidade externa é um recurso, aplicativo, serviço ou usuário que está fora da sua AWS organização, como outro Contas da AWS usuário raiz, usuário ou função do IAM, usuário federado ou usuário anônimo (ou não autenticado). AWS service (Serviço da AWS)É uma prática de segurança recomendada usar o analisador de acesso do IAM para identificar os recursos em sua organização e suas contas, como buckets do Amazon Simple Storage Service (Amazon S3) ou perfis do IAM, que são compartilhados com uma entidade externa. Isso ajuda a identificar o acesso não intencional aos recursos e dados, o que é um risco de segurança.
Para saber mais, consulte os seguintes recursos:
-
Verificar o acesso entre contas e público aos recursos com o analisador de acesso do IAM na documentação do IAM
-
Analise o acesso público e entre contas no AWS Well-Architected Framework
-
Usar o AWS Identity and Access Management Access Analyzer na documentação do IAM
