7 modi per proteggere al meglio il tuo account AWS

7 modi per proteggere al meglio il tuo account AWS

Per proteggere al meglio le tue risorse su AWS, segui queste 7 azioni per gestire il tuo account con il servizio AWS Identity and Access Management (IAM).

1. Tieni al sicuro l’Access Key id e la tua Secret Key

È sempre possibile utilizzare l’Access Key id e la tua Secret Key per eseguire richieste a AWS.

Ma è meglio non utilizzare questo tipo di accesso poiché ti permette di accedere a tutte le risorse a tutti i servizi AWS, inclusi i tuoi dati di fatturazione ma non ti consente di porre dei limiti nelle autorizzazioni associate a quel determinato accesso dell’account.

Ricorda di tenere segreta la chiave di accesso dell’account come fosse il tuo numero di carta di credito. Ecco alcuni modi per proteggerla:

  • Se non si disponi di una Access Key per il tuo account AWS, non crearne una, ma invece utilizza gli accessi di Root (email e la password) del tuo account per accedere alla console di gestione di AWS. Sulla console IAM crea un utente IAM che dispone di privilegi amministrativi.
  • Se invece possiedi di una Access Key per il tuo account AWS, conviene eliminarla.
  • Se invece ti è necessario mantenerla, cambiala regolarmente! Per eliminare o cambiare le Access Key dell’account AWS: Accedi alla pagina Credenziali di protezione nella Console di gestione di AWS con l’indirizzo e-mail e la password dell’account. Vai alla sezione Access Key per poterle gestire.
  • Non condividere mai con nessuno la password dell’account AWS o le Access Key.
    Utilizza sempre una password forte.
  • Abilita l’autenticazione AWS multi-factor (MFA) sul tuo account AWS

2. Crea singoli utenti IAM.

Per chi ha bisogno dell’accesso al tuo account AWS crea utenti individuali. Per te crea anche un utente IAM con privilegi amministrativi ed usa l’account creato per tutto il tuo lavoro.

La creazione di singoli utenti IAM ti consente di assegnare a ciascuno un insieme di credenziali di protezione e di concedere ad ognuno autorizzazioni diverse.
Inoltre, puoi modificare o revocare le autorizzazioni in qualsiasi momento.

Invece, se vengono utilizzate le credenziali dell’utente principale, può essere difficile revocarle e soprattutto non è possibile limitare le autorizzazioni. Prima di impostare le autorizzazioni per i singoli utenti IAM, leggi il punto successivo sui gruppi.

3. Utilizza i gruppi per assegnare autorizzazioni agli utenti IAM

Si dimostra più utile invece di definire le autorizzazioni per ogni singolo utente creare dei gruppi con policy prestabilite per persone coni particolari funzioni, ad esempio amministratori, sviluppatori, contabilità, etc. Una volta definita la funzione, puoi procedere ad attribuire le autorizzazioni che reputi necessarie ad ogni gruppo. Infine, assegna ciascun utente ad un gruppo.
Tutti gli utenti di un gruppo IAM erediteranno le autorizzazioni che si assegneranno al gruppo. Procedendo in questo modo potrai apportare le modifiche che vorrai per tutti una sola volta e nello stesso posto.

4. Concedi meno privilegi possibile

Assegna privilegi minimi, ossia concedi le autorizzazioni solo per eseguire le attività di cui realmente si ha bisogno. Successivamente, potrai aggiungerne altre a tuo piacimento.

Per capire quali policy sono necessarie per una determinata attività aiutati utilizzando la scheda Access Advisor. La trovi nella pagina dettagli della console IAM ogni volta che controlli un utente, un gruppo, un ruolo o un criterio.

La scheda Access Advisor contiene informazioni su quali servizi vengono effettivamente utilizzati da un utente, un gruppo, un ruolo o da chiunque utilizzi un criterio. Attraverso la lettura della scheda puoi capire quali autorizzazioni sono realmente necessarie o al contrario non si dimostrano utili.

5. Utilizza i livelli di accesso per esaminare le autorizzazioni IAM

Tenendo ben presente la regola del privilegio minimo (Punto 4.), esamina e monitora regolarmente ciascuno delle policy IAM che hai attribuito.
Le policies descrivono il livello di accesso, le risorse e le condizioni consentite o negate per ogni servizio di una policy.

Per esaminare una policy puoi utilizzare le tabelle di Riepilogo di criteri che IAM ti fornisce:

  • il Riepilogo delle policies: elenco di servizi associati e riepilogo dei permessi
  • il Riepilogo dei servizi: elenco delle azioni e delle autorizzazioni associate al servizio scelto
  • il Riepilogo delle azioni: elenco delle risorse e delle condizioni per l’azione scelte

Per accedere ai riepiloghi dei criteri:

  • Vai nella pagina Utenti per tutte le policies (gestite e in linea) che sono collegate a tale utente.
  • Visualizza i riassunti nella pagina Policies per tutte le policies gestite.

Le policies gestite includono: i criteri e le funzioni di lavoro gestiti da AWS e le policies gestite invece dal cliente. È possibile visualizzare i riepiloghi di queste policies nella pagina Criteri indipendentemente dal fatto che siano collegati ad un utente o ad un’altra identità IAM.
La colonna Livello di accesso mostra che la politica fornisce accesso completo o limitato a uno o più dei quattro livelli di accesso di AWS per il servizio.

Quando si esamina una policy, è possibile visualizzare il Riepilogo dei criteri e i 4 livelli di accesso/azione per ciascun servizio: List, Read, Write, o Permissions management.
Grazie alla colonna Livelli di accesso potrai visionare la policy del servizio per visionare se fornisce l’accesso completo o limitato a tutte le azioni all’interno del servizio

Ad esempio, nel servizio Amazon S3, è possibile consentire a un grande gruppo di utenti di accedere azioni: List e Read. Queste azioni consentono agli utenti di elencare i bucket e di ottenere oggetti in Amazon S3. Tuttavia, è necessario consentire solo ad un piccolo gruppo di utenti di accedere alle azioni Write Amazon S3 che servono ad eliminare i bucket o mettere gli oggetti in un bucket S3.

Inoltre, è necessario limitare le autorizzazioni per consentire solo agli amministratori di accedere alle Permissions management ( gestione dei permessi) di Amazon S3..

6. Configura una politica di password forte per i tuoi utenti

Se consenti ai tuoi utenti di cambiare le proprie password autonomamente, richiedi loro di creare password forti e di modificarle periodicamente.
Inoltre, per essere certo della robustezza delle password puoi creare tramite console IAM un criterio di password per l’account.
Puoi scegliere una politica di password particolare come la lunghezza minima, caratteri non alfabetici, la frequenza di cambiamento e così via.

7. Attiva MFA per gli utenti privilegiati

Per una maggiore sicurezza, abilita l’autenticazione multifattoriale (MFA) per gli utenti IAM privilegiati (utenti che hanno accesso a risorse sensibili o API). Con MFA, gli utenti possono disporre di un dispositivo che genera un codice di autenticazione univoco (una password univoca o OTP). Gli utenti dovranno fornire entrambe le loro credenziali normali (come il loro nome utente e la password) e l’OTP.

Comments are closed.

Utilizzando il sito, accetti l'utilizzo dei cookie da parte nostra. maggiori informazioni

Questo sito utilizza i cookie per fornire la migliore esperienza di navigazione possibile. Continuando a utilizzare questo sito senza modificare le impostazioni dei cookie o cliccando su "Accetta" permetti il loro utilizzo.

Chiudi