Η ασφάλεια πρώτα, γιατί η ασφάλεια είναι τόσο σημαντική! Όταν δημιουργείς έναν Amazon Web Services λογαριασμό, αυτός ο λογαριασμός ονομάζεται root. Ο root λογαριασμός έχει πλήρη πρόσβαση σε όλους τους πόρους που τρέχουν στο cloud environment και συνιστώ ανεπιφύλακτα να μην χρησιμοποιείς τον root λογαριασμό για να διαχειρίζεσαι τους πόρους.

Τι πρέπει να κάνεις για να κρατήσεις τον AWS λογαριασμό σου ασφαλή;

  1. Ρύθμισε Multi Factor Authentication για τον root λογαριασμό

    Ίσως έχεις ακούσει για 2 Step Authentication ή 2 Factor Authentication στο παρελθόν. Στο οικοσύστημα της Amazon, ονομάζουμε αυτό το επιπλέον επίπεδο ασφαλείας MFA. Ο root χρήστης για αυτόν τον λογαριασμό δεν έχει ενεργοποιημένο Multi-factor authentication (MFA). Ενεργοποίησε το MFA για να βελτιώσεις την ασφάλεια αυτού του λογαριασμού.

  2. Ρύθμισε password policy

    Μια password policy είναι ένα σύνολο κανόνων που ορίζουν απαιτήσεις πολυπλοκότητας και υποχρεωτικές περιόδους εναλλαγής για τους κωδικούς των IAM χρηστών σου.

    Μπορείς να ορίσεις:
    - Επιβολή ελάχιστου μήκους κωδικού
    - Απαίτηση τουλάχιστον ενός κεφαλαίου γράμματος από το λατινικό αλφάβητο (A-Z)
    - Απαίτηση τουλάχιστον ενός πεζού γράμματος από το λατινικό αλφάβητο (a-z)
    - Απαίτηση τουλάχιστον ενός αριθμού
    - Απαίτηση τουλάχιστον ενός μη αλφαριθμητικού χαρακτήρα (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')
    - Ενεργοποίηση λήξης κωδικού
    - Η λήξη κωδικού απαιτεί επαναφορά από διαχειριστή
    - Επιτρέπει στους χρήστες να αλλάζουν τον δικό τους κωδικό
    - Αποτροπή επαναχρησιμοποίησης κωδικού

  3. Απενεργοποίησε Region(s) αν δεν τα χρειάζεσαι

    Στις Account Settings, κάθε region λειτουργεί συγκεκριμένα στο Amazon Web Services. Για παράδειγμα, αν σχεδιάζεις να τρέξεις τις υπηρεσίες σου στην περιοχή του Λονδίνου (eu-west-2), στην πραγματικότητα δεν χρειάζεσαι άλλες περιοχές και θα πρέπει οπωσδήποτε να απενεργοποιήσεις τις άλλες. Δεν μπορείς να απενεργοποιήσεις τα regions Global Endpoint και US East (N. Virginia). Όλες οι υπηρεσίες αυθεντικοποίησης του Amazon Web Services (όπως logins και άλλες αυθεντικοποιήσεις υπηρεσιών) λειτουργούν στο Global Endpoint, ενώ κάποιες από τις υπηρεσίες λειτουργούν μόνο στην περιοχή North Virginia (us-east-1). Αυτός είναι ο λόγος που δεν μπορείς να τις απενεργοποιήσεις.

  4. Δημιούργησε Policy

    Ένα policy ορίζει τα AWS δικαιώματα που μπορείς να αναθέσεις σε έναν χρήστη, group ή role. Μπορείς να δημιουργήσεις και να επεξεργαστείς ένα policy στον visual editor ή/και χρησιμοποιώντας JSON.

    Μπορείς να ορίσεις συγκεκριμένες ενέργειες για συγκεκριμένες υπηρεσίες και πόρους στη σελίδα create policy.

  5. Δημιούργησε IAM Role

    Τα IAM roles είναι ένας ασφαλής τρόπος για να εκχωρείς δικαιώματα σε οντότητες που εμπιστεύεσαι. Παραδείγματα οντοτήτων περιλαμβάνουν τα εξής:
    - IAM χρήστης σε άλλον λογαριασμό
    - Κώδικας εφαρμογής που τρέχει σε ένα EC2 instance που χρειάζεται να εκτελεί ενέργειες σε AWS πόρους
    - Μια AWS υπηρεσία που χρειάζεται να ενεργήσει σε πόρους του λογαριασμού σου για να παρέχει τις λειτουργίες της
    - Χρήστες από έναν εταιρικό κατάλογο που χρησιμοποιούν identity federation με SAML
    - Τα IAM roles εκδίδουν κλειδιά που είναι έγκυρα για μικρές διάρκειες, καθιστώντας τα έναν πιο ασφαλή τρόπο εκχώρησης πρόσβασης.

  6. Διαχώρισε τα τμήματά σου με User Groups

    Ένας IAM χρήστης είναι μια οντότητα που δημιουργείς στο AWS για να αντιπροσωπεύει το άτομο ή την εφαρμογή που το χρησιμοποιεί για να αλληλεπιδράσει με το AWS. Ένας χρήστης μπορεί να ανήκει σε έως 10 groups. Μπορείς να επισυνάψεις έως 10 policies σε αυτό το user group. Όλοι οι χρήστες σε αυτό το group θα έχουν δικαιώματα που ορίζονται στα επιλεγμένα policies.

  7. Εφάρμοσε τις βέλτιστες πρακτικές


    Εκχώρησε least privilege access: Η καθιέρωση μιας αρχής ελάχιστων προνομίων διασφαλίζει ότι οι ταυτότητες επιτρέπεται να εκτελούν μόνο το πιο ελάχιστο σύνολο λειτουργιών που είναι απαραίτητο για την εκπλήρωση μιας συγκεκριμένης εργασίας, ενώ εξισορροπεί τη χρηστικότητα και την αποδοτικότητα.

    Χρησιμοποίησε AWS Organizations: Κεντρική διαχείριση και διακυβέρνηση του περιβάλλοντός σου καθώς κλιμακώνεις τους AWS πόρους σου. Δημιούργησε εύκολα νέους AWS λογαριασμούς, ομαδοποίησε λογαριασμούς για να οργανώσεις τις ροές εργασίας σου και εφάρμοσε policies σε λογαριασμούς ή groups για διακυβέρνηση.

    Ενεργοποίησε Identity federation: Διαχείριση χρηστών και πρόσβασης σε πολλαπλές υπηρεσίες από την προτιμώμενη πηγή ταυτότητάς σου. Χρησιμοποιώντας το AWS Single Sign-On, διαχειρίζεσαι κεντρικά την πρόσβαση σε πολλαπλούς AWS λογαριασμούς και παρέχεις στους χρήστες single sign-on πρόσβαση σε όλους τους ανατεθειμένους λογαριασμούς τους από ένα μέρος.

    Ενεργοποίησε MFA: Για επιπλέον ασφάλεια, συνιστούμε να απαιτείς multi-factor authentication (MFA) για όλους τους χρήστες.

    Εναλλαγή credentials τακτικά: Άλλαζε τους δικούς σου κωδικούς και access keys τακτικά και βεβαιώσου ότι όλοι οι χρήστες στον λογαριασμό σου το κάνουν επίσης.

    Ενεργοποίησε το IAM Access Analyzer: Ενεργοποίησε το IAM Access Analyzer για ανάλυση δημόσιας, cross-account και cross-organization πρόσβασης.

    Μάθε περισσότερα για όλες τις βέλτιστες πρακτικές ασφαλείας.

Ελπίζω αυτό το άρθρο να σε βοηθήσει να χρησιμοποιείς τον Amazon Web Service λογαριασμό σου με ασφάλεια!