La sicurezza prima di tutto perché la sicurezza è molto importante! Quando crei un account Amazon Web Services, quell'account è chiamato root. L'account a livello root ha pieno accesso a tutte le risorse in esecuzione nell'ambiente cloud e raccomando assolutamente di non usare l'account root per gestire le risorse.

Cosa dovresti fare per mantenere sicuro il tuo Account AWS?

  1. Imposta l'Autenticazione Multi Fattore per l'account root

    Forse hai già sentito parlare di Autenticazione a 2 Passaggi o Autenticazione a 2 Fattori. Nell'ecosistema Amazon, chiamiamo questo ulteriore livello di sicurezza MFA. L'utente root per questo account non ha l'autenticazione multi-fattore (MFA) abilitata. Abilita MFA per migliorare la sicurezza di questo account.

  2. Imposta la policy delle password

    Una policy delle password è un insieme di regole che definiscono i requisiti di complessità e i periodi di rotazione obbligatori per le password degli utenti IAM.

    Puoi impostare:
    - Lunghezza minima della password
    - Richiedi almeno una lettera maiuscola dell'alfabeto latino (A-Z)
    - Richiedi almeno una lettera minuscola dell'alfabeto latino (a-z)
    - Richiedi almeno un numero
    - Richiedi almeno un carattere non alfanumerico (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')
    - Abilita scadenza password
    - La scadenza della password richiede il reset da parte dell'amministratore
    - Consenti agli utenti di cambiare la propria password
    - Impedisci il riutilizzo della password

  3. Disattiva le Regioni se non ti servono

    Nelle Impostazioni Account, ogni singola regione è in esecuzione specificamente in Amazon Web Services. Ad esempio, se prevedi di eseguire i tuoi servizi nella regione di Londra (eu-west-2), in realtà non hai bisogno di altre regioni e dovresti assolutamente disattivare le altre. Non puoi disattivare il Global Endpoint e la regione US East (N. Virginia). Tutti i servizi di autenticazione di Amazon Web Services (come i login e altre autenticazioni di servizio) vengono eseguiti nel Global Endpoint, alcuni servizi vengono eseguiti solo nella regione North Virginia (us-east-1). Questo è il motivo per cui non puoi disabilitarli.

  4. Crea Policy

    Una policy definisce i permessi AWS che puoi assegnare a un utente, gruppo o ruolo. Puoi creare e modificare una policy nell'editor visuale e/o usando JSON.

    Puoi impostare azioni specifiche per servizi e risorse specifici nella pagina create policy.

  5. Crea Ruoli IAM

    I ruoli IAM sono un modo sicuro per concedere permessi a entità di cui ti fidi. Esempi di entità includono:
    - Utente IAM in un altro account
    - Codice applicativo in esecuzione su un'istanza EC2 che deve eseguire azioni sulle risorse AWS
    - Un servizio AWS che deve agire sulle risorse del tuo account per fornire le sue funzionalità
    - Utenti da una directory aziendale che usano identity federation con SAML
    - I ruoli IAM emettono chiavi valide per brevi durate, rendendoli un modo più sicuro per concedere l'accesso.

  6. Separa i tuoi dipartimenti con Gruppi Utente

    Un utente IAM è un'entità che crei in AWS per rappresentare la persona o l'applicazione che lo usa per interagire con AWS. Un utente può appartenere fino a 10 gruppi. Puoi allegare fino a 10 policy a questo gruppo utente. Tutti gli utenti in questo gruppo avranno i permessi definiti nelle policy selezionate.

  7. Applica le migliori pratiche


    Concedi accesso con privilegio minimo: Stabilire un principio del privilegio minimo garantisce che le identità siano autorizzate solo a eseguire l'insieme più minimo di funzioni necessarie per svolgere un compito specifico, bilanciando usabilità ed efficienza.

    Usa AWS Organizations: Gestisci e governa centralmente il tuo ambiente man mano che ridimensioni le tue risorse AWS. Crea facilmente nuovi account AWS, raggruppa account per organizzare i tuoi flussi di lavoro e applica policy a account o gruppi per la governance.

    Abilita la Identity Federation: Gestisci utenti e accessi su più servizi dalla tua fonte di identità preferita. Usando AWS Single Sign-On gestisci centralmente l'accesso a più account AWS e fornisci agli utenti l'accesso single sign-on a tutti i loro account assegnati da un unico posto.

    Abilita MFA: Per una maggiore sicurezza, raccomandiamo di richiedere l'autenticazione multi-fattore (MFA) per tutti gli utenti.

    Ruota le credenziali regolarmente: Cambia le tue password e chiavi di accesso regolarmente e assicurati che tutti gli utenti nel tuo account facciano lo stesso.

    Abilita IAM Access Analyzer: Abilita IAM Access Analyzer per analizzare l'accesso pubblico, cross-account e cross-organization.

    Scopri di più su tutte le migliori pratiche di sicurezza.

Spero che questo articolo ti aiuti a utilizzare il tuo account Amazon Web Services in modo sicuro!