Ограничение доступа к AWS Management Console с помощью ресурсно-ориентированных политик и RCP
Недавно Amazon Web Services (AWS) объявила о поддержке ресурсно-ориентированных политик и ресурсных контрольных политик (RCP) для AWS Sign-In. Это позволяет ограничить доступ к AWS Management Console и сессиям aws login CLI с ожидаемых сетей. Эта функция обеспечивает безопасность доступа к консоли и соответствие нормативным требованиям.
Введение
AWS недавно анонсировала поддержку ресурсно-ориентированных политик и ресурсных контрольных политик (RCP) для AWS Sign-In. Это позволяет ограничить доступ к AWS Management Console и сессиям aws login CLI с ожидаемых сетей, таких как корпоративные сети, сети локальных центров данных и виртуальные частные сети Amazon (VPC). Используя ресурсно-ориентированные политики и RCP, можно обеспечить безопасность доступа к консоли и соответствие нормативным требованиям.Подробности
Ресурсно-ориентированные политики и RCP поддерживают несколько целей безопасности, включая ограничение доступа к консоли с корпоративных сетей,限制 Principals, которые могут входить в систему, и обеспечение согласованных сетевых периметров контроля во всей организации AWS. Рассмотрим финансовую компанию, которая требует доступа к AWS Management Console только с корпоративной сети для соблюдения нормативных требований. Компания имеет следующие требования: - Пользователи входят в систему только с корпоративной VPN, офисной сети или VPC клиента. - Попытки входа с личных сетей, публичного Wi-Fi или других неожиданных мест должны быть отклонены. - Назначенный principal должен сохранить доступ с любой сети, чтобы предотвратить блокировку. - Все попытки входа (разрешенные и отклоненные) должны быть записаны в CloudTrail для доказательств соответствия.Что делать
Чтобы реализовать эти требования, необходимо создать ресурсно-ориентированную политику для одной учетной записи. Для этого необходимо: - Установить и настроить AWS Command Line Interface (AWS CLI) с последней версией. - Получить разрешение на управление политиками ресурсов Sign-in. Присоединить управляемую политику AWSSignInResourcePolicyManagement или предоставить разрешения на следующие действия соответствующим principalse: - Управление заявлениями разрешений ресурсов: signin:PutResourcePermissionStatement, signin:DeleteResourcePermissionStatement, signin:ListResourcePermissionStatements, signin:GetResourcePolicy. - Управление авторизацией консоли: signin:PutConsoleAuthorizationConfiguration, signin:GetConsoleAuthorizationConfiguration, signin:DeleteConsoleAuthorizationConfiguration. - Определить корпоративную сеть: диапазон IP CIDR или ID VPC. - Определить назначенного principala, чтобы сохранить доступ, если сеть изменится. Итог: Используя ресурсно-ориентированные политики и RCP, можно ограничить доступ к AWS Management Console и обеспечить безопасность доступа к консоли. Это позволяет финансовым компаниям и другим организациям соответствовать нормативным требованиям и защитить свои данные.Источник: AWS Security Blog
