Community - Cloud AWS su Google+

Cloud AWS

Amazon Web Services

cloud-aws.com

Amazon IAM - I migliori 10 consigli

Hangout 17 del 30.06.2014

● Davide Riboldi● Massimo Della Rovere

Oggi vedremo i 10 consigli migliori che bisogna rispettare quando si utilizza Amazon IAM su risorse AWS

CLOUD AWS

#cloudaws

Amazon IAM - I migliori 10 consigli

Cloud AWS

● Mettere al sicuro le credenziali dell’account AWS.● Creare singoli utenti IAM. ● Utilizzate i gruppi per assegnare i permessi. ● Concedere i privilegi minimi. ● Configurare un criterio di password. ● Abilitare MFA per gli utenti privilegiati. ● Utilizzare i ruoli per applicazioni su EC2. ● Delegare utilizzando i ruoli invece delle credenziali. ● Ruotare periodicamente le credenziali. ● Utilizzare le condizioni per aumentare la sicurezza.

Amazon IAM - Consiglio N° 1

Cloud AWS

Mettere al sicuro le credenziali dell’account AWS

Si consiglia di non utilizzare mai le credenziali dell’account principale, il quale oltre a dare un accesso completo, permette anche l’accesso ai dati di fatturazione, alle carte di credito e ai propri dati personali. Si consiglia di seguire sempre questi passi:

● Utilizzare una password robusta per proteggere il proprio account. ● Abilitare l’AWS multi-factor authentication (MFA) per il proprio account AWS. ● Non creare nessuna access key legate all’account principale se non strettamente

necessario e cancellare le access key eventualmente create. ● Mai condividere password o chiavi di accesso dell’account principale con altre

persone, in quanto a differenza di IAM è difficile revocare i permessi.

Amazon IAM - Consiglio N° 2

Cloud AWS

Creare singoli utenti IAM

● Create dei singoli utenti IAM per chiunque debba avere accesso al vostro account. Non utilizzate mai nomi utenti da associare a più persone autorizzate.

● Create un utente con privilegi amministrativi per voi stessi e utilizzate questo utente per tutte le attività che riguardano la gestione e il setup di AWS.

● Gestite bene le autorizzazioni che vengono assegnate ad ogni singolo utente IAM e in caso di necessità revocatele o create delle nuove credenziali.

Amazon IAM - Consiglio N° 3

Cloud AWS

Utilizzate i gruppi per assegnare i permessi agli utenti

● Invece di definire le autorizzazioni di accesso per ogni singolo utente IAM è preferibile creare dei gruppi riferiti alle varie funzioni di lavoro (es. amministratori, sviluppatori, amministrativi etc.)

● In questo modo risulta più semplice gestire le autorizzazioni, eseguendo le modifiche solo sul singolo gruppo e non su tutti gli utenti. Anche le operazioni di spostamento risulteranno più veloci.

Amazon IAM - Consiglio N° 4

Cloud AWS

Concedere i privilegi minimi

● Quando si creano le policy in ambiente IAM è buona cosa seguire i consigli standard sulla sicurezza e concedendo il privilegio minimo, cioè concedere solo le autorizzazioni necessarie ad eseguire un compito.

● È più sicuro iniziare con un set minimo di autorizzazioni e concederne aggiuntive solo se necessario, piuttosto che partire con le autorizzazioni che sono troppo indulgenti per poi cercare di restringerle in un secondo momento.

Amazon IAM - Consiglio N° 5

Cloud AWS

Configurare un criterio di password

● Se si concede la possibilità agli utenti di cambiare la propria password bisogna assicurarsi che questa venga creata con una certa complessità.

● Nella sezione Password policy della console IAM è possibile impostare le opzioni per le password, la lunghezza minima, maiuscole, minuscole etc.

● Generare una password utente solo nel caso in cui bisogna dare accesso alla console, negli altri casi usate solo le chiavi di accesso per il collegamento ai servizi.

Amazon IAM - Consiglio N° 6

Cloud AWS

Abilitare MFA per gli utenti privilegiati

● Con questa funzionalità l’accesso al vostro account non prevederà solo utente e password ma verrà aggiunta la richiesta di una password a tempo.

● La password può essere generata da un dispositivo fisico che potete comprare o tramite applicazione smartphone come Google Authenticator.

● La configurazione con smartphone è semplicissima, basta richiede l’attivazione MFA dalla console e posizionare la telecamera sul codice QRcode.

Amazon IAM - Consiglio N° 7

Cloud AWS

Utilizzare i ruoli per applicazioni su EC2

● Le applicazioni che girano su istanze EC2 necessitano di credenziali per utilizzare i servizi AWS e per fornirle in modo sicuro bisogna utilizzare i ruoli di IAM. Il ruolo (role) è un entità che possiede una serie di autorizzazioni ma non è un utente o un gruppo.

● Il ruolo oltretutto non possiede un set di credenziali permanenti come li può possedere un utente, le credenziali vengono associate a chi assume l’identità, oppure in caso si utilizzi un’istanza EC2, IAM fornisce dinamicamente delle credenziali temporanee.

Amazon IAM - Consiglio N° 8

Cloud AWS

Delegare utilizzando i ruoli invece delle credenziali

● Potrebbe essere necessario consentire l’accesso alle risorse AWS ad utenti di un altro account. In questo caso è meglio non condividere le chiavi di accesso o le credenziali, ma è consigliato utilizzare i ruoli di IAM.

● E’ possibile definire un ruolo che specifica quali autorizzazioni vengono concesse all’utente IAM di un altro account e da quale account AWS gli utenti IAM sono autorizzati ad assumere il ruolo.

Amazon IAM - Consiglio N° 9

Cloud AWS

Ruotare periodicamente le credenziali

● Modificare le password e le chiavi di accesso periodicamente e assicurarsi che tutti gli utenti IAM del proprio account facciano la stessa cosa.

● Per rendere più facile la rotazione delle credenziali, attivate la possibilità di far gestire agli utenti le proprie password cambiano la password policy.

● Tutte le operazioni che riguardano la modifica delle credenziali o la creazione di nuove chiavi di accesso le trovate nella schermata degli utenti.

Amazon IAM - Consiglio N° 10

Cloud AWS

Utilizzare le condizioni per aumentare la sicurezza

● Definire delle condizioni sotto le quali le policy intervengono e abilitano l’accesso. Ad esempio è possibile scrivere delle condizioni che specifichino un range di indirizzi IP abilitati, oppure indicare solo uno specifico lasso di tempo permesso.

● E’ anche possibile definire delle condizioni che richiedano l’utilizzo di MFA o SSL. Ad esempio si può richiedere che un utente si autentichi con MFA per potergli concedere l’autorizzazione a terminare una istanza EC2 o per utilizzare un determinato servizio.

Amazon IAM - Ringraziamenti & Video

Cloud AWS

Cloud Computing

Amazon Web Service 1

AmazonSNS

AmazonMFA

AmazonCloudFront

AmazonFree Trial

AmazonS3

AmazonGlacier

Amazon Web Service 2

ElasticTranscoder

Storagegateway

AmazonSES

AmazonCloudTrial

AmazonCloudWatch

AmazonSQS