GuardRails - Service Control Policies

NOTA: Aún no se completó la actualización de la versión en español a v2, sugerimos usar la versión en Inglés por ahora.

Se recomienda definir Políticas a nivel Organización y hacer que se cumplan utilizando Service Control Policies, que son políticas que limitan los permisos otorgados por políticas de IAM (Guardrails).

Piense en todo lo que no quisiera que nunca ocurra en sus cuentas y fuerce el cumplimiento a través de SCPs.

Ejemplos de SCPs

Políticas de control de recursos (RCP)

También puede aplicar un nuevo tipo de protección denominada RCP que le permite aplicar restricciones granulares a servicios críticos como buckets S3, claves KMS o secretos. Las RCP liberan al menos una ranura SCP y ofrecen mayor precisión para proteger servicios clave. Inglés: https://aws.amazon.com/blogs/aws/introducing-resource-control-policies-rcps-a-new-authorization-policy

Piense en todo lo que nunca quiere que suceda en sus cuentas y aplíquelo a través de RCP y SCP.

Mapeo de recomendaciones de Well Architected Framework

Mitigación de riesgos

  • La administración incorrecta de permisos puede crear resultados no deseados en los permisos de IAM, lo que aumenta el impacto de una identidad comprometida.

Guía para evaluar su grado de alineación

  • ¿Está aprovechando las SCP y RCP para hacer cumplir sus invariables de seguridad?
  • ¿Ha configurado los SCP y RCP para evitar acciones no deseadas como estas?:
    • ¿Evitar que las cuentas de miembros abandonen su organización?
    • ¿Evitar el lanzamiento de instancias muy grandes en cuentas que no sean de producción?
    • ¿Evitar el uso de tipos de instancias que no estén alineados con sus necesidades comerciales (como GPU si no está haciendo IA/ML en esa cuenta o unidad organizativa)?
    • ¿Evitar el uso de root en cuentas de miembros?
  • ¿Ha revisado los ejemplos de SCP para ver si alguno de ellos se aplica a su organización?

Precios

El servicio AWS Organizations y sus Service Control Policies son de uso gratuito.