Quando os clientes têm dezenas de aplicativos e contas, manter uma governança das políticas de IAM requer esforço adicional.
Um ponto de partida pode ser para cada equipe gerar seu AWS CloudFormation Modelo (infraestrutura como código) com as políticas IAM que deseja criar, para a equipe de segurança analisar, aprovar, documentar em um repositório (git / cvs) e criar.
Para dar aos grupos de desenvolvimento maior autonomia e reduzir a carga operacional da equipe de segurança, é conveniente que eles possam propor a criação de uma nova política de IAM de acordo com sua necessidade (respeitando as regras mínimo privilegio ) de e ter uma função AWS Lambda da equipe de segurança para verificar se o acesso razoável está sendo solicitado na organização (por exemplo, valide que não há … “Ação”: “* “… ou …” Recurso “:” * “…).
Então, a segurança pode aprovar a função manualmente ou automaticamente, dependendo do ambiente ou das políticas corporativas, e fazer com que seja criada.
AWS CodePipeline permite não apenas a orquestração de etapas para um ciclo contínuo de aplicativo, mas também pode ser usado para construir políticas de IAM em modo contínuo.
How to manage security governance using DevOps methodologies