Editor Top
|
|
Hoy, me complace anunciar políticas declarativas, una nueva capacidad que le ayuda a declarar y aplicar la configuración deseada para un determinado servicio de AWS a escala en toda su organización.
Es común que los clientes creen estándares dentro de sus organizaciones sobre cómo se deben configurar los recursos de la nube. Por ejemplo, es posible que requieran bloquear el acceso público a las instantáneas de Amazon EBS. Quieren que estos estándares se definan una vez de forma centralizada y se apliquen en todas sus cuentas, incluidas aquellas que se unan a la organización en el futuro. Además, cada vez que un operador de nube intenta configurar un recurso de una manera que no cumple con el estándar, quiere que ese operador reciba un mensaje de error útil y procesable que explique cómo remediar la configuración.
Las políticas declarativas abordan estos desafíos ayudándole a definir y aplicar la configuración deseada para los servicios de AWS con unos pocos clics o comandos. Puede seleccionar la configuración que desee, como «bloquear el acceso público para las VPC», y AWS se asegurará automáticamente de que se aplique el estado deseado en todo su entorno de cuentas múltiples (o partes del mismo) una vez que adjunte la política. Este enfoque reduce la complejidad de lograr la configuración deseada. Una vez establecida la configuración, siempre se mantiene, incluso cuando se agregan nuevas funciones o nuevas API. Además, con las políticas declarativas, los administradores tienen visibilidad del estado actual de los atributos del servicio en todo su entorno y, a diferencia de las políticas de control de acceso, que no pueden filtrar información a quienes no tienen permisos, los usuarios finales ven mensajes de error personalizados configurados por los administradores de su organización, redireccionándolos. a recursos internos o canales de soporte.
“El Grupo ABSA opera en un entorno fuertemente regulado y, a medida que adoptamos más servicios, utilizamos exclusiones de políticas de SCP para restringir acciones y reglas de configuración para detectar violaciones. Sin embargo, debemos crear una excepción para cada API o característica nueva. Con políticas declarativas, podemos simplemente establecer el acceso público al bloque de VPC en verdadero y tener la tranquilidad de que ningún usuario, rol vinculado a servicios o API futuras podrán facilitar el acceso público en nuestras organizaciones de AWS”. explica Vojtech Mencl, ingeniero jefe de productos de ABSA, un conglomerado multinacional de servicios bancarios y financieros con sede en Johannesburgo, Sudáfrica.
“Con mensajes de error personalizados, podemos redirigir fácilmente a los usuarios finales a un portal interno para obtener más información sobre por qué falló su acción. Esto reduce drásticamente la complejidad operativa para la gobernanza y acelera nuestra migración a AWS”. dice Matt Draper, ingeniero principal de ABSA.
En este lanzamiento, las políticas declarativas son compatibles con los servicios Amazon Elastic Compute Cloud (Amazon EC2), Amazon Virtual Private Cloud (Amazon VPC) y Amazon Elastic Block Store (Amazon EBS). Los atributos de servicio disponibles incluyen la aplicación de IMDSv2, la posibilidad de solucionar problemas a través de la consola serie, la configuración permitida de Amazon Machine Image (AMI) y el bloqueo del acceso público a instantáneas de Amazon EBS, Amazon EC2 AMI y VPC. Cuando se agregan nuevas cuentas a una organización, heredarán la política declarativa aplicada en la organización, unidad organizativa (OU) o nivel de cuenta.
Puede crear políticas declarativas a través de la consola de AWS Organizations, la interfaz de línea de comandos de AWS (AWS CLI), AWS CloudFormation o mediante AWS Control Tower. Las políticas se pueden aplicar a nivel de organización, unidad organizativa o cuenta. Cuando se adjuntan, las políticas declarativas evitan acciones no conformes, independientemente de si fueron invocadas mediante un rol de AWS Identity and Access Management (IAM) que usted creó o mediante un servicio de AWS que utiliza un rol vinculado a un servicio.
Comenzando con las políticas declarativas
Para demostrar las políticas declarativas, le mostraré un ejemplo. Digamos que, como administrador de seguridad de una gran empresa con cientos de cuentas de AWS, soy responsable de mantener la estricta postura de seguridad de nuestra organización. En nuestra empresa, tenemos varios requisitos de seguridad críticos: mantenemos un estricto control sobre el acceso a Internet en todas nuestras redes, solo permitimos AMI de proveedores confiables específicos y debemos asegurarnos de que ningún recurso de VPC quede expuesto accidentalmente a la Internet pública. Con políticas declarativas, puedo implementar estos requisitos de manera eficiente. Déjame mostrarte cómo configuro esto en mi entorno.
Voy a la consola de AWS Organizations y elijo Políticas en el panel de navegación. yo elijo Políticas declarativas para EC2 bajo el Tipos de políticas admitidas.
yo elijo Habilitar políticas declarativas para EC2 para habilitar la función.
Una vez habilitadas las políticas declarativas, puedo definir y aplicar las configuraciones deseadas para EC2 en todas las cuentas de mis organizaciones de AWS.
Antes de crear políticas declarativas, como administrador de la organización, quiero comprender el estado actual de mi entorno de AWS mediante el informe de estado de la cuenta, que es una característica de las políticas declarativas. El informe ofrece una vista resumida y un archivo CSV detallado, que cubre todas las cuentas y regiones de AWS dentro de un ámbito organizacional seleccionado. Me ayuda a evaluar la preparación antes de adjuntar una póliza.
En la página siguiente, elijo Generar informe de estado. Elijo un depósito de Amazon Simple Storage Service (Amazon S3) en Informe S3 URI y elija cuentas y unidades organizativas para incluirlas en el alcance del informe.
Tenga en cuenta que el depósito de S3 requiere la siguiente política adjunta para poder almacenar el informe de estado:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "DeclarativePoliciesReportBucket",
"Effect": "Allow",
"Principal": {
"Service": [
"report.declarative-policies-ec2.amazonaws.com"
]
},
"Action": [
"s3:PutObject"
],
"Resource": "arn:aws:s3:::/*",
"Condition": {
"StringEquals": {
"aws:SourceArn": "arn::declarative-policies-ec2:::*"
}
}
}
]
} yo elijo Entregar.
Cuando esté completo, el informe se almacena en el depósito de Amazon S3 que especifiqué. en el Ver informe de estado de cuenta página, puedo elegir entre varios informes de Informes menú desplegable para observar cuál es el estado actual de varios atributos.
Reviso el depósito de Amazon S3 que proporcioné para almacenar un archivo CSV, que proporciona el informe de preparación detallado. Observo cuál es mi estado actual en toda la unidad de mi organización en diferentes regiones.
Después de evaluar el estado de la cuenta, continúo creando una política. yo elijo Crear política en el Políticas declarativas para EC2 página.
En la página siguiente, ingreso un Nombre de la política y opcionalmente un Descripción de la política.
En esta demostración, uso editor visual para mostrar cómo agregar atributos de servicio. Estos atributos incluyen acceso a la consola serie, valores predeterminados de metadatos de la instancia, acceso público al bloqueo de imágenes, acceso público al bloqueo de instantáneas, acceso público al bloqueo de VPC y configuraciones de imágenes permitidas. puedo usar Editor JSON para agregarlos manualmente o para observar las políticas que agregué usando editor visual. Primero elijo Acceso público al bloque VPC para controlar el acceso a Internet de los recursos en mi VPC desde puertas de enlace de Internet. yo elijo Bloquear el ingreso bajo Estado de la puerta de enlace de Internet. Cuando está habilitado, esto impide inmediatamente el acceso público sin mutar los recursos y se puede revertir.
Como segundo atributo, elijo Configuraciones de imagen permitidas para controlar los criterios de imágenes permitidas para las AMI. Esto es útil porque puedo garantizar que todos los lanzamientos de instancias utilicen una AMI dorada que genera una cuenta o un conjunto de cuentas en mi organización, o una proporcionada por un proveedor como Amazon o Ubuntu. yo elijo Activado bajo Configuraciones de imagen permitidas. yo elijo Amazonas bajo Proveedor. Las políticas declarativas brindan transparencia con mensajes de error personalizables para ayudar a reducir la frustración del usuario final. Opcionalmente puedes agregar un Mensaje de error personalizado que se mostrará cuando los miembros de la organización no puedan realizar una acción restringida. Para completar el proceso de generación de la póliza elijo Crear política.
Ahora necesito adjuntar la política a mi organización o a unidades organizativas específicas. yo elijo Adjuntar política bajo Comportamiento.
Elijo mi organización o unidades organizativas específicas y elijo Adjuntar política.
Cuando una cuenta se une a una organización o una unidad organizativa, la política declarativa adjunta entra en vigor de inmediato y todas las acciones posteriores que no cumplan fallarán (excepto VPC Block Public Access, que restringirá inmediatamente el acceso público). Los recursos existentes en la cuenta no se eliminarán.
Ahora disponible
Las políticas declarativas agilizan la gobernanza para los clientes de AWS al reducir los gastos generales de mantenimiento de políticas, proporcionar una aplicación consistente en todas las cuentas y ofrecer transparencia a los administradores y usuarios finales.
Las políticas declarativas ahora están disponibles en las regiones comercial de AWS, China y AWS GovCloud (EE. UU.).
Para obtener más información sobre las políticas declarativas y comenzar a aplicarlas en su organización, visite la documentación de políticas declarativas.
GIPHY App Key not set. Please check settings