Quais são algumas das práticas recomendadas para proteger minha conta da AWS e seus recursos?

Descrição resumida

A AWS oferece muitas ferramentas para ajudar a proteger sua conta. No entanto, como muitas dessas medidas não estão ativas por padrão, você deve implementá-las. Estas são algumas práticas recomendadas a serem consideradas ao proteger sua conta e seus recursos:

• Proteja suas senhas e chaves de acesso
• Ative a autenticação multifatorial (MFA) no usuário raiz da conta da AWS e nos usuários com acesso interativo ao AWS Identity and Access Management (IAM)
• Limite o acesso do usuário raiz da conta da AWS aos seus recursos
• Audite os usuários do IAM e suas políticas com frequência
• Crie snapshots do Amazon Elastic Block Store (Amazon EBS), snapshots do Amazon Relational Database Service (Amazon RDS) e versões de objetos do Amazon Simple Storage Service (Amazon S3)
• Use projetos do AWS Git para verificar evidências de uso não autorizado
• Monitore sua conta e seus recursos

Observação: se você estiver usando o Centro de Identidade da AWS ou usuários federados do IAM, as práticas recomendadas para usuários do IAM também se aplicarão aos usuários federados.

Resolução

Proteja suas senhas e chaves de acesso

Os dois principais tipos de credenciais usados para acessar sua conta são senhas e chaves de acesso. As senhas e chaves de acesso podem ser aplicadas à conta de usuário raiz da AWS e aos usuários individuais do IAM. É uma prática recomendada proteger senhas e chaves de acesso com a mesma segurança que você faria com qualquer outro dado pessoal confidencial. Nunca as incorpore em um código acessível ao público (por exemplo, um repositório Git público). Para maior segurança, altere e atualize com frequência todas as credenciais de segurança.

Se você suspeitar que uma senha ou um par de chaves de acesso foram expostos, siga estas etapas:

1. Altere todos os pares de chaves de acesso.
2. Altere a senha do usuário raiz da sua conta da AWS.
3. Siga as instruções em O que fazer se eu notar uma atividade não autorizada na minha conta da AWS?

Ative a MFA

A ativação da MFA pode ajudar a proteger as contas e impedir que usuários não autorizados façam login em contas sem um token de segurança.

Para aumentar a segurança, é uma prática recomendada configurar a MFA para ajudar a proteger seus recursos da AWS. Você pode ativar uma MFA virtual para usuários do IAM e o usuário raiz da conta da AWS. A ativação da MFA para o usuário raiz afeta somente as credenciais do usuário raiz. Os usuários do IAM na conta são identidades distintas com suas próprias credenciais, e cada identidade tem sua própria configuração de MFA.

Para obter mais informações, consulte Ativação de dispositivos com MFA para usuários na AWS.

Limite o acesso do usuário raiz aos seus recursos

As credenciais da conta do usuário raiz (a senha raiz ou as chaves de acesso raiz) concedem acesso ilimitado à sua conta e seus recursos. É uma prática recomendada proteger e minimizar o acesso do usuário raiz à sua conta.

Considere as seguintes estratégias para limitar o acesso do usuário raiz à sua conta:

• Use usuários do IAM para acesso diário à sua conta. Se você for a única pessoa acessando a conta, consulte Criar um usuário administrativo.
• Elimine o uso de chaves de acesso raiz. Para obter mais informações, consulte Práticas recomendadas para gerenciar chaves de acesso da AWS.
• Use um dispositivo com MFA para o usuário raiz da sua conta.

Para obter mais informações, consulte Proteja suas credenciais de usuário raiz e não as use para tarefas diárias.

Audite os usuários do IAM e suas políticas com frequência

Considere as seguintes práticas recomendadas ao trabalhar com usuários do IAM:

• Certifique-se de que os usuários do IAM tenham as políticas mais restritivas possíveis, com permissões suficientes somente para permitir que concluam as tarefas pretendidas (privilégio mínimo).
• Use o AWS IAM Access Analyzer para analisar suas permissões existentes. Para obter mais informações, consulte O IAM Access Analyzer facilita a implementação de permissões com privilégio mínimo ao gerar políticas do IAM com base na atividade de acesso.
• Crie usuários do IAM diferentes para cada conjunto de tarefas.
• Ao associar várias políticas ao mesmo usuário do IAM, lembre-se de que a política menos restritiva tem precedência.
• Audite com frequência seus usuários do IAM e suas permissões e encontre credenciais não utilizadas.
• Se o usuário do IAM precisar acessar o console, você poderá configurar uma senha para permitir o acesso ao console e, ao mesmo tempo, limitar as permissões do usuário.
• Configure dispositivos com MFA individuais para cada usuário do IAM que tenha acesso ao console.

Você pode usar o editor visual no console do IAM para te ajudar a definir políticas seguras. Para ver exemplos de casos de uso de negócios comuns e as políticas que você pode usar para abordá-los, consulte Casos de uso de negócios do IAM.

Crie snapshots do Amazon EBS, snapshots do Amazon RDS e versões de objetos do Amazon S3

Para criar um snapshot pontual de um volume do EBS, consulte Criar snapshots do Amazon EBS.

Para ativar os snapshots automáticos do Amazon RDS e definir o período de retenção de backup, consulte Ativação de backups automáticos.

Para criar um bucket do S3 padrão para backup e arquivamento, consulte Criação de buckets do S3 padrão para backup e arquivamento. Para criar o versionamento do bucket do S3, consulte Usando o versionamento nos buckets do S3.

Para criar um plano do AWS Backup usando o console, consulte Criar um backup programado. Para criar um plano do AWS Backup usando a AWS Command Line Interface (AWS CLI), consulte Como posso usar a AWS CLI para criar um plano do AWS Backup ou executar um trabalho sob demanda?

Use projetos do AWS Git para se proteger contra o uso não autorizado

A AWS oferece projetos do Git que você pode instalar para ajudar a proteger sua conta:

• O Git Secrets pode verificar mesclagens, confirmações e mensagens de confirmação em busca de informações secretas (chaves de acesso). Se o Git Secrets detectar expressões regulares proibidas, ele poderá impedir que essas confirmações sejam publicadas em repositórios públicos.
• Use o AWS Step Functions e o AWS Lambda para gerar o Amazon CloudWatch Events do AWS Health ou do AWS Trusted Advisor. Se houver evidências de que suas chaves de acesso estão expostas, os projetos poderão ajudar você a detectar, registrar em log e mitigar automaticamente o evento.

Monitore sua conta e seus recursos

É uma prática recomendada monitorar ativamente sua conta e seus recursos para detectar qualquer atividade ou acesso incomum à sua conta. Considere uma ou mais das seguintes soluções:

• Crie um alarme de faturamento para monitorar suas cobranças estimadas da AWS e receber notificações automáticas quando sua fatura ultrapassar os limites definidos por você. Para obter mais informações, consulte as Perguntas frequentes sobre o Amazon CloudWatch.
• Crie uma trilha para sua conta da AWS para rastrear quais credenciais são usadas para iniciar chamadas de API específicas e quando elas são usadas. Isso poderá ajudar você a determinar se o uso foi acidental ou não autorizado. Você poderá então tomar as medidas apropriadas para mitigar a situação. Para obter mais informações, consulte Práticas recomendadas de segurança no AWS CloudTrail.
• Use o CloudTrail e o CloudWatch em conjunto para monitorar o uso da chave de acesso e receber alertas de chamadas de API incomuns.
• Ative o registro em log no nível de recurso (por exemplo, no nível da instância ou do sistema operacional) e a criptografia de bucket padrão do Amazon S3.
• Ative o Amazon GuardDuty na sua conta da AWS em todas as regiões com suporte. Depois de ativado, o GuardDuty começará a analisar fluxos independentes de dados do gerenciamento do AWS CloudTrail e de eventos de dados do Amazon S3, de logs de fluxo do Amazon VPC e de logs de DNS para gerar descobertas de segurança. As principais categorias de detecção incluem comprometimento da conta, comprometimento da instância e intrusões maliciosas. Para obter mais informações, consulte Perguntas frequentes sobre o Amazon GuardDuty.

Observação: é uma prática recomendada ativar o registro em log em todas as regiões, não apenas nas que você usa regularmente.

Informações relacionadas

Segurança na Nuvem AWS

Práticas recomendadas de gerenciamento de contas da AWS

Práticas recomendadas de segurança, identidade e conformidade

Como posso proteger os arquivos no meu bucket do Amazon S3?

Práticas recomendadas de monitoramento e auditoria do Amazon S3