AWS IAM: gestire i permessi con il minimo privilegio
Il principio del minimo privilegio
Su AWS, IAM (Identity and Access Management) governa chi puo fare cosa. La regola d'oro e il minimo privilegio: ogni utente, ruolo o servizio deve avere solo i permessi strettamente necessari, nulla di piu. Un perimetro ampio e una vulnerabilita in attesa di essere sfruttata.
Utenti, ruoli e policy
IAM distingue alcuni concetti chiave:
- Utenti: identita per persone o applicazioni con credenziali a lungo termine.
- Ruoli: identita assumibili temporaneamente, ideali per servizi e accessi cross-account.
- Policy: documenti JSON che descrivono i permessi e si collegano a utenti o ruoli.
Anatomia di una policy
Una policy elenca dichiarazioni con effetto (Allow o Deny), azioni e risorse. Questa consente la sola lettura di un bucket specifico:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": ["s3:GetObject"],
"Resource": "arn:aws:s3:::mio-bucket/*"
}
]
}
Preferire i ruoli alle chiavi
Le chiavi di accesso statiche sono un rischio: possono finire in un repository o in un log. Per le applicazioni in esecuzione su AWS conviene usare i ruoli, che forniscono credenziali temporanee gestite automaticamente.
In MUSTNODE SRL configuriamo IAM partendo sempre dal minimo privilegio, separando gli ambienti e privilegiando i ruoli, per ridurre la superficie d'attacco delle infrastrutture cloud dei nostri clienti.
Articoli correlati
Altri approfondimenti dalla categoria Cloud & DevOps.
On-premise vs Cloud Azure/AWS: criteri di scelta
Una guida pratica per scegliere tra deployment on-premise e cloud, valutando costi, sicurezza, latenza, compliance e scalabilita.
Kubernetes e orchestrazione dei container
Perche e quando adottare Kubernetes: concetti fondamentali, pod, deployment e servizi, con un occhio realistico ai costi di complessita.
Osservabilita: logging, metriche e tracing
I tre pilastri dell'osservabilita e come usarli per capire cosa succede davvero nei sistemi distribuiti in produzione.