We willen IAM least-privilege maar elke policy eindigt als AdministratorAccess
Begin niet met een whitepaper, begin met rollen die teams al gebruiken. Geef per rol een AWS-managed policy die dichtbij ligt, knip vervolgens af op basis van wat je in CloudTrail terugziet.
Probeer dit eerst zelf
- 1Inventariseer de drie tot vijf werkpaden die echt voorkomen: developer, deploy-bot, read-only voor finance, ops, en eventueel een data-rol.
- 2Start per pad met een AWS-managed policy zoals PowerUserAccess of ReadOnlyAccess, niet met een eigen policy from scratch.
- 3Zet CloudTrail aan, draai twee weken mee en kijk welke acties die rollen feitelijk doen. Wat niet voorkomt, knip je weg in een eigen policy.
- 4Zet een service-control-policy in AWS Organizations als vangrail boven alles, zodat zelfs Administrator geen regio's of services kan gebruiken die jullie niet willen.
- 5Review elk kwartaal met IAM Access Analyzer. Die meldt ongebruikte rechten en is een goede trigger om verder af te knippen.
Wanneer ons inschakelen
Werken jullie met productie-data van klanten of zit je in een gereguleerde sector, dan is een eenmalige audit op de policies door iemand met IAM-routine de moeite waard.
Zie ook
- Iedereen logt in met het root-account van AWSHet root-account is voor noodgevallen en facturatie. Dagelijks werk hoort via IAM-users of SSO.
- Iedere developer heeft AdministratorAccessAdministratorAccess overal is gemak nu, drama later. Begin met rolgebaseerde policies.
- Iedereen heeft losse IAM-users met eigen wachtwoordIdentity Center (voorheen AWS SSO) koppelt aan je IdP en geeft tijdelijke credentials per sessie.
Past het bovenstaande niet?
Beschrijf je situatie hieronder. We sturen jouw input plus de stappen die je al zag naar onze AI en geven gericht vervolg-advies. Als het te risicovol is om zelf te doen, zeggen we dat ook.
Of doe het helemaal niet zelf
Onze Managed IT-klanten zoeken dit soort vragen niet op. Eén aanspreekpunt, vaste prijs per maand, en het is binnen werktijd opgelost.