ssm.ro Docs
Securitate, Infrastructură & OperațiuniInfrastructurăAWS (Model Enterprise)

IAM AWS

Least-privilege IAM per model de deployment; credențiale stocate securizat; 2FA pe cont administrativ

Principiu Least-Privilege

Accesul la serviciile AWS din platforma SSM.ro respectă principiul least-privilege: fiecare componentă are exact permisiunile minime necesare pentru funcționarea sa — nimic mai mult.

Model Partajat (SaaS) — Acces IAM

În modelul Partajat, SSM.ro utilizează microservicii AWS (S3, API Gateway, Lambda, CloudWatch Logs) pe infrastructură partajată. Accesul IAM respectă least-privilege:

ComponentăServiciu AWS accesatPermisiuni
Aplicație webS3 Primary bucketRead + Write pe bucket-ul aplicației; fără acces la alte bucket-uri
Componentă de procesareAWS CloudWatch LogsWrite-only (append) pe log group-ul dedicat semnării
Componentă de procesareAWS Lambda (prin API Gateway)Invoke pe funcțiile specifice
Cont administrativToate serviciileAcces complet — protejat cu 2FA obligatoriu

Model Enterprise (Dedicat) — Acces IAM

În modelul Enterprise, suite-ul complet de servicii AWS este utilizat. Accesul IAM este structurat per rol:

ComponentăServicii AWS accesatePermisiuni
Aplicație / serverS3 Primary bucketRead + Write pe bucket-ul aplicației; fără acces la alte bucket-uri
Componentă de procesareAWS CloudWatch LogsWrite-only (append) pe log group-ul dedicat semnării
Componentă de procesareAWS Lambda (prin API Gateway)Invoke pe funcțiile specifice
Cont administrativToate serviciileAcces complet — protejat cu 2FA obligatoriu

Credențiale IAM

  • Credențialele sunt stocate securizat în variabilele de mediu ale aplicației — nu în codul sursă
  • Seturi separate per mediu: producție și staging utilizează credențiale distincte cu scope diferit
  • Credențialele aplicației nu au acces de administrator — nu pot modifica configurația AWS

Cont Administrativ AWS

  • 2FA obligatoriu pe contul AWS administrativ
  • Accesul administrativ este utilizat exclusiv pentru configurare și operațiuni, nu de aplicație
  • Activitate monitorizată prin AWS CloudTrail (la nivel de cont)

Replica CRR — Acces

Bucket-ul S3 CRR Replica este configurat astfel încât nicio aplicație nu are acces de citire/scriere direct:

  • Replicarea este gestionată de AWS (managed CRR) — nu de o identitate IAM a aplicației
  • Accesul la replică în caz de DR necesită acces administrativ explicit

Rotație Credențiale IAM

La un eveniment de compromitere:

  1. Generare set nou de credențiale IAM
  2. Actualizare variabile de mediu în producție și staging
  3. Dezactivare și ștergere credențiale compromise
  4. Verificare că nicio altă resursă nu utilizează credențialele compromise

Servicii AWS Utilizate

Ambele modele utilizează S3, API Gateway, Lambda și CloudWatch Logs. Diferența: infrastructură partajată (Partajat) vs. dedicată per client (Enterprise).

Stocare S3

Bucket primar + CRR replica; versioning, SSE, Block-public-access, lifecycle 100 zile

On this page

Principiu Least-PrivilegeModel Partajat (SaaS) — Acces IAMModel Enterprise (Dedicat) — Acces IAMCredențiale IAMCont Administrativ AWSReplica CRR — AccesRotație Credențiale IAM