Bewährte Methoden für die Sicherheit in IAM - AWS Identitäts- und Zugriffsverwaltung
Erfordern Sie menschliche Benutzer, einen Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären AWS Anmeldeinformationen darauf zuzugreifenErfordern Sie, dass Workloads für den Zugriff temporäre Anmeldeinformationen mit IAM-Rollen verwenden AWSVerlangt eine Multi-Faktor-Authentifizierung (MFA)Aktualisieren Sie Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordernBefolgen Sie bewährte Methoden zum Schutz Ihrer Root-Benutzer-AnmeldedatenGewähren Sie die geringsten BerechtigungenBeginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten RechtenVerwenden Sie IAM Access Analyzer, um Richtlinien für die geringste Berechtigung basierend auf der Zugriffsaktivität zu generierenÜberprüfen und entfernen Sie regelmäßig nicht verwendete Benutzer, Rollen, Berechtigungen, Richtlinien und AnmeldeinformationenVerwenden Sie Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränkenÜberprüfen Sie den öffentlichen und kontoübergreifenden Zugriff auf Ressourcen mit IAM Access AnalyzerVerwenden Sie IAM Access Analyzer, um Ihre IAM-Richtlinien zu validieren und sichere und funktionale Berechtigungen zu gewährleistenRichten Sie den Berechtigungs-Integritätsschutz für mehrere Konten einVerwenden Sie Berechtigungsgrenzen, um die Berechtigungsverwaltung innerhalb eines Kontos zu delegieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit in IAM

Folgen Sie diesen bewährten Methoden für AWS Identity and Access Management (IAM), um Ihre AWS Ressourcen zu schützen.

Erfordern Sie menschliche Benutzer, einen Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären AWS Anmeldeinformationen darauf zuzugreifen

Menschliche Benutzer, auch bekannt als menschliche Identitäten, sind die Personen, Administratoren, Entwickler, Betreiber und Verbraucher Ihrer Anwendungen. Sie müssen über eine Identität verfügen, um auf Ihre AWS Umgebungen und Anwendungen zugreifen zu können. Menschliche Benutzer, die Mitglieder Ihrer Organisation sind, werden auch als Mitarbeiteridentitäten bezeichnet. Menschliche Benutzer können auch externe Benutzer sein, mit denen Sie zusammenarbeiten und die mit Ihren AWS Ressourcen interagieren. Sie können dies über einen Webbrowser, eine Client-Anwendung, eine mobile App oder interaktive Befehlszeilentools tun.

Erfordern Sie von Ihren menschlichen Benutzern, beim Zugriff temporäre Anmeldeinformationen zu verwenden AWS. Sie können einen Identitätsanbieter für Ihre menschlichen Benutzer verwenden, um Verbundzugriff zu gewähren, AWS-Konten indem Sie Rollen übernehmen, die temporäre Anmeldeinformationen bereitstellen. Für eine zentrale Zugriffsverwaltung empfehlen wir Ihnen die Verwendung von AWS IAM Identity Center (IAM Identity Center), um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Sie können Ihre Benutzeridentitäten mit IAM Identity Center verwalten oder Zugriffsberechtigungen für Benutzeridentitäten in IAM Identity Center von einem externen Identitätsanbieter verwalten. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center? im AWS IAM Identity Center -Benutzerhandbuch.

Weitere Informationen zu Rollen finden Sie unter Rollenbegriffe und -konzepte.

Erfordern Sie, dass Workloads für den Zugriff temporäre Anmeldeinformationen mit IAM-Rollen verwenden AWS

Eine Workload ist eine Sammlung von Ressourcen und Code, die einen geschäftlichen Nutzen erbringen, z. B. eine Anwendung oder ein Backend-Prozess. Ihr Workload kann aus Anwendungen, Betriebstools und Komponenten bestehen, für deren Bearbeitung Anmeldeinformationen erforderlich sind AWS-Services, z. B. Anfragen zum Lesen von Daten aus Amazon S3.

Wenn Sie auf einem AWS Rechenservice wie Amazon EC2 oder Lambda aufbauen, werden die temporären Anmeldeinformationen einer IAM-Rolle an diese Rechenressource AWS übermittelt. Anwendungen, die mit einem AWS SDK geschrieben wurden, erkennen und verwenden diese temporären Anmeldeinformationen für den Zugriff auf AWS Ressourcen. Sie müssen also keine langlebigen Anmeldeinformationen für einen IAM-Benutzer an Ihre Workloads verteilen, auf denen sie ausgeführt werden. AWS

Workloads, die außerhalb von ausgeführt werden AWS, wie z. B. Ihre lokalen Server, Server von anderen Cloud-Anbietern oder Plattformen für verwaltete kontinuierliche Integration und kontinuierliche Bereitstellung (CI/CD), können weiterhin temporäre Anmeldeinformationen verwenden. Sie müssen diese temporären Anmeldeinformationen jedoch für Ihren Workload bereitstellen. Auf folgende Weise können Sie temporäre Anmeldeinformationen für Ihre Workloads bereitstellen:

  • Sie können IAM Roles Anywhere verwenden, um mithilfe eines X.509-Zertifikats von Ihrer Public-Key-Infrastruktur (PKI) temporäre AWS Anmeldeinformationen für Ihren Workload anzufordern.

  • Sie können die AWS AWS STSAssumeRoleWithSAML API aufrufen, um mithilfe einer SAML-Assertion von einem externen Identitätsanbieter (IdP), der in Ihrem konfiguriert ist, temporäre AWS Anmeldeinformationen für Ihren Workload anzufordern. AWS-Konto

  • Sie können die AWS AWS STS AssumeRoleWithWebIdentity API aufrufen, um temporäre AWS Anmeldeinformationen für Ihren Workload anzufordern, indem Sie ein JSON-Webtoken (JWT) von einem IdP verwenden, der in Ihrem konfiguriert ist. AWS-Konto

  • Mithilfe der MTLS-Authentifizierung (Mutual Transport Layer Security) können Sie temporäre AWS Anmeldeinformationen von Ihrem IoT-Gerät anfordern. AWS IoT Core

Einige unterstützen AWS-Services auch Integrationen zur Bereitstellung temporärer Anmeldeinformationen für Ihre Workloads, die außerhalb von: AWS

  • Amazon Elastic Container Service (Amazon ECS) Anywhereermöglicht es Ihnen, Amazon ECS-Aufgaben auf Ihren eigenen Rechenressourcen auszuführen, und stellt temporäre AWS Anmeldeinformationen für Ihre Amazon ECS-Aufgaben bereit, die auf diesen Rechenressourcen ausgeführt werden.

  • Amazon Elastic Kubernetes Service Hybrid Nodesermöglicht es Ihnen, Ihre Rechenressourcen, die außerhalb von AWS als Knoten laufen, zu einem Amazon EKS-Cluster zu verbinden. Amazon EKS kann temporäre Anmeldeinformationen für die Amazon EKS-Pods bereitstellen, die auf Ihren Rechenressourcen ausgeführt werden.

  • AWS Systems ManagerHybrid Activationsermöglicht es Ihnen, Ihre Rechenressourcen zu verwalten, die außerhalb von AWS SSM laufen, und übermittelt temporäre AWS Anmeldeinformationen an den SSM-Agenten, der auf Ihren Rechenressourcen ausgeführt wird.

Verlangt eine Multi-Faktor-Authentifizierung (MFA)

Wir empfehlen die Verwendung von IAM-Rollen für menschliche Benutzer und Workloads, die auf Ihre AWS -Ressourcen zugreifen, damit diese temporäre Anmeldeinformationen verwenden. Für Szenarien, in denen Sie IAM-Benutzer oder Root-Benutzer in Ihrem Konto benötigen, benötigen Sie jedoch MFA für zusätzliche Sicherheit. Mit MFA verfügen Benutzer über ein System, das eine Antwort auf eine Authentifizierungsaufgabe generiert. Die Anmeldeinformationen und die vom Gerät generierte Antwort jedes Benutzers sind erforderlich, um den Anmeldevorgang abzuschließen. Weitere Informationen finden Sie unter AWS Multi-Faktor-Authentifizierung in IAM.

Wenn Sie IAM Identity Center für die zentralisierte Zugriffsverwaltung für menschliche Benutzer verwenden, können Sie die IAM Identity Center-MFA-Funktionen nutzen, wenn Ihre Identitätsquelle mit dem IAM Identity Center-Identitätsspeicher, AWS Managed Microsoft AD oder AD Connector konfiguriert ist. Weitere Informationen über MFA in IAM Identity Center finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) im AWS IAM Identity Center -Benutzerhandbuch.

Aktualisieren Sie Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern

Wenn möglich, empfehlen wir, sich auf temporäre Anmeldeinformationen zu verlassen, anstatt langfristige Anmeldeinformationen wie Zugriffsschlüssel zu erstellen. Für Szenarien, in denen Sie IAM-Benutzer mit programmgesteuertem Zugriff und langfristigen Anmeldeinformationen benötigen, empfehlen wir Ihnen jedoch, die Zugriffsschlüssel bei Bedarf zu aktualisieren, beispielsweise wenn ein Mitarbeiter Ihr Unternehmen verlässt. Wir empfehlen, dass Sie IAM-Zugriff auf zuletzt verwendete Informationen verwenden, um Zugriffsschlüssel sicher zu aktualisieren und zu entfernen. Weitere Informationen finden Sie unter Zugriffsschlüssel aktualisieren.

Es gibt spezielle Anwendungsfälle, in denen langfristige Anmeldeinformationen mit IAM-Benutzern erforderlich sind. AWS Einige der Anwendungsfälle umfassen Folgendes:

  • Workloads, die IAM-Rollen nicht verwenden können – Sie könnten einen Workload von einem Speicherort ausführen, der auf AWS zugreifen muss. In einigen Situationen können Sie IAM-Rollen nicht verwenden, um temporäre Anmeldeinformationen bereitzustellen, z. B. für WordPress Plugins. Verwenden Sie in diesen Situationen langfristige IAM-Benutzerzugriffsschlüssel für diesen Workload, um sich bei AWS zu authentifizieren.

  • AWS Drittanbieter-Clients — Wenn Sie Tools verwenden, die den Zugriff mit IAM Identity Center nicht unterstützen, z. B. AWS Drittanbieter-Clients oder Anbieter, die nicht auf gehostet werden AWS, verwenden Sie langfristige IAM-Benutzerzugriffsschlüssel.

  • AWS CodeCommit Zugriff — Wenn Sie Ihren Code CodeCommit zum Speichern verwenden, können Sie einen IAM-Benutzer mit SSH-Schlüsseln oder dienstspezifischen Anmeldeinformationen verwenden, um sich bei Ihren Repositorys CodeCommit zu authentifizieren. Wir empfehlen Ihnen, dies zusätzlich zu einem Benutzer im IAM Identity Center für die normale Authentifizierung zu verwenden. Benutzer in IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre oder Ihre AWS-Konten Cloud-Anwendungen benötigen. Um Benutzern Zugriff auf Ihre CodeCommit Repositorys zu gewähren, ohne IAM-Benutzer zu konfigurieren, können Sie das Hilfsprogramm konfigurieren. git-remote-codecommit Weitere Informationen zu IAM und CodeCommit finden Sie unter. Anmeldeinformationen für CodeCommit: Git-Anmeldeinformationen, SSH-Schlüssel und AWS-Zugriffsschlüssel Weitere Informationen zur Konfiguration des git-remote-codecommit Dienstprogramms finden Sie im AWS CodeCommit Benutzerhandbuch unter Herstellen einer Verbindung zu AWS CodeCommit Repositorys mit wechselnden Anmeldeinformationen.

  • Zugriff auf Amazon Keyspaces (für Apache Cassandra) – In einer Situation, in der Sie Benutzer im IAM Identity Center nicht verwenden können, z. B. zu Testzwecken für die Cassandra-Kompatibilität, können Sie einen IAM-Benutzer mit dienstspezifischen Anmeldeinformationen verwenden, um sich bei Amazon Keyspaces zu authentifizieren. Benutzer in IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre AWS-Konten oder Ihre Cloud-Anwendungen benötigen. Sie können auch mithilfe temporärer Anmeldeinformationen eine Verbindung zu Amazon Keyspaces herstellen. Weitere Informationen finden Sie unter Verwendung temporärer Anmeldeinformationen für die Verbindung zu Amazon Keyspaces mithilfe einer IAM-Rolle und des SigV4-Plugins im Amazon Keyspaces (für Apache Cassandra)-Entwicklerhandbuch.

Befolgen Sie bewährte Methoden zum Schutz Ihrer Root-Benutzer-Anmeldedaten

Wenn Sie eine erstellen AWS-Konto, richten Sie Root-Benutzeranmeldedaten ein, um sich bei der AWS Management Console anzumelden. Schützen Sie Ihre Root-Benutzeranmeldeinformationen auf die gleiche Weise wie andere vertrauliche persönliche Daten. Weitere Informationen zur Sicherung und Skalierung Ihrer Root-Benutzer-Prozesse finden Sie unter Bewährte Methoden für Root-Benutzer für Ihren AWS-Konto.

Gewähren Sie die geringsten Berechtigungen

Gewähren Sie die Berechtigungen mit IAM Richtlinien nur die zum Ausführen einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Sie können mit umfassenden Berechtigungen beginnen, während Sie die für Ihren Workload oder Anwendungsfall erforderlichen Berechtigungen untersuchen. Mit zunehmender Reife Ihres Anwendungsfalls können Sie daran arbeiten, die Berechtigungen zu reduzieren, die Sie gewähren, um auf die geringsten Berechtigungen hinzuarbeiten. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in AWS Identity and Access Management.

Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten

Um Ihren Benutzern und Workloads Berechtigungen zu gewähren, verwenden Sie die AWS -verwaltete Richtlinien die Berechtigungen für viele häufige Anwendungsfälle gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle Kunden verfügbar sind. AWS Daher empfehlen wir Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die spezifisch auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien. Weitere Informationen zu AWS verwalteten Richtlinien, die für bestimmte Aufgabenbereiche konzipiert sind, finden Sie unter. AWS verwaltete Richtlinien für Jobfunktionen

Verwenden Sie IAM Access Analyzer, um Richtlinien für die geringste Berechtigung basierend auf der Zugriffsaktivität zu generieren

Um nur die zum Ausführen einer Aufgabe erforderlichen Berechtigungen zu erteilen, können Sie Richtlinien auf der Grundlage Ihrer in AWS CloudTrail protokollierten Zugriffsaktivitäten erstellen. IAM Access Analyzer analysiert die Dienste und Aktionen, die Ihre IAM-Rollen verwenden, und generiert dann eine fein abgestimmte Richtlinie, die Sie verwenden können. Nachdem Sie jede generierte Richtlinie getestet haben, können Sie die Richtlinie in Ihrer Produktionsumgebung bereitstellen. Dadurch wird sichergestellt, dass Sie nur die erforderlichen Berechtigungen für Ihre Workloads gewähren. Weitere Informationen zur Richtlinienerstellung finden Sie unter IAM Access Analyzer Richtlinienerstellung.

Überprüfen und entfernen Sie regelmäßig nicht verwendete Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen

Möglicherweise haben Sie IAM-Benutzer, -Rollen, -Berechtigungen, -Richtlinien oder -Berechtigungsnachweise, die Sie in Ihrem AWS-Konto nicht mehr benötigen. IAM stellt Informationen zum letzten Zugriff zur Verfügung, mit deren Hilfe Sie Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen identifizieren können, die Sie nicht mehr benötigen, damit Sie sie entfernen können. Auf diese Weise können Sie die Anzahl der Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen, die Sie überwachen müssen, reduzieren. Sie können diese Informationen auch dazu verwenden, Ihre IAM-Richtlinien so zu verfeinern, sodass sie die Berechtigungen mit den geringsten Berechtigungen besser einhalten. Weitere Informationen finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der Informationen zum letzten Zugriff.

Verwenden Sie Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken

Sie können die Bedingungen angeben, unter denen eine Richtlinienanweisung wirksam ist. Auf diese Weise können Sie Zugriff auf Aktionen und Ressourcen gewähren, jedoch nur, wenn die Zugriffsanfrage bestimmte Bedingungen erfüllt. Sie können beispielsweise eine Richtlinienbedingung schreiben, um anzugeben, dass alle Anfragen mit TLS gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, aber nur, wenn sie über eine bestimmte Bedingung verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Condition.

Überprüfen Sie den öffentlichen und kontoübergreifenden Zugriff auf Ressourcen mit IAM Access Analyzer

Bevor Sie Berechtigungen für den öffentlichen oder kontoübergreifenden Zugriff in gewähren AWS, empfehlen wir Ihnen, zu überprüfen, ob ein solcher Zugriff erforderlich ist. Sie können IAM Access Analyzer verwenden, um eine Vorschau und Analyse des öffentlichen und kontoübergreifenden Zugriffs für unterstützte Ressourcentypen zu erhalten. Sie tun dies, indem Sie die Befunde überprüfen, die IAM Access Analyzer generiert. Mithilfe dieser Ergebnisse können Sie überprüfen, ob Ihre Ressourcenzugriffskontrollen den erwarteten Zugriff gewähren. Wenn Sie öffentliche und kontoübergreifende Berechtigungen aktualisieren, können Sie außerdem die Auswirkungen Ihrer Änderungen überprüfen, bevor Sie neue Zugriffskontrollen für Ihre Ressourcen bereitstellen. IAM Access Analyzer überwacht außerdem kontinuierlich unterstützte Ressourcentypen und generiert eine Suche nach Ressourcen, die einen öffentlichen oder kontoübergreifenden Zugriff ermöglichen. Weitere Informationen finden Sie unter Zugriffsvorschau mit IAM Access Analyzer. APIs

Verwenden Sie IAM Access Analyzer, um Ihre IAM-Richtlinien zu validieren und sichere und funktionale Berechtigungen zu gewährleisten

Validieren Sie die Richtlinien, die Sie erstellen, um sicherzustellen, dass sie der IAM-Richtliniensprache (JSON) und den bewährten Methoden von IAM entsprechen. Sie können Ihre Richtlinien mithilfe der Richtlinienvalidierung von IAM Access Analyzer validieren. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Während Sie neue Richtlinien erstellen oder bestehende Richtlinien in der Konsole bearbeiten, bietet IAM Access Analyzer Empfehlungen, die Ihnen helfen, Ihre Richtlinien zu verfeinern und zu validieren, bevor Sie sie speichern. Zusätzlich empfehlen wir Ihnen, alle Ihre bestehenden Richtlinien zu überprüfen und zu validieren. Weitere Informationen finden Sie unter IAM Access Analyzer Richtlinienvalidierung. Weitere Informationen zu den von IAM Access Analyzer bereitgestellten Richtlinienprüfungen finden Sie unter Referenz für Richtlinienprüfungen zu IAM Access Analyzer.

Richten Sie den Berechtigungs-Integritätsschutz für mehrere Konten ein

Wenn Sie Ihre Workloads skalieren, trennen Sie sie voneinander, indem Sie mehrere Konten verwenden, die mit verwaltet werden. AWS Organizations Wir empfehlen Ihnen, mithilfe der Servicesteuerungsrichtlinien für Organizations (SCPs) Zugangsberechtigungen festzulegen, mit denen Sie den Zugriff für alle Schulleiter (IAM-Rollen und -Benutzer) in Ihren Konten kontrollieren können. Es wird empfohlen, die Ressourcenkontrollrichtlinien von Organizations (RCPs) zu verwenden, um Richtlinien für Berechtigungen festzulegen, mit denen der Zugriff auf AWS Ressourcen in Ihrer gesamten Organisation gesteuert werden kann. SCPs und RCPs sind Arten von Organisationsrichtlinien, mit denen Sie Berechtigungen in Ihrer Organisation auf Organisations-, AWS Organisationseinheit- oder Kontoebene verwalten können.

SCPs Und RCPs allein reichen jedoch nicht aus, um Prinzipalen und Ressourcen in Ihrer Organisation Berechtigungen zu erteilen. Von SCPs und RCPs werden keine Berechtigungen erteilt. Um Berechtigungen zu gewähren, müssen Sie IAM-Benutzern, IAM-Rollen oder den Ressourcen in Ihren Konten identitäts- oder ressourcenbasierte Richtlinien zuordnen. Weitere Informationen finden Sie unter SRA-Bausteine — AWS Organizations, Konten und Leitplanken.

Verwenden Sie Berechtigungsgrenzen, um die Berechtigungsverwaltung innerhalb eines Kontos zu delegieren

In einigen Szenarios kann es sinnvoll sein, die Berechtigungsverwaltung innerhalb eines Kontos an andere zu delegieren. Sie könnten Entwicklern beispielsweise ermöglichen, Rollen für ihre Workloads zu erstellen und zu verwalten. Wenn Sie Berechtigungen an andere delegieren, verwenden Sie Berechtigungsgrenzen, um die maximalen Berechtigungen festzulegen, die Sie delegieren. Eine Berechtigungsgrenze ist ein erweitertes Feature, bei der Sie eine verwaltete Richtlinie verwenden, um die maximalen Berechtigungen festzulegen, die eine identitätsbasierte Richtlinie einer IAM-Rolle gewähren kann. Eine Berechtigungsgrenze gewährt selbst keine Berechtigungen. Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten.