Bewährte Methoden für die Sicherheit in IAM - AWS Identitäts- und Zugriffsverwaltung
Erfordern Sie menschliche Benutzer, einen Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären AWS Anmeldeinformationen darauf zuzugreifenErfordern Sie, dass Workloads für den Zugriff temporäre Anmeldeinformationen mit IAM-Rollen verwenden AWSVerlangt eine Multi-Faktor-Authentifizierung (MFA)Aktualisieren Sie Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordernBefolgen Sie bewährte Methoden zum Schutz Ihrer Root-Benutzer-AnmeldedatenGewähren Sie die geringsten BerechtigungenBeginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten RechtenVerwenden Sie IAM Access Analyzer, um Richtlinien für die geringste Berechtigung basierend auf der Zugriffsaktivität zu generierenÜberprüfen und entfernen Sie regelmäßig nicht verwendete Benutzer, Rollen, Berechtigungen, Richtlinien und AnmeldeinformationenVerwenden Sie Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränkenÜberprüfen Sie den öffentlichen und kontoübergreifenden Zugriff auf Ressourcen mit IAM Access AnalyzerVerwenden Sie IAM Access Analyzer, um Ihre IAM-Richtlinien zu validieren und sichere und funktionale Berechtigungen zu gewährleistenRichten Sie den Berechtigungs-Integritätsschutz für mehrere Konten einVerwenden Sie Berechtigungsgrenzen, um die Berechtigungsverwaltung innerhalb eines Kontos zu delegieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit in IAM

Die AWS Identity and Access Management Best Practices wurden am 14. Juli 2022 aktualisiert.

Folgen Sie diesen Best Practices für AWS Identity and Access Management (IAM), um Ihre AWS Ressourcen zu schützen.

Erfordern Sie menschliche Benutzer, einen Verbund mit einem Identitätsanbieter zu verwenden, um mit temporären AWS Anmeldeinformationen darauf zuzugreifen

Menschliche Benutzer, auch bekannt als menschliche Identitäten, sind die Personen, Administratoren, Entwickler, Betreiber und Verbraucher Ihrer Anwendungen. Sie müssen über eine Identität verfügen, um auf Ihre AWS Umgebungen und Anwendungen zugreifen zu können. Menschliche Benutzer, die Mitglieder Ihrer Organisation sind, werden auch als Mitarbeiteridentitäten bezeichnet. Menschliche Benutzer können auch externe Benutzer sein, mit denen Sie zusammenarbeiten und die mit Ihren AWS -Ressourcen interagieren. Sie können dies über einen Webbrowser, eine Client-Anwendung, eine mobile App oder interaktive Befehlszeilentools tun.

Erfordern Sie von Ihren menschlichen Benutzern, beim Zugriff temporäre Anmeldeinformationen zu verwenden AWS. Sie können einen Identitätsanbieter für Ihre menschlichen Benutzer verwenden, um Verbundzugriff zu gewähren, AWS-Konten indem Sie Rollen übernehmen, die temporäre Anmeldeinformationen bereitstellen. Für eine zentrale Zugriffsverwaltung empfehlen wir Ihnen die Verwendung von AWS IAM Identity Center (IAM Identity Center), um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Sie können Ihre Benutzeridentitäten mit IAM Identity Center verwalten oder Zugriffsberechtigungen für Benutzeridentitäten in IAM Identity Center von einem externen Identitätsanbieter verwalten. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center? im AWS IAM Identity Center -Benutzerhandbuch.

Weitere Informationen zu Rollen finden Sie unter Rollenbegriffe und -konzepte.

Erfordern Sie, dass Workloads für den Zugriff temporäre Anmeldeinformationen mit IAM-Rollen verwenden AWS

Ein Workload ist eine Sammlung von Ressourcen und Code, die einen geschäftlichen Nutzen erbringen, z. B. eine Anwendung oder ein Backend-Prozess. Ihre Workload kann Anwendungen, Betriebstools und Komponenten enthalten, die eine Identität erfordern, um Anforderungen an AWS-Services​​zu stellen, z. B. Anforderungen zum Lesen von Daten. Zu diesen Identitäten gehören Maschinen, die in Ihren AWS Umgebungen ausgeführt werden, z. B. Amazon EC2 EC2-Instances oder AWS Lambda -Funktionen.

Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Um Zugriff auf Maschinenidentitäten zu gewähren, können Sie IAM-Rollen verwenden. IAM-Rollen verfügen über spezifische Berechtigungen und ermöglichen den Zugriff, AWS indem sie sich bei einer Rollensitzung auf temporäre Sicherheitsanmeldedaten verlassen. Darüber hinaus benötigen möglicherweise Computer außerhalb AWS dieser Systeme Zugriff auf Ihre AWS Umgebungen. Für Maschinen, die außerhalb von AWS Ihnen laufen, können Sie AWS Identity and Access Management Roles Anywhere verwenden. Weitere Informationen zu Rollen finden Sie unter IAM-Rollen. Einzelheiten dazu, wie Sie Rollen verwenden können, um den Zugriff an andere zu delegieren AWS-Konten, finden Sie unterTutorial: Delegieren des Zugriffs in allen AWS -Konten mithilfe von IAM-Rollen.

Verlangt eine Multi-Faktor-Authentifizierung (MFA)

Wir empfehlen die Verwendung von IAM-Rollen für menschliche Benutzer und Workloads, die auf Ihre AWS -Ressourcen zugreifen, damit diese temporäre Anmeldeinformationen verwenden. Für Szenarien, in denen Sie IAM-Benutzer oder Root-Benutzer in Ihrem Konto benötigen, benötigen Sie jedoch MFA für zusätzliche Sicherheit. Mit MFA verfügen Benutzer über ein System, das eine Antwort auf eine Authentifizierungsaufgabe generiert. Die Anmeldeinformationen und die vom Gerät generierte Antwort jedes Benutzers sind erforderlich, um den Anmeldevorgang abzuschließen. Weitere Informationen finden Sie unter Verwendung der Multi-Faktor-Authentifizierung (MFA) in AWS.

Wenn Sie IAM Identity Center für die zentrale Zugriffsverwaltung für menschliche Benutzer verwenden, können Sie die MFA-Funktionen von IAM Identity Center verwenden, wenn Ihre Identitätsquelle mit dem IAM Identity Center-Identitätsspeicher, AWS Managed Microsoft AD oder AD Connector konfiguriert ist. Weitere Informationen über MFA in IAM Identity Center finden Sie unter Verwenden der Multi-Faktor-Authentifizierung (MFA) im AWS IAM Identity Center -Benutzerhandbuch.

Aktualisieren Sie Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern

Wenn möglich, empfehlen wir, sich auf temporäre Anmeldeinformationen zu verlassen, anstatt langfristige Anmeldeinformationen wie Zugriffsschlüssel zu erstellen. Für Szenarien, in denen Sie IAM-Benutzer mit programmgesteuertem Zugriff und langfristigen Anmeldeinformationen benötigen, empfehlen wir Ihnen jedoch, die Zugriffsschlüssel bei Bedarf zu aktualisieren, beispielsweise wenn ein Mitarbeiter Ihr Unternehmen verlässt. Wir empfehlen, dass Sie IAM-Zugriff auf zuletzt verwendete Informationen verwenden, um Zugriffsschlüssel sicher zu aktualisieren und zu entfernen. Weitere Informationen finden Sie unter Aktualisierung der Zugriffsschlüssel.

Es gibt spezielle Anwendungsfälle, die langfristige Anmeldeinformationen mit IAM-Benutzern in AWS erfordern. Einige der Anwendungsfälle umfassen Folgendes:

  • Workloads, die IAM-Rollen nicht verwenden können – Sie könnten einen Workload von einem Speicherort ausführen, der auf AWS zugreifen muss. In einigen Situationen können Sie IAM-Rollen nicht verwenden, um temporäre Anmeldeinformationen bereitzustellen, z. B. für Plugins. WordPress Verwenden Sie in diesen Situationen langfristige IAM-Benutzerzugriffsschlüssel für diesen Workload, um sich bei AWS zu authentifizieren.

  • AWS Drittanbieter-Clients — Wenn Sie Tools verwenden, die den Zugriff mit IAM Identity Center nicht unterstützen, z. B. AWS Drittanbieter-Clients oder Anbieter, die nicht auf gehostet werden AWS, verwenden Sie langfristige IAM-Benutzerzugriffsschlüssel.

  • AWS CodeCommit Zugriff — Wenn Sie Ihren Code CodeCommit zum Speichern verwenden, können Sie einen IAM-Benutzer mit SSH-Schlüsseln oder dienstspezifischen Anmeldeinformationen verwenden, um sich bei Ihren Repositorys CodeCommit zu authentifizieren. Wir empfehlen Ihnen, dies zusätzlich zu einem Benutzer im IAM Identity Center für die normale Authentifizierung zu verwenden. Benutzer in IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre oder Ihre AWS-Konten Cloud-Anwendungen benötigen. Um Benutzern Zugriff auf Ihre CodeCommit Repositorys zu gewähren, ohne IAM-Benutzer zu konfigurieren, können Sie das Hilfsprogramm konfigurieren. git-remote-codecommit Weitere Informationen zu IAM und CodeCommit finden Sie unter. Verwenden von IAM mit CodeCommit: Git-Anmeldeinformationen, SSH-Schlüsseln und AWS Zugriffsschlüsseln Weitere Informationen zur Konfiguration des git-remote-codecommit Dienstprogramms finden Sie im AWS CodeCommit Benutzerhandbuch unter Herstellen einer Verbindung zu AWS CodeCommit Repositorys mit wechselnden Anmeldeinformationen.

  • Zugriff auf Amazon Keyspaces (für Apache Cassandra) – In einer Situation, in der Sie Benutzer im IAM Identity Center nicht verwenden können, z. B. zu Testzwecken für die Cassandra-Kompatibilität, können Sie einen IAM-Benutzer mit dienstspezifischen Anmeldeinformationen verwenden, um sich bei Amazon Keyspaces zu authentifizieren. Benutzer in IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre AWS-Konten oder Ihre Cloud-Anwendungen benötigen. Sie können auch mithilfe temporärer Anmeldeinformationen eine Verbindung zu Amazon Keyspaces herstellen. Weitere Informationen finden Sie unter Verwendung temporärer Anmeldeinformationen für die Verbindung zu Amazon Keyspaces mithilfe einer IAM-Rolle und des SigV4-Plugins im Amazon Keyspaces (für Apache Cassandra)-Entwicklerhandbuch.

Befolgen Sie bewährte Methoden zum Schutz Ihrer Root-Benutzer-Anmeldedaten

Wenn Sie eine erstellen AWS-Konto, richten Sie Root-Benutzeranmeldedaten ein, um sich bei der AWS Management Console anzumelden. Schützen Sie Ihre Root-Benutzeranmeldeinformationen auf die gleiche Weise wie andere vertrauliche persönliche Daten. Weitere Informationen zur Sicherung und Skalierung Ihrer Root-Benutzer-Prozesse finden Sie unter Bewährte Methoden für Root-Benutzer für Ihren AWS-Konto.

Gewähren Sie die geringsten Berechtigungen

Gewähren Sie die Berechtigungen mit IAM Richtlinien nur die zum Ausführen einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Sie können mit umfassenden Berechtigungen beginnen, während Sie die für Ihren Workload oder Anwendungsfall erforderlichen Berechtigungen untersuchen. Mit zunehmender Reife Ihres Anwendungsfalls können Sie daran arbeiten, die Berechtigungen zu reduzieren, die Sie gewähren, um auf die geringsten Berechtigungen hinzuarbeiten. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Berechtigungen und Richtlinien in IAM.

Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten

Um Ihren Benutzern und Workloads Berechtigungen zu gewähren, verwenden Sie die AWS -verwaltete Richtlinien die Berechtigungen für viele häufige Anwendungsfälle gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle Kunden verfügbar sind. AWS Daher empfehlen wir Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die spezifisch auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien. Weitere Informationen zu AWS verwalteten Richtlinien, die für bestimmte Aufgabenbereiche konzipiert sind, finden Sie unter. AWS verwaltete Richtlinien für Jobfunktionen

Verwenden Sie IAM Access Analyzer, um Richtlinien für die geringste Berechtigung basierend auf der Zugriffsaktivität zu generieren

Um nur die zum Ausführen einer Aufgabe erforderlichen Berechtigungen zu erteilen, können Sie Richtlinien auf der Grundlage Ihrer in AWS CloudTrail protokollierten Zugriffsaktivitäten erstellen. IAM Access Analyzer analysiert die Dienste und Aktionen, die Ihre IAM-Rollen verwenden, und generiert dann eine fein abgestimmte Richtlinie, die Sie verwenden können. Nachdem Sie jede generierte Richtlinie getestet haben, können Sie die Richtlinie in Ihrer Produktionsumgebung bereitstellen. Dadurch wird sichergestellt, dass Sie nur die erforderlichen Berechtigungen für Ihre Workloads gewähren. Weitere Informationen zur Richtlinienerstellung finden Sie unter IAM Access Analyzer Richtlinienerstellung.

Überprüfen und entfernen Sie regelmäßig nicht verwendete Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen

Möglicherweise haben Sie IAM-Benutzer, -Rollen, -Berechtigungen, -Richtlinien oder -Berechtigungsnachweise, die Sie in Ihrem AWS-Konto nicht mehr benötigen. IAM stellt Informationen zum letzten Zugriff zur Verfügung, mit deren Hilfe Sie Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen identifizieren können, die Sie nicht mehr benötigen, damit Sie sie entfernen können. Auf diese Weise können Sie die Anzahl der Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen, die Sie überwachen müssen, reduzieren. Sie können diese Informationen auch dazu verwenden, Ihre IAM-Richtlinien so zu verfeinern, sodass sie die Berechtigungen mit den geringsten Berechtigungen besser einhalten. Weitere Informationen finden Sie unter Verfeinerung der Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Verwenden Sie Bedingungen in IAM-Richtlinien, um den Zugriff weiter einzuschränken

Sie können die Bedingungen angeben, unter denen eine Richtlinienanweisung wirksam ist. Auf diese Weise können Sie Zugriff auf Aktionen und Ressourcen gewähren, jedoch nur, wenn die Zugriffsanfrage bestimmte Bedingungen erfüllt. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, aber nur, wenn sie über einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Condition.

Überprüfen Sie den öffentlichen und kontoübergreifenden Zugriff auf Ressourcen mit IAM Access Analyzer

Bevor Sie Berechtigungen für den öffentlichen oder kontoübergreifenden Zugriff in gewähren AWS, empfehlen wir Ihnen, zu überprüfen, ob ein solcher Zugriff erforderlich ist. Sie können IAM Access Analyzer verwenden, um eine Vorschau und Analyse des öffentlichen und kontoübergreifenden Zugriffs für unterstützte Ressourcentypen zu erhalten. Sie tun dies, indem Sie die Befunde überprüfen, die IAM Access Analyzer generiert. Mithilfe dieser Ergebnisse können Sie überprüfen, ob Ihre Ressourcenzugriffskontrollen den erwarteten Zugriff gewähren. Wenn Sie öffentliche und kontoübergreifende Berechtigungen aktualisieren, können Sie außerdem die Auswirkungen Ihrer Änderungen überprüfen, bevor Sie neue Zugriffskontrollen für Ihre Ressourcen bereitstellen. IAM Access Analyzer überwacht außerdem kontinuierlich unterstützte Ressourcentypen und generiert eine Suche nach Ressourcen, die einen öffentlichen oder kontoübergreifenden Zugriff ermöglichen. Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs.

Verwenden Sie IAM Access Analyzer, um Ihre IAM-Richtlinien zu validieren und sichere und funktionale Berechtigungen zu gewährleisten

Validieren Sie die Richtlinien, die Sie erstellen, um sicherzustellen, dass sie der IAM-Richtliniensprache (JSON) und den bewährten Methoden von IAM entsprechen. Sie können Ihre Richtlinien mithilfe der Richtlinienvalidierung von IAM Access Analyzer validieren. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Während Sie neue Richtlinien erstellen oder bestehende Richtlinien in der Konsole bearbeiten, bietet IAM Access Analyzer Empfehlungen, die Ihnen helfen, Ihre Richtlinien zu verfeinern und zu validieren, bevor Sie sie speichern. Zusätzlich empfehlen wir Ihnen, alle Ihre bestehenden Richtlinien zu überprüfen und zu validieren. Weitere Informationen finden Sie unter IAM Access Analyzer Richtlinienvalidierung. Weitere Informationen zu den von IAM Access Analyzer bereitgestellten Richtlinienprüfungen finden Sie unter Referenz für Richtlinienprüfungen zu IAM Access Analyzer.

Richten Sie den Berechtigungs-Integritätsschutz für mehrere Konten ein

Wenn Sie Ihre Workloads skalieren, trennen Sie sie voneinander, indem Sie mehrere Konten verwenden, die mit verwaltet werden. AWS Organizations Wir empfehlen, dass Sie die Service-Kontrollrichtlinien (SCPs) der Organisation verwenden, um den Berechtigungs-Integritätsschutz einzurichten, um den Zugriff für alle IAM-Benutzer und -Rollen in Ihren Konten zu kontrollieren. SCPs sind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation auf Organisations-, OU- oder Kontoebene verwalten können. AWS Der von Ihnen festgelegten Berechtigungs-Integritätsschutz, den Sie einrichten, gilt für alle Benutzer und Rollen innerhalb der abgedeckten Konten. SCPs allein reichen jedoch nicht aus, um den Konten in Ihrer Organisation Berechtigungen zu gewähren. Dazu muss Ihr Administrator identitätsbasierte oder ressourcenbasierte Richtlinien an IAM-Benutzer, IAM-Rollen oder die Ressourcen in Ihren Konten anfügen. Weitere Informationen finden Sie unter AWS Organizations, Konten und IAM-Integritätsschutz.

Verwenden Sie Berechtigungsgrenzen, um die Berechtigungsverwaltung innerhalb eines Kontos zu delegieren

In einigen Szenarios kann es sinnvoll sein, die Berechtigungsverwaltung innerhalb eines Kontos an andere zu delegieren. Sie könnten Entwicklern beispielsweise ermöglichen, Rollen für ihre Workloads zu erstellen und zu verwalten. Wenn Sie Berechtigungen an andere delegieren, verwenden Sie Berechtigungsgrenzen, um die maximalen Berechtigungen festzulegen, die Sie delegieren. Eine Berechtigungsgrenze ist ein erweitertes Feature, bei der Sie eine verwaltete Richtlinie verwenden, um die maximalen Berechtigungen festzulegen, die eine identitätsbasierte Richtlinie einer IAM-Rolle gewähren kann. Eine Berechtigungsgrenze gewährt selbst keine Berechtigungen. Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten.