AWS Richtlinien für Sicherheitsaudits - AWS Identitäts- und Zugriffsverwaltung
Wann sollte eine Sicherheitsprüfung durchgeführt werden?Richtlinien für die SicherheitsprüfungÜberprüfen Sie Ihre AWS KontoanmeldedatenÜberprüfen Ihrer IAM-BenutzerÜberprüfen Ihrer IAM-GruppenÜberprüfen Ihrer IAM-RollenÜberprüfen Sie Ihre IAM Anbieter für SAML und OpenID Connect () OIDCÜberprüfen Ihrer mobilen AppsTipps für die Überprüfung der IAM-Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

AWS Richtlinien für Sicherheitsaudits

Überprüfen Sie Ihre Sicherheitskonfiguration regelmäßig, um sich zu vergewissern, dass diese Ihren aktuellen geschäftlichen Anforderungen genügt. Ein Audit bietet Ihnen die Möglichkeit, nicht benötigte IAM Benutzer, Rollen, Gruppen und Richtlinien zu entfernen und sicherzustellen, dass Ihre Benutzer und Software nicht über zu viele Berechtigungen verfügen.

Im Folgenden finden Sie Richtlinien für die systematische Überprüfung und Überwachung Ihrer AWS Ressourcen im Hinblick auf bewährte Sicherheitsverfahren.

Tipp

Sie können Ihre Nutzung von IAM in Bezug auf bewährte Sicherheitsmethoden überwachen, indem Sie AWS Security Hub Security Hub verwendet Sicherheitskontrollen für die Bewertung von Ressourcenkonfigurationen und Sicherheitsstandards, um Sie bei der Einhaltung verschiedener Compliance-Frameworks zu unterstützen. Weitere Informationen zur Verwendung von Security Hub zur Bewertung von IAM Ressourcen finden Sie unter AWS Identity and Access Management-Kontrollen im AWS Security Hub Benutzerhandbuch.

Wann sollte eine Sicherheitsprüfung durchgeführt werden?

Überprüfen Sie Ihre Sicherheitskonfiguration in den folgenden Situatione:

  • In regelmäßigen Abständen. Führen Sie als bewährte Sicherheitsmethode die in diesem Dokument beschriebenen Schritte in regelmäßigen Abständen durch.

  • Wenn es in Ihrer Organisation Veränderungen gibt, z. B. Personen sie verlassen.

  • Wenn Sie die Nutzung eines oder mehrerer einzelner AWS Dienste eingestellt haben, um zu überprüfen, ob Sie Berechtigungen entfernt haben, die Benutzer in Ihrem Konto nicht mehr benötigen.

  • Wenn Sie Software zu Ihren Konten hinzugefügt oder entfernt haben, z. B. Anwendungen auf EC2 Amazon-Instances, AWS OpsWorks Stacks, AWS CloudFormation Vorlagen usw.

  • Wenn Sie vermuten, dass eine unberechtigte Person auf Ihr Konto zugegriffen hat.

Richtlinien für die Sicherheitsprüfung

Befolgen Sie bei der Prüfung der Sicherheitskonfiguration Ihres Kontos die folgenden Richtlinien:

  • Seien Sie gründlich. Sehen Sie sich alle Aspekte der Sicherheitskonfiguration an, einschließlich der Funktionen, die selten verwendet verwenden.

  • Stellen Sie keine Annahmen an. Wenn Sie mit bestimmten Aspekten Ihrer Sicherheitskonfiguration nicht vertraut sind (z. B. den Grund für eine bestimmte Richtlinie oder Rolle nicht kennen), gehen Sie der geschäftlichen Anforderung nach, bis Sie das potenzielle Risiko kennen.

  • Halten Sie die Dinge einfach. Verwenden Sie IAM Gruppen, IAM Rollen, einheitliche Benennungsschemata und einfache Richtlinien, um die Prüfung (und Verwaltung) zu vereinfachen.

Überprüfen Sie Ihre AWS Kontoanmeldedaten

Gehen Sie wie folgt vor, wenn Sie Ihre AWS Kontoanmeldedaten überprüfen:

  1. Wenn Sie die Zugriffsschlüssel für Ihren Root-Benutzer nicht verwenden, können Sie sie entfernen. Wir empfehlen dringend, für die tägliche Arbeit keine Root-Zugangsschlüssel zu verwenden AWS, sondern stattdessen Benutzer mit temporären Anmeldeinformationen zu verwenden, Benutzer im AWS IAM Identity Center z.

  2. Wenn Sie Zugriffsschlüssel für Ihr Konto benötigen, stellen Sie sicher, dass Sie diese bei Bedarf aktualisieren.

Überprüfen Ihrer IAM-Benutzer

Gehen Sie wie folgt vor, wenn Sie Ihre bestehenden IAM Benutzer überprüfen:

  1. Listen Sie Ihre Benutzer auf und löschen Sie dann Benutzer, die nicht notwendig sind.

  2. Entfernen Sie Benutzer aus Gruppen, auf die sie keinen Zugriff benötigen.

  3. Überprüfen Sie die Richtlinien, die den Gruppen zugewiesen sind, denen der Benutzer angehört. Siehe Tipps für die Überprüfung der IAM-Richtlinien.

  4. Löschen Sie die Sicherheitsanmeldeinformationen, die der Benutzer nicht benötigt oder die möglicherweise kompromittiert wurden. Beispielsweise benötigt ein IAM Benutzer, der für eine Anwendung verwendet wird, kein Passwort (das nur für die Anmeldung auf AWS Websites erforderlich ist). Analog dazu gilt: Wenn ein Benutzer keine Zugriffsschlüssel verwendet, gibt es keinen Grund, dass er welche haben muss. Weitere Informationen finden Sie unter Passwörter für IAM Benutzer verwalten und Zugriffsschlüssel für IAM Benutzer verwalten.

    Sie können einen Bericht mit Anmeldeinformationen erstellen und herunterladen, der alle IAM Benutzer in Ihrem Konto sowie den Status ihrer verschiedenen Anmeldeinformationen, einschließlich Kennwörtern, Zugriffsschlüsseln und MFA Geräten, auflistet. Für Passwörter und Zugriffsschlüssel zeigt der Bericht zu den Anmeldeinformationen an, wann das Passwort oder der Zugriffsschlüssel zuletzt verwendet wurde. Erwägen Sie, Anmeldeinformationen, die in letzter Zeit nicht verwendet wurden, von Ihrem Konto zu entfernen. (Entfernen Sie Ihren Benutzer für den Notfallzugriff nicht.) Weitere Informationen finden Sie unter Berichte über Anmeldeinformationen für Ihr AWS Konto abrufen.

  5. Aktualisieren Sie Passwörter und Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern. Weitere Informationen finden Sie unter Passwörter für IAM Benutzer verwalten und Zugriffsschlüssel für IAM Benutzer verwalten.

  6. Als bewährte Methode sollten menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter verwenden. Wechseln Sie nach Möglichkeit von IAM Benutzern zu Verbundbenutzern, z. B. zu Benutzern in IAM Identity Center. Behalten Sie die Mindestanzahl von IAM Benutzern bei, die für Ihre Anwendungen erforderlich ist.

Überprüfen Ihrer IAM-Gruppen

Gehen Sie bei der Prüfung Ihrer IAM Gruppen wie folgt vor:

  1. Listen Sie Ihre Gruppen auf und löschen Sie dann Gruppen, die Sie nicht verwenden.

  2. Überprüfen Sie die Benutzer in den einzelnen Gruppen und entfernen Sie die Benutzer, die dort nicht hingehören.

  3. Überprüfen Sie die Richtlinien für die Gruppe. Siehe Tipps für die Überprüfung der IAM-Richtlinien.

Überprüfen Ihrer IAM-Rollen

Gehen Sie bei der Prüfung Ihrer IAM Rollen wie folgt vor:

  1. Listen Sie Ihre Rollen auf und löschen Sie dann Rollen, die Sie nicht verwenden.

  2. Überprüfen Sie die Vertrauensrichtlinie der Rolle. Stellen Sie sicher, dass Sie wissen, wer der Prinzipal ist und warum das Konto bzw. der Benutzer dieser Rolle zugeordnet werden muss.

  3. Überprüfen Sie die Zugriffsrichtlinie der Rolle, um sicherzugehen, dass der Person, die diese Rolle übernimmt, die richtigen Berechtigungen gewährt werden – siehe Tipps für die Überprüfung der IAM-Richtlinien.

Überprüfen Sie Ihre IAM Anbieter für SAML und OpenID Connect () OIDC

Wenn Sie eine IAM Entität erstellt haben, um Vertrauen mit einem SAMLOIDCIdentitätsanbieter (IdP) aufzubauen, gehen Sie wie folgt vor:

  1. Löschen Sie unbenutzte Anbieter.

  2. Laden Sie die AWS Metadatendokumente für jeden SAML IdP herunter, überprüfen Sie sie und stellen Sie sicher, dass die Dokumente Ihren aktuellen Geschäftsanforderungen entsprechen.

  3. Holen Sie sich die neuesten Metadatendokumente von SAML IdPs und aktualisieren Sie den Anbieter in IAM.

Überprüfen Ihrer mobilen Apps

Wenn Sie eine mobile App erstellt haben, die Anfragen an stellt AWS, gehen Sie wie folgt vor:

  1. Stellen Sie sicher, dass die mobile App keine eingebetteten Zugriffsschlüssel enthält, auch nicht in verschlüsseltem Speicher.

  2. Holen Sie sich temporäre Anmeldeinformationen für die App, indem Sie die APIs speziell für diesen Zweck entwickelte App verwenden.

Anmerkung

Wir empfehlen die Verwendung von Amazon Cognito zum Verwalten von Benutzeridentitäten in Ihrer App. Mit diesem Service können Sie Benutzer mithilfe von Login with Amazon, Facebook, Google oder einem anderen OpenID Connect (OIDC) -kompatiblen Identitätsanbieter authentifizieren. Weitere Informationen finden Sie unter Amazon-Cognito-Identitätspools im Amazon-Cognito-Entwicklerhandbuch.

Tipps für die Überprüfung der IAM-Richtlinien

Die Richtlinien sind sehr wirkungsvoll und nuanciert. Deshalb ist es wichtig, die Berechtigungen genau zu kennen, die von jeder Richtlinie gewährt werden. Beachten Sie die folgenden Hinweise, wenn Sie Ihre Richtlinien überprüfen:

  • Ordnen Sie Richtlinien Gruppen oder Rollen zu, anstatt einzelnen Benutzern. Wenn ein einzelner Benutzer über eine Richtlinie verfügt, müssen Sie nachvollziehen können, warum der Benutzer die Richtlinie benötigt.

  • Stellen Sie sicher, dass IAM Benutzer, Gruppen und Rollen über die Berechtigungen verfügen, die sie benötigen, und dass sie keine zusätzlichen Berechtigungen haben.

  • Verwenden Sie den IAMRichtliniensimulator, um Richtlinien zu testen, die Benutzern oder Gruppen zugewiesen sind.

  • Denken Sie daran, dass die Berechtigungen eines Benutzers das Ergebnis aller geltenden Richtlinien sind — sowohl identitätsbasierte Richtlinien (für Benutzer, Gruppen oder Rollen) als auch ressourcenbasierte Richtlinien (für Ressourcen wie Amazon S3 S3-Buckets, SQS Amazon-Warteschlangen, Amazon-Themen und Schlüssel). SNS AWS KMS Es ist wichtig, alle für einen Benutzer geltenden Richtlinien zu untersuchen und zu wissen, welche Berechtigungen einem einzelnen Benutzer gewährt wurden.

  • Beachten Sie, dass einem Benutzer die Möglichkeit gegeben wird, einen IAM Benutzer, eine Gruppe, eine Rolle oder eine Richtlinie zu erstellen und der Prinzipalentität eine Richtlinie zuzuweisen, diesem Benutzer tatsächlich alle Berechtigungen für alle Ressourcen in Ihrem Konto gewährt. Benutzer, die Richtlinien erstellen und sie einem Benutzer, einer Gruppe oder einer Rolle zuweisen dürfen, können sich auch selbst beliebige Berechtigungen erteilen. Im Allgemeinen sollten Sie Benutzern oder Rollen, denen Sie nicht vertrauen, keine IAM Berechtigungen gewähren und denen Sie nicht den vollen Zugriff auf die Ressourcen in Ihrem Konto gewähren. Stellen Sie bei der Durchführung Ihrer Sicherheitsüberprüfung sicher, dass vertrauenswürdigen Identitäten die folgenden IAM Berechtigungen gewährt werden:

    • iam:PutGroupPolicy

    • iam:PutRolePolicy

    • iam:PutUserPolicy

    • iam:CreatePolicy

    • iam:CreatePolicyVersion

    • iam:AttachGroupPolicy

    • iam:AttachRolePolicy

    • iam:AttachUserPolicy

  • Stellen Sie sicher, dass Richtlinien keine Zugriffsberechtigungen für Services erteilen, die Sie nicht nutzen. Wenn Sie beispielsweise AWS verwaltete Richtlinien verwenden, stellen Sie sicher, dass die AWS verwalteten Richtlinien, die in Ihrem Konto verwendet werden, für Dienste gelten, die Sie tatsächlich nutzen. Um herauszufinden, welche AWS verwalteten Richtlinien in Ihrem Konto verwendet werden, verwenden Sie den IAM GetAccountAuthorizationDetailsAPI(AWS CLI Befehl: aws iam get-account-authorization-details).

  • Wenn die Richtlinie einem Benutzer die Erlaubnis erteilt, eine EC2 Amazon-Instance zu starten, kann sie die iam:PassRole Aktion auch zulassen, aber wenn ja, sollte sie explizit die Rollen auflisten, die der Benutzer an die EC2 Amazon-Instance übergeben kann.

  • Überprüfen Sie alle Werte für das Action- oder Resource-Element, die * enthalten. Gewähren Sie nach Möglichkeit Allow-Zugriff auf die einzelnen Aktionen und Ressourcen, die Benutzer benötigen. Im Folgenden sind jedoch einige Gründe aufgeführt, warum es angemessen sein kann, * in einer Richtlinie zu verwenden:

    • Die Richtlinie erteilt administrative Berechtigungen.

    • Das Platzhalterzeichen wird der Einfachheit halber für eine Reihe ähnlicher Aktionen verwendet (z. B. Describe*). Sie sollten alle Aktionen kennen, die auf diese Weise referenziert werden.

    • Das Platzhalterzeichen wird verwendet, um eine Klasse von Ressourcen oder einen Ressourcenpfad anzugeben (z. B. arn:aws:iam::account-id:users/division_abc/*). Sie können Zugriff auf alle Ressourcen in dieser Klasse oder in diesem Pfad erteilen.

    • Ein Serviceaktion unterstützt keine Berechtigungen auf Ressourcenebene. Die einzige Wahl für eine Ressource ist *.

  • Prüfen Sie die Richtliniennamen, um sicherzustellen, dass sie den Zweck der Richtlinie wiedergeben. So könnte beispielsweise eine Richtlinie einen Namen haben, der "schreibgeschützt" enthält, tatsächlich gewährt sie jedoch Schreib- oder Änderungsrechte.

Weitere Informationen zur Planung Ihres Sicherheitsaudits finden Sie unter Bewährte Methoden für Sicherheit, Identität und Compliance im AWS Architecture Center.