Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Sicherheit in AWS Device Farm
Cloud-Sicherheit AWS hat höchste Priorität. Als AWS Kunde profitieren Sie von einer Rechenzentrums- und Netzwerkarchitektur, die darauf ausgelegt sind, die Anforderungen der sicherheitssensibelsten Unternehmen zu erfüllen.
Sicherheit ist eine gemeinsame Verantwortung von Ihnen AWS und Ihnen. Das [Modell der geteilten Verantwortung](https://aws.amazon.com/compliance/shared-responsibility-model/) beschreibt dies als Sicherheit *der* Cloud und Sicherheit *in* der Cloud:
+ **Sicherheit der Cloud** — AWS ist verantwortlich für den Schutz der Infrastruktur, die AWS Dienste in der AWS Cloud ausführt. AWS bietet Ihnen auch Dienste, die Sie sicher nutzen können. Externe Prüfer testen und verifizieren regelmäßig die Wirksamkeit unserer Sicherheitsmaßnahmen im Rahmen der [AWS](https://aws.amazon.com/compliance/programs/) . Weitere Informationen zu den geltenden Compliance-Programmen finden Sie unter [AWS-Services in Umfang nach Compliance-Programm](https://aws.amazon.com/compliance/services-in-scope/) . AWS Device Farm
+ **Sicherheit in der Cloud** – Ihr Verantwortungsumfang wird durch den AWS -Dienst bestimmt, den Sie verwenden. Sie sind auch für andere Faktoren verantwortlich, etwa für die Vertraulichkeit Ihrer Daten, für die Anforderungen Ihres Unternehmens und für die geltenden Gesetze und Vorschriften.
Diese Dokumentation hilft Ihnen zu verstehen, wie Sie das Modell der gemeinsamen Verantwortung bei der Verwendung von Device Farm anwenden. In den folgenden Themen erfahren Sie, wie Sie Device Farm konfigurieren, um Ihre Sicherheits- und Compliance-Ziele zu erreichen. Sie erfahren auch, wie Sie andere AWS-Services nutzen können, mit denen Sie Ihre Device Farm Farm-Ressourcen überwachen und sichern können.
**Topics**
+ [Identitäts- und Zugriffsmanagement in AWS Device Farm](security-iam.md)
+ [Konformitätsvalidierung für AWS Device Farm](ATP-compliance.md)
+ [Datenschutz in AWS Device Farm](data-protection.md)
+ [Resilienz in AWS Device Farm](disaster-recovery-resiliency.md)
+ [Infrastruktursicherheit in AWS Device Farm](infrastructure-security.md)
+ [Analyse und Verwaltung von Konfigurationsschwachstellen in Device Farm](security-vulnerability-analysis-and-management.md)
+ [Reaktion auf Vorfälle in Device Farm](security-incident-response.md)
+ [Protokollierung und Überwachung in Device Farm](security-logging-monitoring.md)
+ [Bewährte Sicherheitsmethoden für Device Farm](security-best-practices.md)
# Identitäts- und Zugriffsmanagement in AWS Device Farm
## Zielgruppe
Wie Sie AWS Identity and Access Management (IAM) verwenden, hängt von Ihrer Rolle ab:
+ **Servicebenutzer** – Fordern Sie von Ihrem Administrator Berechtigungen an, wenn Sie nicht auf Features zugreifen können (siehe [Fehlerbehebung bei Identität und Zugriff auf AWS Device Farm](security_iam_troubleshoot.md)).
+ **Serviceadministrator** – Bestimmen Sie den Benutzerzugriff und stellen Sie Berechtigungsanfragen (siehe [So funktioniert AWS Device Farm mit IAM](security_iam_service-with-iam.md)).
+ **IAM-Administrator** – Schreiben Sie Richtlinien zur Zugriffsverwaltung (siehe [Beispiele für identitätsbasierte Richtlinien von AWS Device Farm](security_iam_id-based-policy-examples.md)).
## Authentifizierung mit Identitäten
Authentifizierung ist die Art und Weise, wie Sie sich AWS mit Ihren Identitätsdaten anmelden. Sie müssen sich als IAM-Benutzer authentifizieren oder eine IAM-Rolle annehmen. Root-Benutzer des AWS-Kontos
Sie können sich als föderierte Identität anmelden, indem Sie Anmeldeinformationen aus einer Identitätsquelle wie AWS IAM Identity Center (IAM Identity Center), Single Sign-On-Authentifizierung oder Anmeldeinformationen verwenden. Google/Facebook Weitere Informationen zum Anmelden finden Sie unter [So melden Sie sich bei Ihrem AWS-Konto an](https://docs.aws.amazon.com/signin/latest/userguide/how-to-sign-in.html) im *Benutzerhandbuch für AWS-Anmeldung *.
AWS Bietet für den programmatischen Zugriff ein SDK und eine CLI zum kryptografischen Signieren von Anfragen. Weitere Informationen finden Sie unter [AWS Signature Version 4 for API requests](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_sigv.html) im *IAM-Benutzerhandbuch*.
### AWS-Konto Root-Benutzer
Wenn Sie einen erstellen AWS-Konto, beginnen Sie mit einer Anmeldeidentität, dem sogenannten AWS-Konto *Root-Benutzer*, der vollständigen Zugriff auf alle AWS-Services Ressourcen hat. Wir raten ausdrücklich davon ab, den Root-Benutzer für Alltagsaufgaben zu verwenden. Eine Liste der Aufgaben, für die Sie sich als Root-Benutzer anmelden müssen, finden Sie unter [Tasks that require root user credentials](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks) im *IAM-Benutzerhandbuch*.
### IAM-Benutzer und -Gruppen
Ein *[IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html)* ist eine Identität mit bestimmten Berechtigungen für eine einzelne Person oder Anwendung. Wir empfehlen die Verwendung temporärer Anmeldeinformationen anstelle von IAM-Benutzern mit langfristigen Anmeldeinformationen. Weitere Informationen finden Sie im *IAM-Benutzerhandbuch* unter [Erfordern, dass menschliche Benutzer für den Zugriff AWS mithilfe temporärer Anmeldeinformationen einen Verbund mit einem Identitätsanbieter](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#bp-users-federation-idp) verwenden müssen.
Eine [https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups.html) spezifiziert eine Sammlung von IAM-Benutzern und erleichtert die Verwaltung von Berechtigungen für große Gruppen von Benutzern. Weitere Informationen finden Sie unter [Anwendungsfälle für IAM-Benutzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/gs-identities-iam-users.html) im *IAM-Benutzerhandbuch*.
### IAM-Rollen
Eine *[IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html)* ist eine Identität mit spezifischen Berechtigungen, die temporäre Anmeldeinformationen bereitstellt. Sie können eine Rolle übernehmen, indem Sie [von einer Benutzer- zu einer IAM-Rolle (Konsole) wechseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-console.html) AWS CLI oder einen AWS API-Vorgang aufrufen. Weitere Informationen finden Sie unter [Methoden, um eine Rolle zu übernehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage-assume.html) im *IAM-Benutzerhandbuch*.
IAM-Rollen sind nützlich für den Verbundbenutzer-Zugriff, temporäre IAM-Benutzerberechtigungen, kontoübergreifenden Zugriff, serviceübergreifenden Zugriff und Anwendungen, die auf Amazon EC2 laufen. Weitere Informationen finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# So funktioniert AWS Device Farm mit IAM
Bevor Sie IAM verwenden, um den Zugriff auf Device Farm zu verwalten, sollten Sie wissen, welche IAM-Funktionen für die Verwendung mit Device Farm verfügbar sind. Einen allgemeinen Überblick darüber, wie Device Farm und andere AWS Dienste mit IAM funktionieren, finden Sie unter [AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Identitätsbasierte Richtlinien für Device Farm](#security_iam_service-with-iam-id-based-policies)
+ [Ressourcenbasierte Richtlinien für Device Farm](#security_iam_service-with-iam-resource-based-policies)
+ [Zugriffskontrolllisten](#security_iam_service-with-iam-acls)
+ [Autorisierung basierend auf Device Farm Farm-Tags](#security_iam_service-with-iam-tags)
+ [IAM-Rollen für Device Farm](#security_iam_service-with-iam-roles)
## Identitätsbasierte Richtlinien für Device Farm
Mit identitätsbasierten IAM-Richtlinien können Sie angeben, welche Aktionen und Ressourcen erteilt oder abgelehnt werden. Darüber hinaus können Sie die Bedingungen festlegen, unter denen Aktionen zugelassen oder abgelehnt werden. Device Farm unterstützt bestimmte Aktionen, Ressourcen und Bedingungsschlüssel. Informationen zu sämtlichen Elementen, die Sie in einer JSON-Richtlinie verwenden, finden Sie in der [IAM-Referenz für JSON-Richtlinienelemente](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html) im *IAM-Benutzerhandbuch*.
### Aktionen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer auf was Zugriff hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Action` einer JSON-Richtlinie beschreibt die Aktionen, mit denen Sie den Zugriff in einer Richtlinie zulassen oder verweigern können. Nehmen Sie Aktionen in eine Richtlinie auf, um Berechtigungen zur Ausführung des zugehörigen Vorgangs zu erteilen.
Richtlinienaktionen in Device Farm verwenden vor der Aktion das folgende Präfix:`devicefarm:`. Um beispielsweise jemandem die Erlaubnis zu erteilen, Selenium-Sitzungen mit dem `CreateTestGridUrl` API-Vorgang zum Testen des Desktop-Browsers Device Farm zu starten, nehmen Sie die `devicefarm:CreateTestGridUrl` Aktion in die Richtlinie auf. Richtlinienanweisungen müssen entweder ein – `Action`oder ein `NotAction`-Element enthalten. Device Farm definiert eigene Aktionen, die Aufgaben beschreiben, die Sie mit diesem Dienst ausführen können.
Um mehrere Aktionen in einer einzigen Anweisung anzugeben, trennen Sie sie wie folgt durch Kommata:
```
"Action": [
"devicefarm:action1",
"devicefarm:action2"
```
Sie können auch Platzhalter verwenden, um mehrere Aktionen anzugeben. Beispielsweise können Sie alle Aktionen festlegen, die mit dem Wort `List` beginnen, einschließlich der folgenden Aktion:
```
"Action": "devicefarm:List*"
```
Eine Liste der Gerätefarmaktionen finden Sie unter [Aktionen definiert von AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-actions-as-permissions) in der *IAM Service Authorization Reference.*
### Ressourcen
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das JSON-Richtlinienelement `Resource` gibt die Objekte an, auf welche die Aktion angewendet wird. Als Best Practice geben Sie eine Ressource mit dem zugehörigen [Amazon-Ressourcennamen (ARN)](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html) an. Verwenden Sie für Aktionen, die keine Berechtigungen auf Ressourcenebene unterstützen, einen Platzhalter (\$1), um anzugeben, dass die Anweisung für alle Ressourcen gilt.
```
"Resource": "*"
```
Die Amazon EC2 EC2-Instance-Ressource hat den folgenden ARN:
```
arn:${Partition}:ec2:${Region}:${Account}:instance/${InstanceId}
```
Weitere Informationen zum Format von ARNs finden Sie unter [Amazon Resource Names (ARNs) und AWS Service Namespaces](https://docs.aws.amazon.com/general/latest/gr/aws-arns-and-namespaces.html).
Wenn Sie beispielsweise die `i-1234567890abcdef0`-Instance in Ihrer Anweisung angeben möchten, verwenden Sie den folgenden ARN:
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/i-1234567890abcdef0"
```
Um alle Instances anzugeben, die zu einem Konto gehören, verwenden Sie den Platzhalter (\$1):
```
"Resource": "arn:aws:ec2:us-east-1:123456789012:instance/*"
```
Einige Device Farm Farm-Aktionen, z. B. zum Erstellen von Ressourcen, können für eine Ressource nicht ausgeführt werden. In diesen Fällen müssen Sie den Platzhalter (\$1) verwenden.
```
"Resource": "*"
```
Viele Amazon EC2-API-Aktionen umfassen mehrere Ressourcen. Zum Beispiel wird mit `AttachVolume` einer Instance ein Amazon EBS-Volume angefügt, sodass der IAM-Benutzer über Berechtigungen zur Verwendung des Volumes und der Instance verfügen muss. Um mehrere Ressourcen in einer einzigen Anweisung anzugeben, trennen Sie sie ARNs durch Kommas.
```
"Resource": [
"resource1",
"resource2"
```
Eine Liste der Device Farm Farm-Ressourcentypen und ihrer ARNs Eigenschaften finden Sie unter [Ressourcentypen definiert von AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-resources-for-iam-policies) in der *IAM Service Authorization Reference.* Informationen darüber, mit welchen Aktionen Sie den ARN der einzelnen Ressourcen angeben können, finden Sie unter [Actions defined by AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-actions-as-permissions) in der *IAM Service Authorization Reference.*
### Bedingungsschlüssel
Administratoren können mithilfe von AWS JSON-Richtlinien angeben, wer Zugriff auf was hat. Das heißt, welcher **Prinzipal** **Aktionen** für welche **Ressourcen** und unter welchen **Bedingungen** ausführen kann.
Das Element `Condition` gibt an, wann Anweisungen auf der Grundlage definierter Kriterien ausgeführt werden. Sie können bedingte Ausdrücke erstellen, die [Bedingungsoperatoren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition_operators.html) verwenden, z. B. ist gleich oder kleiner als, damit die Bedingung in der Richtlinie mit Werten in der Anforderung übereinstimmt. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [Kontextschlüssel für AWS globale Bedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Device Farm definiert seinen eigenen Satz von Bedingungsschlüsseln und unterstützt auch die Verwendung einiger globaler Bedingungsschlüssel. Eine Übersicht aller AWS globalen Bedingungsschlüssel finden Sie unter [AWS Globale Bedingungskontextschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) im *IAM-Benutzerhandbuch*.
Eine Liste der Device Farm Farm-Bedingungsschlüssel finden Sie unter [Bedingungsschlüssel für AWS Device Farm](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-policy-keys) in der *IAM Service Authorization Reference.* Informationen zu den Aktionen und Ressourcen, mit denen Sie einen Bedingungsschlüssel verwenden können, finden Sie AWS Device Farm in der *IAM Service Authorization* Reference unter [Actions defined by](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsdevicefarm.html#awsdevicefarm-actions-as-permissions).
### Beispiele
Beispiele für identitätsbasierte Device Farm Farm-Richtlinien finden Sie unter. [Beispiele für identitätsbasierte Richtlinien von AWS Device Farm](security_iam_id-based-policy-examples.md)
## Ressourcenbasierte Richtlinien für Device Farm
Device Farm unterstützt keine ressourcenbasierten Richtlinien.
## Zugriffskontrolllisten
Device Farm unterstützt keine Zugriffskontrolllisten (ACLs).
## Autorisierung basierend auf Device Farm Farm-Tags
Sie können Tags an Device Farm-Ressourcen anhängen oder Tags in einer Anfrage an Device Farm übergeben. Um den Zugriff auf der Grundlage von Tags zu steuern, geben Sie im Bedingungselement einer[ Richtlinie Tag-Informationen ](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html)an, indem Sie die Schlüssel `aws:ResourceTag/key-name`, `aws:RequestTag/key-name`, oder Bedingung `aws:TagKeys` verwenden. Weitere Informationen zum Taggen von Gerätefarm-Ressourcen finden Sie unter[Taggen von AWS Device Farm Farm-Ressourcen](tagging.md).
Ein Beispiel für eine identitätsbasierte Richtlinie zur Einschränkung des Zugriffs auf eine Ressource auf der Grundlage der Markierungen dieser Ressource finden Sie unter [Anzeigen von Device Farm Farm-Desktop-Browser-Testprojekten auf der Grundlage von Tags](security_iam_id-based-policy-examples.md#security_iam_id-based-policy-examples-view-project-tags).
## IAM-Rollen für Device Farm
Eine [IAM-Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) ist eine Entität in Ihrem AWS Konto, die über bestimmte Berechtigungen verfügt.
### Temporäre Anmeldeinformationen mit Device Farm verwenden
Device Farm unterstützt die Verwendung temporärer Anmeldeinformationen.
Sie können temporäre Anmeldeinformationen verwenden, um sich bei Federation anzumelden und eine IAM-Rolle oder eine kontoübergreifende Rolle zu übernehmen. Sie erhalten temporäre Sicherheitsanmeldedaten, indem Sie AWS STS API-Operationen wie oder aufrufen. [AssumeRole[GetFederationToken](https://docs.aws.amazon.com/STS/latest/APIReference/API_GetFederationToken.html)](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)
### Service-verknüpfte Rollen
Mit [dienstbezogenen Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) können AWS Dienste auf Ressourcen in anderen Diensten zugreifen, um eine Aktion in Ihrem Namen auszuführen. Serviceverknüpfte Rollen werden in Ihrem IAM-Konto angezeigt und gehören zum Service. Ein IAM-Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.
Device Farm verwendet dienstverknüpfte Rollen in der Device Farm Farm-Desktop-Browser-Testfunktion. Informationen zu diesen Rollen finden Sie im Entwicklerhandbuch unter [Verwenden von dienstverknüpften Rollen beim Testen von Device Farm Farm-Desktopbrowsern](https://docs.aws.amazon.com//devicefarm/latest/testgrid/using-service-linked-roles.html).
### Servicerollen
Device Farm unterstützt keine Dienstrollen.
Dieses Feature ermöglicht einem Service das Annehmen einer [Servicerolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-role) in Ihrem Namen. Diese Rolle gewährt dem Service Zugriff auf Ressourcen in anderen Diensten, um eine Aktion in Ihrem Namen auszuführen. Servicerollen werden in Ihrem IAM-Konto angezeigt und gehören zum Konto. Dies bedeutet, dass ein IAM-Administrator die Berechtigungen für diese Rolle ändern kann. Dies kann jedoch die Funktionalität des Dienstes beeinträchtigen.
## Verwalten des Zugriffs mit Richtlinien
Sie kontrollieren den Zugriff, AWS indem Sie Richtlinien erstellen und diese an AWS Identitäten oder Ressourcen anhängen. Eine Richtlinie definiert Berechtigungen, wenn sie mit einer Identität oder Ressource verknüpft sind. AWS bewertet diese Richtlinien, wenn ein Principal eine Anfrage stellt. Die meisten Richtlinien werden AWS als JSON-Dokumente gespeichert. Weitere Informationen zu JSON-Richtliniendokumenten finden Sie unter [Übersicht über JSON-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#access_policies-json) im *IAM-Benutzerhandbuch*.
Mit Hilfe von Richtlinien legen Administratoren fest, wer Zugriff auf was hat, indem sie definieren, welches **Prinzipal** welche **Aktionen** auf welchen **Ressourcen**und unter welchen **Bedingungen**durchführen darf.
Standardmäßig haben Benutzer, Gruppen und Rollen keine Berechtigungen. Ein IAM-Administrator erstellt IAM-Richtlinien und fügt sie zu Rollen hinzu, die die Benutzer dann übernehmen können. IAM-Richtlinien definieren Berechtigungen unabhängig von der Methode, die zur Ausführung der Operation verwendet wird.
### Identitätsbasierte Richtlinien
Identitätsbasierte Richtlinien sind JSON-Berechtigungsrichtliniendokumente, die Sie einer Identität (Benutzer, Gruppe oder Rolle) anfügen können. Diese Richtlinien steuern, welche Aktionen Identitäten für welche Ressourcen und unter welchen Bedingungen ausführen können. Informationen zum Erstellen identitätsbasierter Richtlinien finden Sie unter [Definieren benutzerdefinierter IAM-Berechtigungen mit vom Kunden verwalteten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html) im *IAM-Benutzerhandbuch*.
Identitätsbasierte Richtlinien können *Inline-Richtlinien* (direkt in eine einzelne Identität eingebettet) oder *verwaltete Richtlinien* (eigenständige Richtlinien, die mit mehreren Identitäten verbunden sind) sein. Informationen dazu, wie Sie zwischen verwalteten und Inline-Richtlinien wählen, finden Sie unter [Choose between managed policies and inline policies](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-choosing-managed-or-inline.html) im *IAM-Benutzerhandbuch*.
In der folgenden Tabelle werden die von Device Farm von AWS verwalteten Richtlinien beschrieben.
| Änderungen | Beschreibung | Date |
| --- | --- | --- |
| [AWSDeviceFarmFullAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/AWSDeviceFarmFullAccess$jsonEditor) | Bietet vollen Zugriff auf alle AWS Device Farm Farm-Operationen. | 15. Juli 2015 |
| [AWSServiceRoleForDeviceFarmTestGrid](https://docs.aws.amazon.com//devicefarm/latest/testgrid/using-service-linked-roles.html) | Ermöglicht Device Farm, in Ihrem Namen auf AWS-Ressourcen zuzugreifen. | 20. Mai 2021 |
### Weitere Richtlinientypen
AWS unterstützt zusätzliche Richtlinientypen, mit denen die maximalen Berechtigungen festgelegt werden können, die durch gängigere Richtlinientypen gewährt werden:
+ **Berechtigungsgrenzen** – Eine Berechtigungsgrenze legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität erteilen kann. Weitere Informationen finden Sie unter [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) im *-IAM-Benutzerhandbuch*.
+ **Richtlinien zur Dienstkontrolle (SCPs)** — Geben Sie die maximalen Berechtigungen für eine Organisation oder Organisationseinheit in an AWS Organizations. Weitere Informationen finden Sie unter [Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) im *AWS Organizations -Benutzerhandbuch*.
+ **Richtlinien zur Ressourcenkontrolle (RCPs)** — Legen Sie die maximal verfügbaren Berechtigungen für Ressourcen in Ihren Konten fest. Weitere Informationen finden Sie im *AWS Organizations Benutzerhandbuch* unter [Richtlinien zur Ressourcenkontrolle (RCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_rcps.html).
+ **Sitzungsrichtlinien** – Sitzungsrichtlinien sind erweiterte Richtlinien, die als Parameter übergeben werden, wenn Sie eine temporäre Sitzung für eine Rolle oder einen Verbundbenutzer erstellen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) im *IAM-Benutzerhandbuch*.
### Mehrere Richtlinientypen
Wenn für eine Anfrage mehrere Arten von Richtlinien gelten, sind die daraus resultierenden Berechtigungen schwieriger zu verstehen. Informationen darüber, wie AWS bestimmt wird, ob eine Anfrage zulässig ist, wenn mehrere Richtlinientypen betroffen sind, finden Sie unter [Bewertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html) im *IAM-Benutzerhandbuch*.
# Beispiele für identitätsbasierte Richtlinien von AWS Device Farm
Standardmäßig sind IAM-Benutzer und -Rollen nicht berechtigt, Device Farm Farm-Ressourcen zu erstellen oder zu ändern. Sie können auch keine Aufgaben mit der AWS-Managementkonsole AWS CLI, oder AWS API ausführen. Ein IAM-Administrator muss IAM-Richtlinien erstellen, die Benutzern und Rollen die Berechtigung zum Ausführen bestimmter API-Operationen für die angegebenen Ressourcen gewähren, die diese benötigen. Der Administrator muss diese Richtlinien anschließend den IAM-Benutzern oder -Gruppen anfügen, die diese Berechtigungen benötigen.
Informationen dazu, wie Sie unter Verwendung dieser beispielhaften JSON-Richtliniendokumente eine identitätsbasierte IAM-Richtlinie erstellen, finden Sie unter [Erstellen von Richtlinien auf der JSON-Registerkarte](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html#access_policies_create-json-editor) im *IAM-Benutzerhandbuch*.
**Topics**
+ [Best Practices für Richtlinien](#security_iam_service-with-iam-policy-best-practices)
+ [Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer](#security_iam_id-based-policy-examples-view-own-permissions)
+ [Zugreifen auf ein Device Farm Farm-Desktop-Browser-Testprojekt](#security_iam_id-based-policy-examples-access-one-project)
+ [Anzeigen von Device Farm Farm-Desktop-Browser-Testprojekten auf der Grundlage von Tags](#security_iam_id-based-policy-examples-view-project-tags)
## Best Practices für Richtlinien
Identitätsbasierte Richtlinien legen fest, ob jemand Device Farm Farm-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Beachten Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Richtlinien und Empfehlungen:
+ **Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten** — Verwenden Sie die *AWS verwalteten Richtlinien*, die Berechtigungen für viele gängige Anwendungsfälle gewähren, um damit zu beginnen, Ihren Benutzern und Workloads Berechtigungen zu gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter [Von AWS verwaltete Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) oder [Von AWS verwaltete Richtlinien für Auftragsfunktionen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) im *IAM-Benutzerhandbuch*.
+ **Anwendung von Berechtigungen mit den geringsten Rechten** – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als *die geringsten Berechtigungen*. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter [ Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs** – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. CloudFormation B. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
+ **Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten** – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter [Richtlinienvalidierung mit IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) im *IAM-Benutzerhandbuch*.
+ **Multi-Faktor-Authentifizierung (MFA) erforderlich** — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter [Sicherer API-Zugriff mit MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) im *IAM-Benutzerhandbuch*.
Weitere Informationen zu bewährten Methoden in IAM finden Sie unter [Best Practices für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) im *IAM-Benutzerhandbuch*.
## Gewähren der Berechtigung zur Anzeige der eigenen Berechtigungen für Benutzer
In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, die IAM-Benutzern die Berechtigung zum Anzeigen der eingebundenen Richtlinien und verwalteten Richtlinien gewährt, die ihrer Benutzeridentität angefügt sind. Diese Richtlinie umfasst Berechtigungen zum Ausführen dieser Aktion auf der Konsole oder programmgesteuert mithilfe der API oder. AWS CLI AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "ViewOwnUserInfo",
"Effect": "Allow",
"Action": [
"iam:GetUserPolicy",
"iam:ListGroupsForUser",
"iam:ListAttachedUserPolicies",
"iam:ListUserPolicies",
"iam:GetUser"
],
"Resource": ["arn:aws:iam::*:user/${aws:username}"]
},
{
"Sid": "NavigateInConsole",
"Effect": "Allow",
"Action": [
"iam:GetGroupPolicy",
"iam:GetPolicyVersion",
"iam:GetPolicy",
"iam:ListAttachedGroupPolicies",
"iam:ListGroupPolicies",
"iam:ListPolicyVersions",
"iam:ListPolicies",
"iam:ListUsers"
],
"Resource": "*"
}
]
}
```
## Zugreifen auf ein Device Farm Farm-Desktop-Browser-Testprojekt
In diesem Beispiel möchten Sie einem IAM-Benutzer in Ihrem AWS Konto Zugriff auf eines Ihrer Device Farm Farm-Desktop-Browser-Testprojekte gewähren. `arn:aws:devicefarm:us-west-2:111122223333:testgrid-project:123e4567-e89b-12d3-a456-426655441111` Sie möchten, dass Elemente im Konto angezeigt werden können, die mit dem Projekt zusammenhängen.
Zusätzlich zum `devicefarm:GetTestGridProject`-Endpunkt muss das Konto über die Endpunkte `devicefarm:ListTestGridSessions`, `devicefarm:GetTestGridSession`, `devicefarm:ListTestGridSessionActions` und `devicefarm:ListTestGridSessionArtifacts` verfügen.
Wenn Sie CI-Systeme verwenden, sollten Sie für jeden CI Runner eindeutige Anmeldeinformationen festlegen. Beispielsweise ist es unwahrscheinlich, dass ein CI-System mehr Berechtigungen als `devicefarm:ScheduleRun` oder `devicefarm:CreateUpload` benötigt. Die folgende IAM-Richtlinie beschreibt eine Mindestrichtlinie, die es einem CI-Runner ermöglicht, einen Test eines neuen nativen Device Farm Farm-App-Tests zu starten, indem er einen Upload erstellt und damit einen Testlauf plant:
## Anzeigen von Device Farm Farm-Desktop-Browser-Testprojekten auf der Grundlage von Tags
Sie können Bedingungen in Ihrer identitätsbasierten Richtlinie verwenden, um den Zugriff auf Device Farm Farm-Ressourcen anhand von Tags zu steuern. In diesem Beispiel wird gezeigt, wie Sie eine Richtlinie erstellen, um Projekte und Sitzungen anzuzeigen. Die Berechtigung wird erteilt, wenn das `Owner`-Tag der angeforderten Ressource mit dem Benutzernamen des anfordernden Kontos übereinstimmt.
Sie können diese Richtlinie den IAM-Benutzern in Ihrem Konto anfügen. Wenn ein benannter Benutzer `richard-roe` versucht, ein Device Farm-Projekt oder eine Device Farm-Sitzung aufzurufen, muss das Projekt mit `Owner=richard-roe` oder markiert werden`owner=richard-roe`. Andernfalls wird dem Benutzer der Zugriff verweigert. Der Tag-Schlüssel `Owner` der Bedingung stimmt sowohl mit `Owner` als auch mit `owner` überein, da die Namen von Bedingungsschlüsseln nicht zwischen Groß- und Kleinschreibung unterscheiden. Weitere Informationen finden Sie unter [IAM-JSON-Richtlinienelemente: Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) im *IAM-Benutzerhandbuch*.
# Fehlerbehebung bei Identität und Zugriff auf AWS Device Farm
Verwenden Sie die folgenden Informationen, um häufig auftretende Probleme zu diagnostizieren und zu beheben, die bei der Arbeit mit Device Farm und IAM auftreten können.
## Ich bin nicht berechtigt, eine Aktion in Device Farm durchzuführen
Wenn Sie eine Fehlermeldung erhalten AWS-Managementkonsole , die besagt, dass Sie nicht berechtigt sind, eine Aktion auszuführen, müssen Sie sich an Ihren Administrator wenden, um Unterstützung zu erhalten. Ihr Administrator ist die Person, die Ihnen Ihren Benutzernamen und Ihr Passwort bereitgestellt hat.
Der folgende Beispielfehler tritt auf, wenn der IAM-Benutzer,`mateojackson`, versucht, die Konsole zu verwenden, um Details zu einem Lauf anzuzeigen, aber nicht über die `devicefarm:GetRun` entsprechenden Berechtigungen verfügt.
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: devicefarm:GetRun on resource: arn:aws:devicefarm:us-west-2:123456789101:run:123e4567-e89b-12d3-a456-426655440000/123e4567-e89b-12d3-a456-426655441111
```
In diesem Fall bittet Mateo den Administrator, die Richtlinien zu aktualisieren, um ihm den Zugriff zu `devicefarm:GetRun` auf der Ressource `arn:aws:devicefarm:us-west-2:123456789101:run:123e4567-e89b-12d3-a456-426655440000/123e4567-e89b-12d3-a456-426655441111` über die Aktion `devicefarm:GetRun` zu ermöglichen.
## Ich bin nicht berechtigt, IAM auszuführen: PassRole
Wenn Sie eine Fehlermeldung erhalten, dass Sie nicht berechtigt sind, die `iam:PassRole` Aktion auszuführen, müssen Ihre Richtlinien aktualisiert werden, damit Sie eine Rolle an Device Farm übergeben können.
Einige AWS-Services ermöglichen es Ihnen, eine bestehende Rolle an diesen Dienst zu übergeben, anstatt eine neue Servicerolle oder eine dienstverknüpfte Rolle zu erstellen. Hierzu benötigen Sie Berechtigungen für die Übergabe der Rolle an den Dienst.
Der folgende Beispielfehler tritt auf, wenn ein IAM-Benutzer mit dem Namen `marymajor` versucht, die Konsole zu verwenden, um eine Aktion in Device Farm auszuführen. Die Aktion erfordert jedoch, dass der Service über Berechtigungen verfügt, die durch eine Servicerolle gewährt werden. Mary besitzt keine Berechtigungen für die Übergabe der Rolle an den Dienst.
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
In diesem Fall müssen die Richtlinien von Mary aktualisiert werden, um die Aktion `iam:PassRole` ausführen zu können.
Wenn Sie Hilfe benötigen, wenden Sie sich an Ihren AWS Administrator. Ihr Administrator hat Ihnen Ihre Anmeldeinformationen odzur Verfügung gestellt.
## Ich möchte meine Zugriffsschlüssel anzeigen
Nachdem Sie Ihre IAM-Benutzerzugriffsschlüssel erstellt haben, können Sie Ihre Zugriffsschlüssel-ID jederzeit anzeigen. Sie können Ihren geheimen Zugriffsschlüssel jedoch nicht erneut anzeigen. Wenn Sie den geheimen Zugriffsschlüssel verlieren, müssen Sie ein neues Zugriffsschlüsselpaar erstellen.
Zugriffsschlüssel bestehen aus zwei Teilen: einer Zugriffsschlüssel-ID (z. B. `AKIAIOSFODNN7EXAMPLE`) und einem geheimen Zugriffsschlüssel (z. B. `wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY`). Ähnlich wie bei Benutzernamen und Passwörtern müssen Sie die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel zusammen verwenden, um Ihre Anforderungen zu authentifizieren. Verwalten Sie Ihre Zugriffsschlüssel so sicher wie Ihren Benutzernamen und Ihr Passwort.
**Wichtig**
Geben Sie Ihre Zugriffsschlüssel nicht an Dritte weiter, auch nicht für die [Suche nach Ihrer kanonischen Benutzer-ID](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-identifiers.html#FindCanonicalId). Auf diese Weise können Sie jemandem dauerhaften Zugriff auf Ihre gewähren AWS-Konto.
Während der Erstellung eines Zugriffsschlüsselpaars werden Sie aufgefordert, die Zugriffsschlüssel-ID und den geheimen Zugriffsschlüssel an einem sicheren Speicherort zu speichern. Der geheime Zugriffsschlüssel ist nur zu dem Zeitpunkt verfügbar, an dem Sie ihn erstellen. Wenn Sie Ihren geheimen Zugriffsschlüssel verlieren, müssen Sie Ihrem IAM-Benutzer neue Zugriffsschlüssel hinzufügen. Sie können maximal zwei Zugriffsschlüssel besitzen. Wenn Sie bereits zwei Zugriffschlüssel besitzen, müssen Sie ein Schlüsselpaar löschen, bevor Sie ein neues erstellen. Anweisungen hierfür finden Sie unter [Verwalten von Zugriffsschlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey) im *IAM-Benutzerhandbuch*.
## Ich bin Administrator und möchte anderen den Zugriff auf Device Farm ermöglichen
Um anderen den Zugriff auf Device Farm zu ermöglichen, müssen Sie den Personen oder Anwendungen, die Zugriff benötigen, die entsprechenden Berechtigungen erteilen. Wenn Sie Benutzer und Anwendungen verwalten, weisen Sie Benutzern oder Gruppen Berechtigungssätze zu, um deren Zugriffsebene zu definieren. AWS IAM Identity Center Mit Berechtigungssätzen werden automatisch IAM-Richtlinien erstellt und den IAM-Rollen zugewiesen, die der Person oder Anwendung zugeordnet sind. Weitere Informationen finden Sie im *AWS IAM Identity Center Benutzerhandbuch* unter [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html).
Wenn Sie IAM Identity Center nicht verwenden, müssen Sie IAM-Entitäten (Benutzer oder Rollen) für die Personen oder Anwendungen erstellen, die Zugriff benötigen. Anschließend müssen Sie der Entität eine Richtlinie hinzufügen, die ihr die richtigen Berechtigungen in Device Farm gewährt. Nachdem die Berechtigungen erteilt wurden, geben Sie die Anmeldeinformationen an den Benutzer oder Anwendungsentwickler weiter. Sie werden diese Anmeldeinformationen für den Zugriff verwenden AWS. *Weitere Informationen zum Erstellen von IAM-Benutzern, -Gruppen, -Richtlinien und -Berechtigungen finden Sie im [IAM-Benutzerhandbuch unter IAM-Identitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) [sowie Richtlinien und Berechtigungen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html).*
## Ich möchte Personen außerhalb meines AWS Kontos den Zugriff auf meine Device Farm Farm-Ressourcen ermöglichen
Sie können eine Rolle erstellen, mit der Benutzer in anderen Konten oder Personen außerhalb Ihrer Organisation auf Ihre Ressourcen zugreifen können. Sie können festlegen, wem die Übernahme der Rolle anvertraut wird. Für Dienste, die ressourcenbasierte Richtlinien oder Zugriffskontrolllisten (ACLs) unterstützen, können Sie diese Richtlinien verwenden, um Personen Zugriff auf Ihre Ressourcen zu gewähren.
Weitere Informationen dazu finden Sie hier:
+ Informationen darüber, ob Device Farm diese Funktionen unterstützt, finden Sie unter[So funktioniert AWS Device Farm mit IAM](security_iam_service-with-iam.md).
+ *Informationen dazu, wie Sie Zugriff auf Ihre Ressourcen gewähren können, AWS-Konten die Ihnen gehören, finden Sie im IAM-Benutzerhandbuch unter [Gewähren des Zugriffs für einen IAM-Benutzer in einem anderen AWS-Konto , den Sie besitzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html).*
+ Informationen dazu, wie Sie Dritten Zugriff auf Ihre Ressourcen gewähren können AWS-Konten, finden Sie [AWS-Konten im *IAM-Benutzerhandbuch* unter Gewähren des Zugriffs für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html).
+ Informationen dazu, wie Sie über einen Identitätsverbund Zugriff gewähren, finden Sie unter [Gewähren von Zugriff für extern authentifizierte Benutzer (Identitätsverbund)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html) im *IAM-Benutzerhandbuch*.
+ Informationen zum Unterschied zwischen der Verwendung von Rollen und ressourcenbasierten Richtlinien für den kontoübergreifenden Zugriff finden Sie unter [Kontoübergreifender Ressourcenzugriff in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies-cross-account-resource-access.html) im *IAM-Benutzerhandbuch*.
# Konformitätsvalidierung für AWS Device Farm
Externe Prüfer bewerten die Sicherheit und Einhaltung von Vorschriften im AWS Device Farm Rahmen mehrerer AWS Compliance-Programme. Dazu gehören SOC, PCI, FedRAMP, HIPAA und andere. AWS Device Farm fällt nicht in den Geltungsbereich irgendwelcher Compliance-Programme. AWS
Eine Liste der AWS Services im Rahmen bestimmter Compliance-Programme finden Sie unter [AWS-Services in Umfang nach Compliance-Programm](https://aws.amazon.com/compliance/services-in-scope/) . Allgemeine Informationen finden Sie unter [AWS Compliance-Programme AWS](https://aws.amazon.com/compliance/programs/) .
Sie können Prüfberichte von Drittanbietern unter herunterladen AWS Artifact. Weitere Informationen finden Sie unter [Herunterladen von Berichten in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html).
Ihre Compliance-Verantwortung bei der Nutzung von Device Farm hängt von der Sensibilität Ihrer Daten, den Compliance-Zielen Ihres Unternehmens und den geltenden Gesetzen und Vorschriften ab. AWS stellt die folgenden Ressourcen zur Verfügung, die Sie bei der Einhaltung der Vorschriften unterstützen:
+ [Schnellstartanleitungen für Sicherheit und Compliance](https://aws.amazon.com/quickstart/?awsf.quickstart-homepage-filter=categories%23security-identity-compliance) – In diesen Bereitstellungsleitfäden werden architektonische Überlegungen erörtert und Schritte für die Bereitstellung von sicherheits- und konformitätsorientierten Basisumgebungen auf AWS angegeben.
+ [AWS Ressourcen zur AWS](https://aws.amazon.com/compliance/resources/) von Vorschriften — Diese Sammlung von Arbeitsmappen und Leitfäden kann auf Ihre Branche und Ihren Standort zutreffen.
+ Die [Bewertung von Ressourcen anhand von Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) im *AWS Config Entwicklerhandbuch* — AWS Config bewertet, wie gut Ihre Ressourcenkonfigurationen den internen Praktiken, Branchenrichtlinien und Vorschriften entsprechen.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Dieser AWS Service bietet einen umfassenden Überblick über Ihren Sicherheitsstatus, sodass Sie überprüfen können AWS , ob Sie die Sicherheitsstandards und Best Practices der Branche einhalten.
# Datenschutz in AWS Device Farm
Das AWS [Modell](https://aws.amazon.com/compliance/shared-responsibility-model/) der mit gilt für den Datenschutz in AWS Device Farm (Device Farm). Wie in diesem Modell beschrieben, AWS ist es verantwortlich für den Schutz der globalen Infrastruktur, auf der die gesamte Infrastruktur läuft AWS Cloud. Sie sind dafür verantwortlich, die Kontrolle über Ihre in dieser Infrastruktur gehosteten Inhalte zu behalten. Sie sind auch für die Sicherheitskonfiguration und die Verwaltungsaufgaben für die von Ihnen verwendeten AWS-Services verantwortlich. Weitere Informationen zum Datenschutz finden Sie unter [Häufig gestellte Fragen zum Datenschutz](https://aws.amazon.com/compliance/data-privacy-faq/). Informationen zum Datenschutz in Europa finden Sie im Blog-Beitrag [AWS -Modell der geteilten Verantwortung und in der DSGVO](https://aws.amazon.com/blogs/security/the-aws-shared-responsibility-model-and-gdpr/) im *AWS -Sicherheitsblog*.
Aus Datenschutzgründen empfehlen wir, dass Sie AWS-Konto Anmeldeinformationen schützen und einzelne Benutzer mit AWS IAM Identity Center oder AWS Identity and Access Management (IAM) einrichten. So erhält jeder Benutzer nur die Berechtigungen, die zum Durchführen seiner Aufgaben erforderlich sind. Außerdem empfehlen wir, die Daten mit folgenden Methoden schützen:
+ Verwenden Sie für jedes Konto die Multi-Faktor-Authentifizierung (MFA).
+ Wird verwendet SSL/TLS , um mit AWS Ressourcen zu kommunizieren. Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Richten Sie die API und die Protokollierung von Benutzeraktivitäten mit ein AWS CloudTrail. Informationen zur Verwendung von CloudTrail Pfaden zur Erfassung von AWS Aktivitäten finden Sie unter [Arbeiten mit CloudTrail Pfaden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-trails.html) im *AWS CloudTrail Benutzerhandbuch*.
+ Verwenden Sie AWS Verschlüsselungslösungen zusammen mit allen darin enthaltenen Standardsicherheitskontrollen AWS-Services.
+ Verwenden Sie erweiterte verwaltete Sicherheitsservices wie Amazon Macie, die dabei helfen, in Amazon S3 gespeicherte persönliche Daten zu erkennen und zu schützen.
+ Wenn Sie für den Zugriff AWS über eine Befehlszeilenschnittstelle oder eine API FIPS 140-3-validierte kryptografische Module benötigen, verwenden Sie einen FIPS-Endpunkt. Weitere Informationen über verfügbare FIPS-Endpunkte finden Sie unter [Federal Information Processing Standard (FIPS) 140-3](https://aws.amazon.com/compliance/fips/).
Wir empfehlen dringend, in Freitextfeldern, z. B. im Feld **Name**, keine vertraulichen oder sensiblen Informationen wie die E-Mail-Adressen Ihrer Kunden einzugeben. Dies gilt auch, wenn Sie mit Device Farm oder anderen Geräten arbeiten und die Konsole, die API oder AWS-Services verwenden AWS SDKs. AWS CLI Alle Daten, die Sie in Tags oder Freitextfelder eingeben, die für Namen verwendet werden, können für Abrechnungs- oder Diagnoseprotokolle verwendet werden. Wenn Sie eine URL für einen externen Server bereitstellen, empfehlen wir dringend, keine Anmeldeinformationen zur Validierung Ihrer Anforderung an den betreffenden Server in die URL einzuschließen.
## Verschlüsselung während der Übertragung
Die Device Farm Farm-Endpunkte unterstützen nur signiertes HTTPS (SSL/TLS) requests except where otherwise noted. All content retrieved from or placed in Amazon S3 through upload URLs is encrypted using SSL/TLS. Weitere Informationen darüber, wie HTTPS-Anfragen angemeldet werden AWS, finden Sie in der AWS Allgemeinen Referenz unter [Signieren von AWS API-Anfragen](https://docs.aws.amazon.com//general/latest/gr/signing_aws_api_requests.html).
Sie sind verantwortlich für die Verschlüsselung und das Sichern der Kommunikationen von Ihren getesteten Anwendungen und allen Anwendungen, die bei der Ausführung von Tests auf dem Gerät installiert wurden.
## Verschlüsselung im Ruhezustand
Die Desktop-Browser-Testfunktion von Device Farm unterstützt die Verschlüsselung im Ruhezustand für Artefakte, die während der Tests generiert wurden.
Die Testdaten von Device Farm auf physischen Mobilgeräten werden im Ruhezustand nicht verschlüsselt.
## Datenaufbewahrung
Daten in Device Farm werden für eine begrenzte Zeit aufbewahrt. Nach Ablauf der Aufbewahrungsfrist werden die Daten aus dem Backup-Speicher von Device Farm entfernt.
| Art des Inhalts | Aufbewahrungszeitraum (Tage) | Aufbewahrungszeitraum für Metadaten (Tage) |
| --- | --- | --- |
| Hochgeladene Anwendungen | 30 | 30 |
| Hochgeladene Testpakete | 30 | 30 |
| Protokolle | 400 | 400 |
| Videoaufnahmen und andere Artefakte | 400 | 400 |
Es liegt in Ihrer Verantwortung, Inhalte zu archivieren, die Sie länger aufbewahren möchten.
## Datenverwaltung
Daten in Device Farm werden je nachdem, welche Funktionen verwendet werden, unterschiedlich verwaltet. In diesem Abschnitt wird erklärt, wie Daten während und nach der Verwendung von Device Farm verwaltet werden.
### Testen von Desktop-Browsern
Instances, die während Selenium-Sitzungen verwendet werden, werden nicht gespeichert. Alle Daten, die durch Browserinteraktionen generiert werden, werden beim Ende der Sitzung verworfen.
Diese Funktion unterstützt derzeit die Verschlüsselung im Ruhezustand für Artefakte, die während des Tests generiert wurden.
### Testen physischer Geräte
In den folgenden Abschnitten finden Sie Informationen zu den Schritten, AWS die zum Bereinigen oder Löschen von Geräten ergriffen werden, nachdem Sie Device Farm verwendet haben.
Die Testdaten von Device Farm auf physischen Mobilgeräten sind im Ruhezustand nicht verschlüsselt.
#### Öffentliche Geräteflotten
Nach Abschluss der Testausführung führt Device Farm eine Reihe von Bereinigungsaufgaben auf jedem Gerät in der öffentlichen Geräteflotte durch, einschließlich der Deinstallation Ihrer App. Wenn wir die Deinstallation Ihrer Anwendung oder einen der anderen Bereinigungsschritt nicht überprüfen können, wird das Gerät vor der Wiederinbetriebnahme zurückgesetzt.
**Anmerkung**
In einigen Fällen ist es möglich, dass Daten zwischen den Sitzungen bestehen bleiben, insbesondere wenn Sie das Gerätesystem außerhalb des Kontextes Ihrer App verwenden. Aus diesem Grund und weil Device Farm Videos und Protokolle von Aktivitäten erfasst, die während Ihrer Nutzung der einzelnen Geräte stattfinden, empfehlen wir, dass Sie während Ihrer automatisierten Test- und Fernzugriffssitzungen keine vertraulichen Informationen (z. B. Google-Konto oder Apple-ID), persönliche Daten und andere sicherheitsrelevante Daten eingeben.
#### Private Geräte
Nach dem Ablauf oder der Beendigung Ihres Vertrags über ein privates Gerät wird das Gerät außer Betrieb genommen und in Übereinstimmung mit AWS-Richtlinien für die Löschung sicher gelöscht. Weitere Informationen finden Sie unter [Private Geräte in AWS Device Farm](working-with-private-devices.md).
## Schlüsselverwaltung
Derzeit bietet Device Farm kein externes Schlüsselmanagement für die Verschlüsselung von Daten im Ruhezustand oder bei der Übertragung.
## Richtlinie für den Datenverkehr zwischen Netzwerken
Device Farm kann nur für private Geräte so konfiguriert werden, dass Amazon VPC-Endpunkte verwendet werden, um eine Verbindung zu Ihren Ressourcen herzustellen. AWS Der Zugriff auf jegliche nichtöffentliche AWS Infrastruktur, die mit Ihrem Konto verknüpft ist (z. B. EC2 Amazon-Instances ohne öffentliche IP-Adresse), muss einen Amazon VPC-Endpunkt verwenden. Unabhängig von der VPC-Endpunktkonfiguration isoliert Device Farm Ihren Datenverkehr von anderen Benutzern im gesamten Device Farm Farm-Netzwerk.
Es kann nicht garantiert werden, dass Ihre Verbindungen außerhalb des AWS Netzwerks gesichert oder sicher sind, und es liegt in Ihrer Verantwortung, alle Internetverbindungen, die Ihre Anwendungen herstellen, zu sichern.
# Resilienz in AWS Device Farm
Die AWS globale Infrastruktur basiert auf AWS Regionen und Availability Zones. AWS Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure/) Infrastruktur.
Da Device Farm nur in der `us-west-2` Region verfügbar ist, empfehlen wir dringend, Sicherungs- und Wiederherstellungsprozesse zu implementieren. Device Farm sollte nicht die einzige Quelle für hochgeladene Inhalte sein.
Device Farm garantiert nicht die Verfügbarkeit öffentlicher Geräte. Diese Geräte werden aufgrund einer Vielzahl von Faktoren wie etwa Ausfallrate und Quarantänestatus in den öffentlichen Gerätepool eingebunden oder daraus entfernt. Wir empfehlen nicht, sich von der Verfügbarkeit eines Geräts im öffentlichen Gerätepool abhängig zu machen.
# Infrastruktursicherheit in AWS Device Farm
Als verwalteter Dienst AWS Device Farm wird er durch die AWS globale Netzwerksicherheit geschützt. Informationen zu AWS Sicherheitsdiensten und zum AWS Schutz der Infrastruktur finden Sie unter [AWS Cloud-Sicherheit](https://aws.amazon.com/security/). Informationen zum Entwerfen Ihrer AWS Umgebung unter Verwendung der bewährten Methoden für die Infrastruktursicherheit finden Sie unter [Infrastructure Protection](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/infrastructure-protection.html) in *Security Pillar AWS Well‐Architected Framework*.
Sie verwenden AWS veröffentlichte API-Aufrufe, um über das Netzwerk auf Device Farm zuzugreifen. Kunden müssen Folgendes unterstützen:
+ Transport Layer Security (TLS). Wir benötigen TLS 1.2 und empfehlen TLS 1.3.
+ Verschlüsselungs-Suiten mit Perfect Forward Secrecy (PFS) wie DHE (Ephemeral Diffie-Hellman) oder ECDHE (Elliptic Curve Ephemeral Diffie-Hellman). Die meisten modernen Systeme wie Java 7 und höher unterstützen diese Modi.
Außerdem müssen Anforderungen mit einer Zugriffsschlüssel-ID und einem geheimen Zugriffsschlüssel signiert sein, der einem IAM-Prinzipal zugeordnet ist. Alternativ können Sie mit [AWS -Security-Token-Service](https://docs.aws.amazon.com/STS/latest/APIReference/Welcome.html) (AWS STS) temporäre Sicherheitsanmeldeinformationen erstellen, um die Anforderungen zu signieren.
## Sicherheit der Infrastruktur für Tests physischer Geräte
Geräte werden während des Tests physisch getrennt. Die Netzwerkisolierung verhindert die geräteübergreifende Kommunikation über drahtlose Netzwerke.
Öffentliche Geräte werden gemeinsam genutzt, und Device Farm bemüht sich nach besten Kräften, die Geräte langfristig zu schützen. Bestimmte Aktionen, z. B. Versuche, vollständige Administratorrechte auf einem Gerät zu erwerben (eine Praxis, die als *Rooting* oder *Jailbreak* bezeichnet wird), führen dazu, dass öffentliche Geräte isoliert werden. Sie werden automatisch aus dem öffentlichen Pool entfernt und manuell überprüft.
Auf private Geräte kann nur über AWS Konten zugegriffen werden, die ausdrücklich dazu autorisiert sind. Device Farm isoliert diese Geräte physisch von anderen Geräten und hält sie in einem separaten Netzwerk.
Auf privat verwalteten Geräten können Tests so konfiguriert werden, dass sie einen Amazon VPC-Endpunkt verwenden, um Verbindungen in und aus Ihrem AWS Konto zu sichern.
## Sicherheit der Infrastruktur für das Testen von Desktop-Browsern
Wenn Sie die Funktion für Desktop-Browsertests verwenden, werden alle Testsitzungen voneinander getrennt. Selenium-Instanzen können ohne eine externe Zwischenpartei nicht miteinander kommunizieren. AWS
Der gesamte Datenverkehr zu WebDriver Selenium-Controllern muss über den mit generierten HTTPS-Endpunkt erfolgen. `createTestGridUrl`
Sie sind dafür verantwortlich, dass jede Device Farm Farm-Testinstanz sicheren Zugriff auf die von ihr getesteten Ressourcen hat. Standardmäßig haben die Desktop-Browser-Testinstanzen von Device Farm Zugriff auf das öffentliche Internet. Wenn Sie Ihre Instance an eine VPC anhängen, verhält sie sich wie jede andere EC2-Instance, wobei der Zugriff auf Ressourcen durch die Konfiguration der VPC und die zugehörigen Netzwerkkomponenten bestimmt wird. AWS bietet [Sicherheitsgruppen](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-groups.html) und [Netzwerk-Zugriffskontrolllisten (ACLs)](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-network-acls.html), um die Sicherheit in Ihrer VPC zu erhöhen. Sicherheitsgruppen kontrollieren den ein- und ausgehenden Datenverkehr für Ihre Ressourcen, und das Netzwerk ACLs steuert den ein- und ausgehenden Datenverkehr für Ihre Subnetze. Sicherheitsgruppen bieten ausreichend Zugriffskontrolle für die meisten Subnetze. Sie können das Netzwerk verwenden ACLs , wenn Sie eine zusätzliche Sicherheitsebene für Ihre VPC wünschen. Allgemeine Richtlinien zu bewährten Sicherheitsmethoden bei der Nutzung von Amazon VPCs finden Sie unter [Bewährte Sicherheitsmethoden](https://docs.aws.amazon.com//vpc/latest/userguide/vpc-security-best-practices.html) für Ihre VPC im *Amazon Virtual Private Cloud Cloud-Benutzerhandbuch*.
# Analyse und Verwaltung von Konfigurationsschwachstellen in Device Farm
Device Farm ermöglicht es Ihnen, Software auszuführen, die nicht aktiv vom Anbieter gewartet oder gepatcht wird, z. B. vom Betriebssystemanbieter, Hardwareanbieter oder Telefonanbieter. Device Farm bemüht sich nach besten Kräften, die Software auf dem neuesten Stand zu halten, garantiert jedoch nicht, dass eine bestimmte Version der Software auf einem physischen Gerät auf dem neuesten Stand ist, sodass potenziell anfällige Software so konzipiert ist, dass potenziell anfällige Software verwendet werden kann.
Wenn beispielsweise ein Test auf einem Gerät mit Android 4.4.2 durchgeführt wird, garantiert Device Farm nicht, dass das Gerät gegen die [Sicherheitsanfälligkeit in Android gepatcht ist, die als bekannt](https://en.wikipedia.org/wiki/Stagefright_(bug)) ist. StageFright Es ist Sache des Herstellers (und manchmal auch des Anbieters) des Geräts, Sicherheitsupdates für Geräte bereitzustellen. Bei einer bösartigen Anwendung, die diese Schwachstelle ausnutzt, ist nicht garantiert, dass sie von unserer automatisierten Quarantäne erfasst wird.
Private Geräte werden gemäß Ihrer Vereinbarung mit verwaltet. AWS
*Device Farm bemüht sich nach besten Kräften, Kundenanwendungen vor Aktionen wie *Rooting* oder Jailbreak zu schützen.* Device Farm entfernt Geräte, die unter Quarantäne gestellt wurden, aus dem öffentlichen Pool, bis sie manuell überprüft wurden.
Sie sind dafür verantwortlich, alle Bibliotheken oder Versionen von Software, die Sie in Ihren Tests verwenden, wie Python-Wheels und Ruby-Gems, auf dem neuesten Stand zu halten. Device Farm empfiehlt, dass Sie Ihre Testbibliotheken aktualisieren.
Diese Ressourcen können dazu beitragen, Ihre Testabhängigkeiten auf dem neuesten Stand zu halten:
+ Informationen zur Sicherung von Ruby-Gems finden Sie auf der RubyGems Website unter [Sicherheitspraktiken](https://guides.rubygems.org/security/).
+ Informationen über das Sicherheitspaket, das von Pipenv verwendet und von der Python Packaging Authority unterstützt wird, um Ihr Abhängigkeitsdiagramm nach bekannten Sicherheitslücken zu durchsuchen, finden Sie unter [Erkennung von Sicherheitslücken](https://github.com/pypa/pipenv/blob/master/docs/advanced.rst#-detection-of-security-vulnerabilities) auf. GitHub
+ [Informationen zum Maven-Abhängigkeitsprüfer des Open Web Application Security Project (OWASP) finden Sie unter OWASP auf der OWASP-Website. DependencyCheck](https://owasp.org/www-project-dependency-check/)
Denken Sie daran, dass selbst wenn ein automatisiertes System keine bekannten Sicherheitsprobleme meldet, dies nicht bedeutet, dass keine vorhanden sein können. Lassen Sie immer Sorgfalt walten, wenn Sie Bibliotheken oder Tools von Drittanbietern verwenden, und überprüfen Sie kryptografische Signaturen, sofern möglich.
# Reaktion auf Vorfälle in Device Farm
Device Farm überwacht Geräte kontinuierlich auf Verhaltensweisen, die auf Sicherheitsprobleme hinweisen könnten. Wenn ein Kunde auf einen Fall aufmerksam gemacht AWS wird, in dem Kundendaten wie Testergebnisse oder Dateien, die auf ein öffentliches Gerät geschrieben wurden, für einen anderen Kunden zugänglich sind, AWS kontaktiert er die betroffenen Kunden gemäß den standardmäßigen Richtlinien für Warnung und Berichterstattung bei Vorfällen, die in allen AWS Diensten verwendet werden.
# Protokollierung und Überwachung in Device Farm
Dieser Service unterstützt AWS CloudTrail. Dabei handelt es sich um einen Service, der AWS Anrufe für Sie aufzeichnet AWS-Konto und Protokolldateien an einen Amazon S3 S3-Bucket übermittelt. Anhand der von gesammelten Informationen können Sie feststellen CloudTrail, an welche Anfragen erfolgreich gestellt wurden AWS-Services, wer die Anfrage gestellt hat, wann sie gestellt wurde usw. Weitere Informationen darüber CloudTrail, wie Sie es einschalten und wie Sie Ihre Protokolldateien finden, finden Sie im [AWS CloudTrail Benutzerhandbuch](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/).
Informationen zur Verwendung CloudTrail mit Device Farm finden Sie unter[Protokollieren von API-Aufrufen von AWS Device Farm mit AWS CloudTrail](logging-using-cloudtrail.md).
# Bewährte Sicherheitsmethoden für Device Farm
Device Farm bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
+ Gewähren Sie jedem System der kontinuierlichen Integration (Continuous Integration System, CI) unter IAM die geringstmöglichen Berechtigungen. Erwägen Sie, temporäre Anmeldeinformationen für jeden CI-Systemtest zu verwenden, so dass ein CI-System auch bei einer Kompromittierung keine falsche Anforderungen stellen kann. Weitere Informationen zu temporären Anmeldeinformationen finden Sie im [IAM-Benutzerhandbuch](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_credentials_temp_request.html#api_assumerole).
+ Verwenden Sie `adb`-Befehle in einer benutzerdefinierten Testumgebung, um von Ihrer Anwendung erstellte Inhalte zu bereinigen. Weitere Informationen über benutzerdefinierten Testumgebungen finden Sie unter [Benutzerdefinierte Testumgebungen in AWS Device Farm](custom-test-environments.md).