Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# IAM-Root-Benutzeraktivitäten überwachen
<a name="monitor-iam-root-user-activity"></a>

*JJ Sung und Mostefa Brougui, Amazon Web Services*

## Zusammenfassung
<a name="monitor-iam-root-user-activity-summary"></a>

Jedes Amazon Web Services (AWS) -Konto hat einen Root-Benutzer. Als [bewährte Sicherheitsmethode](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) für AWS Identity and Access Management (IAM) empfehlen wir, dass Sie den Root-Benutzer verwenden, um die Aufgaben zu erledigen, die nur der Root-Benutzer ausführen kann. Die vollständige Liste finden Sie unter [Aufgaben, für die Root-Benutzeranmeldedaten erforderlich](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html) sind, im *Referenzhandbuch zur AWS-Kontoverwaltung*. Da der Root-Benutzer vollen Zugriff auf all Ihre AWS-Ressourcen und Rechnungsinformationen hat, empfehlen wir Ihnen, dieses Konto nicht zu verwenden und es auf Aktivitäten zu überwachen, die darauf hindeuten könnten, dass die Root-Benutzeranmeldedaten kompromittiert wurden.

Mithilfe dieses Musters richten Sie eine [ereignisgesteuerte Architektur ein, die den IAM-Root-Benutzer](https://aws.amazon.com/event-driven-architecture/) überwacht. Dieses Muster richtet eine hub-and-spoke Lösung ein, die mehrere AWS-Konten, die *Spoke-Konten*, überwacht und die Verwaltung und Berichterstattung in einem einzigen Konto, dem *Hub-Konto*, zentralisiert.

Wenn die IAM-Root-Benutzeranmeldedaten verwendet werden, CloudTrail zeichnen Amazon CloudWatch und AWS die Aktivität im Protokoll bzw. im Trail auf. Im Spoke-Konto sendet eine EventBridge Amazon-Regel das Ereignis an den zentralen [Event-Bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) im Hub-Konto. Im Hub-Konto sendet eine EventBridge Regel das Ereignis an eine AWS Lambda Lambda-Funktion. Die Funktion verwendet ein Amazon Simple Notification Service (Amazon SNS) -Thema, das Sie über die Root-Benutzeraktivität informiert.

In diesem Muster verwenden Sie eine CloudFormation AWS-Vorlage, um die Überwachungs- und Ereignisbehandlungsdienste in den Spoke-Konten bereitzustellen. Sie verwenden eine HashiCorp Terraform-Vorlage, um die Eventmanagement- und Benachrichtigungsdienste im Hub-Konto bereitzustellen.

## Voraussetzungen und Einschränkungen
<a name="monitor-iam-root-user-activity-prereqs"></a>

**Voraussetzungen**

1. Berechtigungen zur Bereitstellung von AWS-Ressourcen in Ihrer AWS-Umgebung.

1. Berechtigungen zur Bereitstellung von CloudFormation Stack-Sets. Weitere Informationen finden Sie unter [Voraussetzungen für Stack-Set-Operationen](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-prereqs.html) (CloudFormation Dokumentation).

1. Terraform ist installiert und einsatzbereit. Weitere Informationen finden [Sie unter Erste Schritte — AWS](https://learn.hashicorp.com/collections/terraform/aws-get-started) (Terraform-Dokumentation).

1. Ein vorhandener Trail in jedem Spoke-Konto. Weitere Informationen finden Sie unter [Erste Schritte mit AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-tutorial.html) (CloudTrail Dokumentation).

1. Der Trail ist so konfiguriert, dass Ereignisse an CloudWatch Logs gesendet werden. Weitere Informationen finden Sie unter [Ereignisse an CloudWatch Protokolle senden](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/send-cloudtrail-events-to-cloudwatch-logs.html) (CloudTrail Dokumentation).

1. Ihre Hub-and-Spoke-Konten müssen von AWS Organizations verwaltet werden.

## Architektur
<a name="monitor-iam-root-user-activity-architecture"></a>

Das folgende Diagramm veranschaulicht die Bausteine der Implementierung.

![\[Ein Ereignis in einem Spoke-Konto, das eine E-Mail-Benachrichtigung in einem Hub-Konto erstellt\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/images/pattern-img/175f356b-f9df-4d33-82fc-fe33b2c88b05/images/6147e5b5-616e-49a4-b330-dbb7e3381fe7.png)


1. Wenn die CloudTrail IAM-Root-Benutzeranmeldedaten verwendet werden CloudWatch und die Aktivität im Protokoll bzw. im Trail aufgezeichnet wird.

1. Im Spoke-Konto sendet eine EventBridge Regel das Ereignis an den zentralen [Event-Bus](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-event-bus.html) im Hub-Konto.

1. Im Hub-Konto sendet eine EventBridge Regel das Ereignis an eine Lambda-Funktion.

1. Die Lambda-Funktion verwendet ein Amazon SNS SNS-Thema, das Sie über die Root-Benutzeraktivität informiert.

## Tools
<a name="monitor-iam-root-user-activity-tools"></a>

**AWS-Services**
+ [AWS CloudFormation](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/Welcome.html) hilft Ihnen dabei, AWS-Ressourcen einzurichten, sie schnell und konsistent bereitzustellen und sie während ihres gesamten Lebenszyklus über AWS-Konten und Regionen hinweg zu verwalten.
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html) unterstützt Sie bei der Prüfung der Unternehmensführung, der Einhaltung von Vorschriften und des Betriebsrisikos Ihres AWS-Kontos.
+ [Amazon CloudWatch Logs](https://docs.aws.amazon.com/AmazonCloudWatch/latest/logs/WhatIsCloudWatchLogs.html) hilft Ihnen dabei, die Protokolle all Ihrer Systeme, Anwendungen und AWS-Services zu zentralisieren, sodass Sie sie überwachen und sicher archivieren können.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel AWS-Lambda-Funktionen, HTTP-Aufruf-Endpunkte, die API-Ziele verwenden, oder Event-Busse in anderen AWS-Konten.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) hilft Ihnen dabei, den Zugriff auf Ihre AWS-Ressourcen sicher zu verwalten, indem kontrolliert wird, wer authentifiziert und autorisiert ist, diese zu verwenden.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) ist ein Rechenservice, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Er führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
+ [Amazon Simple Notification Service (Amazon SNS)](https://docs.aws.amazon.com/sns/latest/dg/welcome.html) unterstützt Sie bei der Koordination und Verwaltung des Nachrichtenaustauschs zwischen Herausgebern und Kunden, einschließlich Webservern und E-Mail-Adressen.

**Andere Tools und Dienste**
+ [Terraform](https://www.terraform.io/docs) ist eine CLI-Anwendung zur Bereitstellung und Verwaltung von Cloud-Infrastruktur und -Ressourcen mithilfe von Code in Form von Konfigurationsdateien.

**Code-Repository**

Der Quellcode und die Vorlagen für dieses Muster sind in einem [GitHub Repository](https://github.com/aws-samples/aws-iam-root-user-activity-monitor) verfügbar. Dieses Muster bietet zwei Vorlagen:
+ Eine Terraform-Vorlage, die die Ressourcen enthält, die Sie im Hub-Konto bereitstellen
+ Eine CloudFormation Vorlage, die Sie als Stackset-Instanz in den Spoke-Konten bereitstellen

Das Repository hat die folgende Gesamtstruktur.

```
.
 |__README.md
 |__spoke-stackset.yaml
 |__hub.tf
 |__root-activity-monitor-module
     |__main.tf  # contains Terraform code to deploy resources in the Hub account
     |__iam      # contains IAM policies JSON files
         |__ lambda-assume-policy.json          # contains trust policy of the IAM role used by the Lambda function
         |__ lambda-policy.json                 # contains the IAM policy attached to the IAM role used by the Lambda function
     |__outputs  # contains Lambda function zip code
```

Der Abschnitt *Epics* enthält step-by-step Anweisungen zum Bereitstellen der Vorlagen.

## Epen
<a name="monitor-iam-root-user-activity-epics"></a>

### Stellen Sie Ressourcen für das Hub-Konto bereit
<a name="deploy-resources-to-the-hub-account"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Klonen Sie das Beispielcode-Repository. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | Allgemeines AWS | 
| Aktualisieren Sie die Terraform-Vorlage. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | Allgemeines AWS | 
| Stellen Sie die Ressourcen auf dem AWS-Hub-Konto bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | Allgemeines AWS | 

### Stellen Sie Ressourcen für Ihre Spoke-Konten bereit
<a name="deploy-resources-to-your-spoke-accounts"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Stellen Sie die CloudFormation Vorlage bereit. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html)Weitere Informationen und Anweisungen finden Sie unter [Erstellen eines Stack-Sets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-getting-started-create.html) (CloudFormation Dokumentation). | Allgemeines AWS | 

### (Optional) Testen Sie die Benachrichtigungen
<a name="optional-test-the-notifications"></a>


| Aufgabe | Description | Erforderliche Fähigkeiten | 
| --- | --- | --- | 
| Verwenden Sie die Root-Benutzeranmeldedaten. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/prescriptive-guidance/latest/patterns/monitor-iam-root-user-activity.html) | Allgemeines AWS | 

## Zugehörige Ressourcen
<a name="monitor-iam-root-user-activity-resources"></a>
+ [Bewährte Sicherheitsmethoden](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) (IAM-Dokumentation)
+ [Arbeiten mit StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) (CloudFormation Dokumentation)
+ [Erste Schritte](https://learn.hashicorp.com/collections/terraform/aws-get-started) (Terraform-Dokumentation)

## Zusätzliche Informationen
<a name="monitor-iam-root-user-activity-additional"></a>

[Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) ist ein Dienst zur kontinuierlichen Sicherheitsüberwachung, der Protokolle analysiert und verarbeitet, um unerwartete und potenziell nicht autorisierte Aktivitäten in Ihrer AWS-Umgebung zu identifizieren. Als Alternative zu dieser Lösung können Sie, sofern Sie sie aktiviert haben GuardDuty, eine Benachrichtigung erhalten, wenn die Root-Benutzeranmeldedaten verwendet wurden. Das GuardDuty Ergebnis ist`Policy:IAMUser/RootCredentialUsage`, und der Standardschweregrad ist **Niedrig**. Weitere Informationen finden Sie unter [ GuardDuty Amazon-Ergebnisse verwalten](https://docs.aws.amazon.com/guardduty/latest/ug/findings_management.html).