Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Visualisieren Sie IAM Anmeldedatenberichte für alle AWS Konten, die Amazon verwenden QuickSight
Erstellt von Parag Nagwekar () und Arun Chandapillai () AWS AWS
Code-Repository: Verschaffen Sie sich einen unternehmensweiten Überblick über Ihre Credential Reports IAM | Umgebung: Produktion | Technologien: Analytik; Beratung; Management und Unternehmensführung; Sicherheit, Identität, Compliance |
Arbeitslast: Alle anderen Workloads | AWSDienste: Amazon Athena; Amazon AWS CloudFormation EventBridge; AWS Identity and Access Management; Amazon QuickSight |
Übersicht
Warnung: IAM Benutzer verfügen über langfristige Anmeldeinformationen, was ein Sicherheitsrisiko darstellt. Um dieses Risiko zu minimieren, empfehlen wir, diesen Benutzern nur die Berechtigungen zu gewähren, die sie für die Ausführung der Aufgabe benötigen, und diese Benutzer zu entfernen, wenn sie nicht mehr benötigt werden. |
Mithilfe von AWS Identity and Access Management (IAM) -Anmeldeinformationsberichten können Sie die Sicherheits-, Prüf- und Compliance-Anforderungen Ihrer Organisation erfüllen. Berichte mit Anmeldeinformationen enthalten eine Liste aller Benutzer in Ihren AWS Konten und zeigen den Status ihrer Anmeldeinformationen an, z. B. Kennwörter, Zugriffsschlüssel und Geräte mit mehrstufiger Authentifizierung ()MFA. Sie können Anmeldeinformationsberichte für mehrere AWS Konten verwenden, die von AWSOrganizations verwaltet werden.
Dieses Muster enthält Schritte und Code, mit denen Sie mithilfe von QuickSight Amazon-Dashboards IAM Anmeldeberichte für alle AWS Konten in Ihrer Organisation erstellen und teilen können. Sie können die Dashboards mit Stakeholdern in Ihrer Organisation teilen. Die Berichte können Ihrem Unternehmen dabei helfen, die folgenden gezielten Geschäftsergebnisse zu erzielen:
Identifizieren Sie Sicherheitsvorfälle im Zusammenhang mit IAM Benutzern
Verfolgen Sie die Migration von IAM Benutzern zur Single Sign-On (SSO) -Authentifizierung in Echtzeit
Verfolgen Sie AWS Regionen, auf die Benutzer IAM zugreifen
Bleiben Sie konform
Teilen Sie Informationen mit anderen Stakeholdern
Voraussetzungen und Einschränkungen
Voraussetzungen
Ein aktives AWS Konto
Eine Organisation mit Mitgliedskonten
Eine IAMRolle mit Berechtigungen für den Zugriff auf Konten in Organizations
AWSCommand Line Interface (AWSCLI) Version 2, installiert und konfiguriert
Ein Abonnement für die Amazon QuickSight Enterprise Edition
Architektur
Technologie-Stack
Amazon Athena
Amazon EventBridge
Amazon QuickSight
Amazon-Simple-Storage-Service (Amazon-S3)
AWS Glue
AWSIdentity and Access Management (IAM)
AWSLambda
AWSOrganizations
Zielarchitektur
Das folgende Diagramm zeigt eine Architektur für die Einrichtung eines Workflows, der IAM Anmeldedaten von mehreren AWS Konten erfasst.
EventBridge ruft täglich eine Lambda-Funktion auf.
Die Lambda-Funktion nimmt in jedem AWS Konto des Unternehmens eine IAM Rolle ein. Anschließend erstellt die Funktion den Bericht mit den IAM Anmeldeinformationen und speichert die Berichtsdaten in einem zentralen S3-Bucket. Sie müssen die Verschlüsselung aktivieren und den öffentlichen Zugriff auf den S3-Bucket deaktivieren.
Ein AWS Glue-Crawler crawlt täglich den S3-Bucket und aktualisiert die Athena-Tabelle entsprechend.
QuickSight importiert und analysiert die Daten aus dem Anmeldeinformationsbericht und erstellt ein Dashboard, das von Stakeholdern visualisiert und mit ihnen geteilt werden kann.
Tools
AWSDienste
Amazon Athena ist ein interaktiver Abfrageservice, der es einfach macht, Daten in Amazon S3 mithilfe von Standards SQL zu analysieren.
Amazon EventBridge ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel Lambda-Funktionen, HTTP Aufruf-Endpunkte, die API Ziele verwenden, oder Event-Busse in anderen Konten. AWS
Amazon QuickSight ist ein Business Intelligence (BI) -Service auf Cloud-Ebene, mit dem Sie Ihre Daten in einem einzigen Dashboard visualisieren, analysieren und melden können.
AWSMit Identity and Access Management (IAM) können Sie den Zugriff auf Ihre AWS Ressourcen sicher verwalten, indem Sie kontrollieren, wer authentifiziert und autorisiert ist, diese zu verwenden.
AWSLambda ist ein Rechendienst, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Er führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.
Code
Der Code für dieses Muster ist im GitHub getiamcredsreport-allaccounts-org
Epen
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Richten Sie die Amazon QuickSight Enterprise Edition ein. |
| AWSAdministrator AWS DevOps, Cloud-Administrator, Cloud-Architekt |
Integrieren Sie Amazon QuickSight mit Amazon S3 und Athena. | Sie müssen sich für die Verwendung von Amazon S3 und Athena autorisierenQuickSight , bevor Sie den AWS CloudFormation Stack bereitstellen. | AWSAdministrator AWS DevOps, Cloud-Administrator, Cloud-Architekt |
Aufgabe | Beschreibung | Erforderliche Fähigkeiten |
---|---|---|
Klonen Sie das GitHub Repository. |
| AWSAdministrator |
Stellen Sie die Infrastruktur bereit. |
| AWSAdministrator |
Erstellen Sie eine IAM Berechtigungsrichtlinie. | Erstellen Sie eine IAM Richtlinie für jedes AWS Konto in Ihrer Organisation mit den folgenden Berechtigungen:
| AWS DevOps, Cloud-Administrator, Cloud-Architekt, Dateningenieur |
Erstellen Sie eine IAM Rolle mit einer Vertrauensrichtlinie. |
Wichtig: Hinweis: Organizations verwenden in der Regel Automatisierung, um IAM Rollen für ihre AWS Konten zu erstellen. Wir empfehlen Ihnen, diese Automatisierung zu verwenden, sofern verfügbar. Alternativ können Sie das | Cloud-Administrator, Cloud-Architekt, AWS Administrator |
Konfigurieren Sie Amazon so QuickSight , dass die Daten visualisiert werden. |
| AWS DevOps, Cloud-Administrator, Cloud-Architekt, Dateningenieur |
Zusätzliche Informationen
Zusätzliche Überlegungen
Berücksichtigen Sie dabei Folgendes:
Nachdem Sie die Infrastruktur bereitgestellt haben, können Sie warten, CloudFormation bis die Berichte in Amazon S3 erstellt und von Athena analysiert wurden, bis Lambda und AWS Glue gemäß ihren Zeitplänen ausgeführt werden. Alternativ können Sie Lambda manuell ausführen, um die Berichte in Amazon S3 abzurufen, und dann den AWS Glue-Crawler ausführen, um die Athena-Tabelle abzurufen, die aus den Daten erstellt wurde.
QuickSight ist ein leistungsstarkes Tool zur Analyse und Visualisierung von Daten auf der Grundlage Ihrer Geschäftsanforderungen. Sie können Parameter verwenden QuickSight , um Widget-Daten auf der Grundlage von Datenfeldern zu steuern, die Sie auswählen. Sie können eine QuickSight Analyse auch verwenden, um Parameter (z. B. Konto-, Datum- und Benutzerfelder wie
partition_0
partition_1
, unduser
bzw.) aus Ihrem Datensatz zu erstellen, um Steuerelemente für die Parameter für Konto, Datum und Benutzer hinzuzufügen.Informationen zum Erstellen eigener QuickSight Dashboards finden Sie auf der AWS Workshop Studio-Website unter QuickSight Workshops
. QuickSight Beispiel-Dashboards finden Sie im GitHub getiamcredsreport-allaccounts-org
Code-Repository.
Gezielte Geschäftsergebnisse
Sie können dieses Muster verwenden, um die folgenden gezielten Geschäftsergebnisse zu erzielen:
Identifizieren Sie Sicherheitsvorfälle im Zusammenhang mit IAM Benutzern — Untersuchen Sie jeden Benutzer in allen AWS Konten in Ihrem Unternehmen über eine zentrale Oberfläche. Sie können den Trend der einzelnen AWS Regionen, auf die ein IAM Benutzer zuletzt zugegriffen hat, und die Dienste, die er genutzt hat, verfolgen.
Verfolgen Sie die Migration von IAM Benutzern zur SSO Authentifizierung in Echtzeit — Mit SSO dieser Option können sich Benutzer einmal mit einem einzigen Berechtigungsnachweis anmelden und auf mehrere AWS Konten und Anwendungen zugreifen. Wenn Sie planen, Ihre IAM Benutzer zu migrierenSSO, kann Ihnen dieses Muster dabei helfen, die gesamte Nutzung von IAM Benutzeranmeldeinformationen (z. B. den Zugriff auf die AWS Management Console oder die Verwendung von Zugriffsschlüsseln) in allen AWS Konten zu verfolgen SSO und zu verfolgen.
AWSRegionen nachverfolgen, auf die IAM Benutzer zugreifen — Sie können den IAM Benutzerzugriff auf Regionen für verschiedene Zwecke steuern, z. B. für Datenhoheit und Kostenkontrolle. Sie können auch die Nutzung von Regionen durch jeden IAM Benutzer nachverfolgen.
Halten Sie sich an die Vorschriften — Wenn Sie dem Prinzip der geringsten Rechte folgen, können Sie nur die spezifischen IAM Berechtigungen gewähren, die für die Ausführung einer bestimmten Aufgabe erforderlich sind. Außerdem können Sie den Zugriff auf AWS Dienste, die AWS Management Console und die langfristige Nutzung von Anmeldeinformationen verfolgen.
Informationen mit anderen Beteiligten teilen — Sie können kuratierte Dashboards mit anderen Beteiligten teilen, ohne ihnen Zugriff auf Berichte oder Konten mit IAM Anmeldeinformationen zu gewähren. AWS