Visualisieren Sie IAM Anmeldedatenberichte für alle AWS Konten, die Amazon verwenden QuickSight - AWS Prescriptive Guidance

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Visualisieren Sie IAM Anmeldedatenberichte für alle AWS Konten, die Amazon verwenden QuickSight

Erstellt von Parag Nagwekar () und Arun Chandapillai () AWS AWS

Code-Repository: Verschaffen Sie sich einen unternehmensweiten Überblick über Ihre Credential Reports IAM

Umgebung: Produktion

Technologien: Analytik; Beratung; Management und Unternehmensführung; Sicherheit, Identität, Compliance

Arbeitslast: Alle anderen Workloads

AWSDienste: Amazon Athena; Amazon AWS CloudFormation EventBridge; AWS Identity and Access Management; Amazon QuickSight

Übersicht

Warnung: IAM Benutzer verfügen über langfristige Anmeldeinformationen, was ein Sicherheitsrisiko darstellt. Um dieses Risiko zu minimieren, empfehlen wir, diesen Benutzern nur die Berechtigungen zu gewähren, die sie für die Ausführung der Aufgabe benötigen, und diese Benutzer zu entfernen, wenn sie nicht mehr benötigt werden.

Mithilfe von AWS Identity and Access Management (IAM) -Anmeldeinformationsberichten können Sie die Sicherheits-, Prüf- und Compliance-Anforderungen Ihrer Organisation erfüllen. Berichte mit Anmeldeinformationen enthalten eine Liste aller Benutzer in Ihren AWS Konten und zeigen den Status ihrer Anmeldeinformationen an, z. B. Kennwörter, Zugriffsschlüssel und Geräte mit mehrstufiger Authentifizierung ()MFA. Sie können Anmeldeinformationsberichte für mehrere AWS Konten verwenden, die von AWSOrganizations verwaltet werden.

Dieses Muster enthält Schritte und Code, mit denen Sie mithilfe von QuickSight Amazon-Dashboards IAM Anmeldeberichte für alle AWS Konten in Ihrer Organisation erstellen und teilen können. Sie können die Dashboards mit Stakeholdern in Ihrer Organisation teilen. Die Berichte können Ihrem Unternehmen dabei helfen, die folgenden gezielten Geschäftsergebnisse zu erzielen:

  • Identifizieren Sie Sicherheitsvorfälle im Zusammenhang mit IAM Benutzern

  • Verfolgen Sie die Migration von IAM Benutzern zur Single Sign-On (SSO) -Authentifizierung in Echtzeit

  • Verfolgen Sie AWS Regionen, auf die Benutzer IAM zugreifen

  • Bleiben Sie konform

  • Teilen Sie Informationen mit anderen Stakeholdern

Voraussetzungen und Einschränkungen

Voraussetzungen

Architektur

Technologie-Stack

  • Amazon Athena

  • Amazon EventBridge

  • Amazon QuickSight

  • Amazon-Simple-Storage-Service (Amazon-S3)

  • AWS Glue

  • AWSIdentity and Access Management (IAM)

  • AWSLambda

  • AWSOrganizations

Zielarchitektur

Das folgende Diagramm zeigt eine Architektur für die Einrichtung eines Workflows, der IAM Anmeldedaten von mehreren AWS Konten erfasst.

Der folgende Screenshot veranschaulicht das Architekturdiagramm
  1. EventBridge ruft täglich eine Lambda-Funktion auf.

  2. Die Lambda-Funktion nimmt in jedem AWS Konto des Unternehmens eine IAM Rolle ein. Anschließend erstellt die Funktion den Bericht mit den IAM Anmeldeinformationen und speichert die Berichtsdaten in einem zentralen S3-Bucket. Sie müssen die Verschlüsselung aktivieren und den öffentlichen Zugriff auf den S3-Bucket deaktivieren.

  3. Ein AWS Glue-Crawler crawlt täglich den S3-Bucket und aktualisiert die Athena-Tabelle entsprechend.

  4. QuickSight importiert und analysiert die Daten aus dem Anmeldeinformationsbericht und erstellt ein Dashboard, das von Stakeholdern visualisiert und mit ihnen geteilt werden kann.

Tools

AWSDienste

  • Amazon Athena ist ein interaktiver Abfrageservice, der es einfach macht, Daten in Amazon S3 mithilfe von Standards SQL zu analysieren.

  • Amazon EventBridge ist ein serverloser Event-Bus-Service, mit dem Sie Ihre Anwendungen mit Echtzeitdaten aus einer Vielzahl von Quellen verbinden können. Zum Beispiel Lambda-Funktionen, HTTP Aufruf-Endpunkte, die API Ziele verwenden, oder Event-Busse in anderen Konten. AWS

  • Amazon QuickSight ist ein Business Intelligence (BI) -Service auf Cloud-Ebene, mit dem Sie Ihre Daten in einem einzigen Dashboard visualisieren, analysieren und melden können.

  • AWSMit Identity and Access Management (IAM) können Sie den Zugriff auf Ihre AWS Ressourcen sicher verwalten, indem Sie kontrollieren, wer authentifiziert und autorisiert ist, diese zu verwenden.

  • AWSLambda ist ein Rechendienst, mit dem Sie Code ausführen können, ohne Server bereitstellen oder verwalten zu müssen. Er führt Ihren Code nur bei Bedarf aus und skaliert automatisch, sodass Sie nur für die tatsächlich genutzte Rechenzeit zahlen.

Code

Der Code für dieses Muster ist im GitHub getiamcredsreport-allaccounts-orgRepository verfügbar. Sie können den Code aus diesem Repository verwenden, um Berichte über IAM Anmeldeinformationen für AWS Konten in Organizations zu erstellen und diese an einem zentralen Ort zu speichern.

Epen

AufgabeBeschreibungErforderliche Fähigkeiten

Richten Sie die Amazon QuickSight Enterprise Edition ein.

  1. Aktivieren Sie die Amazon QuickSight Enterprise Edition in Ihrem AWS Konto. Weitere Informationen finden Sie QuickSight in der QuickSight Dokumentation unter Benutzerzugriff innerhalb von Amazon verwalten.

  2. Um Dashboard-Berechtigungen zu gewähren, rufen Sie den Amazon-Ressourcennamen (ARN) der QuickSight Benutzer ab.

AWSAdministrator AWS DevOps, Cloud-Administrator, Cloud-Architekt

Integrieren Sie Amazon QuickSight mit Amazon S3 und Athena.

Sie müssen sich für die Verwendung von Amazon S3 und Athena autorisierenQuickSight , bevor Sie den AWS CloudFormation Stack bereitstellen.

AWSAdministrator AWS DevOps, Cloud-Administrator, Cloud-Architekt
AufgabeBeschreibungErforderliche Fähigkeiten

Klonen Sie das GitHub Repository.

  1. Klonen Sie das GitHub getiamcredsreport-allaccounts-orgRepository auf Ihren lokalen Computer, indem Sie den folgenden Befehl ausführen: git clone https://github.com/aws-samples/getiamcredsreport-allaccounts-org

AWSAdministrator

Stellen Sie die Infrastruktur bereit.

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die CloudFormation Konsole.

  2. Wählen Sie im Navigationsbereich Stapel erstellen und dann Mit neuen Ressourcen (Standard) aus.

  3. Wählen Sie auf der Seite Ressourcen identifizieren die Option Weiter aus.

  4. Wählen Sie auf der Seite Vorlage angeben für Vorlagenquelle die Option Vorlagendatei hochladen aus.

  5. Wählen Sie Datei auswählen, wählen Sie die Cloudformation-createcredrepo.yaml Datei aus Ihrem geklonten GitHub Repository aus und klicken Sie dann auf Weiter.

  6. Aktualisieren Sie IAMRoleName unter Parameter Ihre IAM Rolle. Dies sollte die IAM Rolle sein, die Lambda in jedem Konto der Organisation übernehmen soll. Diese Rolle erstellt den Anmeldeinformationsbericht. Hinweis: Die Rolle muss in diesem Schritt der Stack-Erstellung nicht in allen Konten vorhanden sein.

  7. Aktualisieren Sie unter Parameter S3BucketName mit dem Namen des S3-Buckets, in dem Lambda die Anmeldeinformationen für alle Konten speichern kann.

  8. Geben Sie als Stack-Name Ihren Stack-Namen ein.

  9. Wählen Sie Absenden aus.

  10. Notieren Sie sich den Rollennamen der Lambda-Funktion.

AWSAdministrator

Erstellen Sie eine IAM Berechtigungsrichtlinie.

Erstellen Sie eine IAM Richtlinie für jedes AWS Konto in Ihrer Organisation mit den folgenden Berechtigungen:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:GenerateCredentialReport", "iam:GetCredentialReport" ], "Resource": "*" } ] }
AWS DevOps, Cloud-Administrator, Cloud-Architekt, Dateningenieur

Erstellen Sie eine IAM Rolle mit einer Vertrauensrichtlinie.

  1. Erstellen Sie eine IAM Rolle für die AWS Konten und fügen Sie die Berechtigungsrichtlinie hinzu, die Sie im vorherigen Schritt erstellt haben.

  2. Fügen Sie der IAM Rolle die folgende Vertrauensrichtlinie hinzu:

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Principal":{ "AWS":[ "arn:aws:iam::<MasterAccountID>:role/<LambdaRole>" ] }, "Action":"sts:AssumeRole" } ] }

Wichtig: arn:aws:iam::<MasterAccountID>:role/<LambdaRole> Ersetzen Sie sie durch die ARN Lambda-Rolle, die Sie zuvor notiert haben.

Hinweis: Organizations verwenden in der Regel Automatisierung, um IAM Rollen für ihre AWS Konten zu erstellen. Wir empfehlen Ihnen, diese Automatisierung zu verwenden, sofern verfügbar. Alternativ können Sie das CreateRoleforOrg.py Skript aus dem Code-Repository verwenden. Das Skript erfordert eine bestehende Administratorrolle oder eine andere IAM Rolle, die berechtigt ist, in jedem AWS Konto eine IAM Richtlinie und Rolle zu erstellen.

Cloud-Administrator, Cloud-Architekt, AWS Administrator

Konfigurieren Sie Amazon so QuickSight , dass die Daten visualisiert werden.

  1. Melden Sie sich QuickSight mit Ihren Zugangsdaten an.

  2. Erstellen Sie mithilfe von Athena einen Datensatz (mithilfe der iamcredreportdb Datenbank und der “cfn_iamcredreport” Tabelle), und aktualisieren Sie den Datensatz anschließend automatisch.

  3. Erstellen Sie eine Analyse in QuickSight.

  4. Erstellen Sie ein QuickSight Dashboard.

AWS DevOps, Cloud-Administrator, Cloud-Architekt, Dateningenieur

Zusätzliche Informationen

Zusätzliche Überlegungen

Berücksichtigen Sie dabei Folgendes:

  • Nachdem Sie die Infrastruktur bereitgestellt haben, können Sie warten, CloudFormation bis die Berichte in Amazon S3 erstellt und von Athena analysiert wurden, bis Lambda und AWS Glue gemäß ihren Zeitplänen ausgeführt werden. Alternativ können Sie Lambda manuell ausführen, um die Berichte in Amazon S3 abzurufen, und dann den AWS Glue-Crawler ausführen, um die Athena-Tabelle abzurufen, die aus den Daten erstellt wurde.

  • QuickSight ist ein leistungsstarkes Tool zur Analyse und Visualisierung von Daten auf der Grundlage Ihrer Geschäftsanforderungen. Sie können Parameter verwenden QuickSight , um Widget-Daten auf der Grundlage von Datenfeldern zu steuern, die Sie auswählen. Sie können eine QuickSight Analyse auch verwenden, um Parameter (z. B. Konto-, Datum- und Benutzerfelder wie partition_0partition_1, und user bzw.) aus Ihrem Datensatz zu erstellen, um Steuerelemente für die Parameter für Konto, Datum und Benutzer hinzuzufügen.

  • Informationen zum Erstellen eigener QuickSight Dashboards finden Sie auf der AWS Workshop Studio-Website unter QuickSight Workshops.

  • QuickSight Beispiel-Dashboards finden Sie im GitHub getiamcredsreport-allaccounts-orgCode-Repository.

Gezielte Geschäftsergebnisse

Sie können dieses Muster verwenden, um die folgenden gezielten Geschäftsergebnisse zu erzielen:

  • Identifizieren Sie Sicherheitsvorfälle im Zusammenhang mit IAM Benutzern — Untersuchen Sie jeden Benutzer in allen AWS Konten in Ihrem Unternehmen über eine zentrale Oberfläche. Sie können den Trend der einzelnen AWS Regionen, auf die ein IAM Benutzer zuletzt zugegriffen hat, und die Dienste, die er genutzt hat, verfolgen.

  • Verfolgen Sie die Migration von IAM Benutzern zur SSO Authentifizierung in Echtzeit — Mit SSO dieser Option können sich Benutzer einmal mit einem einzigen Berechtigungsnachweis anmelden und auf mehrere AWS Konten und Anwendungen zugreifen. Wenn Sie planen, Ihre IAM Benutzer zu migrierenSSO, kann Ihnen dieses Muster dabei helfen, die gesamte Nutzung von IAM Benutzeranmeldeinformationen (z. B. den Zugriff auf die AWS Management Console oder die Verwendung von Zugriffsschlüsseln) in allen AWS Konten zu verfolgen SSO und zu verfolgen.

  • AWSRegionen nachverfolgen, auf die IAM Benutzer zugreifen — Sie können den IAM Benutzerzugriff auf Regionen für verschiedene Zwecke steuern, z. B. für Datenhoheit und Kostenkontrolle. Sie können auch die Nutzung von Regionen durch jeden IAM Benutzer nachverfolgen.

  • Halten Sie sich an die Vorschriften — Wenn Sie dem Prinzip der geringsten Rechte folgen, können Sie nur die spezifischen IAM Berechtigungen gewähren, die für die Ausführung einer bestimmten Aufgabe erforderlich sind. Außerdem können Sie den Zugriff auf AWS Dienste, die AWS Management Console und die langfristige Nutzung von Anmeldeinformationen verfolgen.

  • Informationen mit anderen Beteiligten teilen — Sie können kuratierte Dashboards mit anderen Beteiligten teilen, ohne ihnen Zugriff auf Berichte oder Konten mit IAM Anmeldeinformationen zu gewähren. AWS