Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden AWS Organizations aus Sicherheitsgründen
| Beeinflussen Sie die future der AWS Security Reference Architecture (AWS SRA), indem Sie an einer kurzen Umfrage teilnehmen |
AWS Organizations
Mit können Sie SCPs und RCPs verwenden AWS Organizations, um Zugriffsberechtigungen auf AWS Organisations-, OU- oder Kontoebene festzulegen. SCPs sind Guardrails, die für Principals innerhalb eines Unternehmenskontos gelten, mit Ausnahme des Verwaltungskontos (was ein Grund dafür ist, Workloads nicht in diesem Konto auszuführen). Wenn Sie einer Organisationseinheit ein SCP zuordnen, wird das SCP von den untergeordneten Organisationseinheiten und den Konten dieser Organisationseinheit übernommen. SCPs gewähren keine Berechtigungen. Stattdessen geben sie die maximalen Berechtigungen an, die Ihren Prinzipalen in einer AWS Organisation, Organisationseinheit oder einem Konto zur Verfügung stehen. Sie müssen den Prinzipalen oder Ressourcen in Ihrer Umgebung dennoch identitäts- oder ressourcenbasierte Richtlinien zuordnen, um ihnen tatsächlich Berechtigungen AWS-Konten zu erteilen. Wenn ein SCP beispielsweise den Zugriff auf Amazon S3 verweigert, hat ein vom SCP betroffener Principal keinen Zugriff auf Amazon S3, selbst wenn ihm der Zugriff durch eine IAM-Richtlinie ausdrücklich gewährt wird. Weitere Informationen darüber, wie IAM-Richtlinien bewertet werden, welche Rolle SCPs spielen und wie der Zugriff letztlich gewährt oder verweigert wird, finden Sie unter Bewertungslogik für Richtlinien in der IAM-Dokumentation.
RCPs sind Leitplanken, die für Ressourcen innerhalb der Konten einer Organisation gelten, unabhängig davon, ob die Ressourcen derselben Organisation gehören. Wie SCPs wirken sich RCPs nicht auf die Ressourcen im Verwaltungskonto aus und gewähren keine Berechtigungen. Wenn Sie ein RCP an eine Organisationseinheit anhängen, wird das RCP von den untergeordneten Organisationseinheiten und den Konten unter der Organisationseinheit übernommen. RCPs bieten die zentrale Kontrolle über die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation und unterstützen derzeit eine Teilmenge davon. AWS-Services Wenn Sie SCPs für Ihre Organisationseinheiten entwerfen, empfehlen wir Ihnen, die Änderungen mithilfe des IAM-Richtliniensimulators zu bewerten. Sie sollten auch die Daten, auf die der Dienst zuletzt zugegriffen hat, in IAM überprüfen und die Dienstnutzung auf API-Ebene protokollieren, um die potenziellen Auswirkungen von SCP-Änderungen zu verstehen.AWS CloudTrail
SCPs und RCPs sind unabhängige Kontrollen. Je nach den Zugriffskontrollen, die Sie durchsetzen möchten, können Sie entweder nur SCPs oder RCPs aktivieren oder beide Richtlinientypen zusammen verwenden. Wenn Sie beispielsweise verhindern möchten, dass die Prinzipale Ihrer Organisation auf Ressourcen außerhalb Ihrer Organisation zugreifen, setzen Sie diese Kontrolle mithilfe von SCPs durch. Wenn Sie den Zugriff externer Identitäten auf Ihre Ressourcen einschränken oder verhindern möchten, setzen Sie diese Kontrolle mithilfe von RCPs durch. Weitere Informationen und Anwendungsfälle für RCPs und SCPs finden Sie in der Dokumentation unter Verwenden von SCPs und RCPs. AWS Organizations
Sie können AWS Organizations deklarative Richtlinien verwenden, um Ihre gewünschte Konfiguration für eine bestimmte Größe AWS-Service im gesamten Unternehmen zentral zu deklarieren und durchzusetzen. Sie können beispielsweise den öffentlichen Internetzugang zu Amazon VPC-Ressourcen in Ihrer gesamten Organisation blockieren. Im Gegensatz zu Autorisierungsrichtlinien wie SCPs und RCPs werden deklarative Richtlinien in der Kontrollebene eines AWS Dienstes durchgesetzt. Autorisierungsrichtlinien regeln den Zugriff auf APIs, wohingegen deklarative Richtlinien direkt auf Serviceebene angewendet werden, um dauerhafte Absichten durchzusetzen. Diese Richtlinien tragen dazu bei, dass die Basiskonfiguration für einen immer beibehalten AWS-Service wird, auch wenn der Dienst neue Funktionen oder APIs einführt. Die Basiskonfiguration wird auch beibehalten, wenn einer Organisation neue Konten hinzugefügt werden oder wenn neue Prinzipale und Ressourcen erstellt werden. Deklarative Richtlinien können auf eine gesamte Organisation oder auf bestimmte Organisationseinheiten oder Konten angewendet werden.
Jeder AWS-Konto hat einen einzelnen Root-Benutzer, der standardmäßig über vollständige Berechtigungen für alle AWS Ressourcen verfügt. Aus Sicherheitsgründen empfehlen wir, den Root-Benutzer nicht zu verwenden, außer für einige Aufgaben, für die ausdrücklich ein Root-Benutzer erforderlich ist. Wenn Sie mehrere Konten verwalten AWS-Konten AWS Organizations, können Sie die Root-Anmeldung zentral deaktivieren und dann für alle Mitgliedskonten Aktionen mit Root-Rechten ausführen. Nachdem Sie den Root-Zugriff für Mitgliedskonten zentral verwaltet haben, können Sie das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate löschen und die Multi-Faktor-Authentifizierung (MFA) für Mitgliedskonten deaktivieren. Neue Konten, die im Rahmen des zentral verwalteten Root-Zugriffs erstellt werden, haben standardmäßig keine Root-Benutzeranmeldedaten. Mitgliedskonten können sich nicht mit ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen.
AWS Control Tower
AWS Organizations hilft Ihnen bei der Konfiguration, die für alle Ihre Konten AWS-Servicesgilt. Sie können beispielsweise die zentrale Protokollierung aller Aktionen konfigurieren, die in Ihrer AWS Organisation ausgeführt werden, indem Sie die Protokollierung durch Mitgliedskonten deaktivieren CloudTrail,
Die Standardkonfiguration von AWS Organizations unterstützt die Verwendung von SCPs als Sperrlisten. Mithilfe einer Strategie für Ablehnungslisten können Administratoren von Mitgliedskonten alle Dienste und Aktionen delegieren, bis Sie einen SCP erstellen und anhängen, der einen bestimmten Dienst oder eine Reihe von Aktionen verweigert. Ablehnungsbefehle erfordern weniger Wartung als eine Zulassungsliste, da Sie sie nicht aktualisieren müssen, wenn neue Dienste AWS hinzugefügt werden. Deny-Anweisungen haben normalerweise eine kürzere Zeichenlänge, sodass es einfacher ist, die maximale Größe für SCPs einzuhalten. Bei einer Anweisung, in der das Element Effect den Wert Deny hat, können Sie außerdem den Zugriff auf bestimmte Ressourcen beschränken oder Bedingungen dafür festlegen, wann die SCPs wirksam sind. Im Gegensatz dazu gilt eine Allow Aussage in einem SCP für alle Ressourcen ("*") und kann nicht durch Bedingungen eingeschränkt werden. Weitere Informationen und Beispiele finden Sie in der Dokumentation unter Strategien für die Verwendung von SCPs. AWS Organizations
Designüberlegungen
-
Um SCPs als Zulassungsliste zu verwenden, müssen Sie alternativ das von AWS verwaltete
FullAWSAccessSCP durch ein SCP ersetzen, das ausdrücklich nur die Services und Aktionen zulässt, die Sie zulassen möchten. Damit eine Berechtigung für ein bestimmtes Konto aktiviert werden kann, muss jeder SCP (vom Stamm bis zu jeder Organisationseinheit im direkten Pfad zum Konto und sogar dem Konto selbst angehängt) diese Genehmigung erteilen. Dieses Modell ist restriktiver und eignet sich möglicherweise für stark regulierte und sensible Workloads. Bei diesem Ansatz müssen Sie jeden IAM-Dienst oder jede IAM-Aktion auf dem Pfad von der AWS-Konto zur Organisationseinheit explizit zulassen. -
Idealerweise würden Sie eine Kombination aus Deny-List- und Allow-List-Strategien verwenden. Verwenden Sie die Zulassungsliste, um die Liste der AWS-Services zugelassenen Personen zu definieren, die innerhalb einer AWS Organisation verwendet werden dürfen, und fügen Sie diesen SCP an das Stammverzeichnis Ihrer AWS Organisation an. Wenn für Ihre Entwicklungsumgebung unterschiedliche Dienste zugelassen sind, fügen Sie jeder Organisationseinheit die entsprechenden SCPs hinzu. Anschließend können Sie die Ablehnungsliste verwenden, um Unternehmensleitplanken zu definieren, indem Sie bestimmte IAM-Aktionen explizit ablehnen.
-
RCPs gelten für Ressourcen für eine Teilmenge von. AWS-Services Weitere Informationen finden Sie in der Dokumentation unter Liste der RCPs AWS-Services , die RCPs unterstützen. AWS Organizations Die Standardkonfiguration von AWS Organizations unterstützt die Verwendung von RCPs als Ablehnungslisten. Wenn Sie RCPs in Ihrer Organisation aktivieren,
RCPFullAWSAccesswird automatisch eine AWS verwaltete Richtlinie mit dem Namen „Root“ der Organisation, jeder Organisationseinheit und jedem Konto in Ihrer Organisation hinzugefügt. Sie können diese Richtlinie nicht trennen. Dieses Standard-RCP ermöglicht es allen Prinzipalen und Aktionen, auf die zugegriffen wird, die RCP-Bewertung zu durchlaufen. Das heißt, bis Sie mit dem Erstellen und Anhängen von RCPs beginnen, funktionieren alle Ihre bestehenden IAM-Berechtigungen weiterhin wie bisher. Diese AWS verwaltete Richtlinie gewährt keinen Zugriff. Anschließend können Sie neue RCPs als Liste mit Ablehnungsaussagen erstellen, um den Zugriff auf Ressourcen in Ihrer Organisation zu blockieren.