Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Sicherheitsmethoden für Systems Manager
AWS Systems Manager bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
Themen
Systems Manager bewährte Methoden zur präventiven Sicherheit
Die folgenden bewährten Methoden für Systems Manager kann dazu beitragen, Sicherheitsvorfälle zu verhindern.
- Implementieren des Zugriffs mit geringsten Berechtigungen
-
Bei der Erteilung von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche erhält Systems Manager Ressourcen schätzen. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.
Die folgenden Tools stehen zur Implementierung der geringstmöglichen Zugriffsrechte zur Verfügung:
- Verwenden Sie die empfohlenen Einstellungen für SSM Agent wenn für die Verwendung eines Proxys konfiguriert
-
Wenn Sie konfigurieren SSM Agent Um einen Proxy zu verwenden, verwenden Sie die
no_proxy
Variable mit der IP-Adresse des Systems Manager-Instanz-Metadatendienstes, um sicherzustellen, dass Aufrufe von Systems Manager nicht die Identität des Proxydienstes annehmen.Weitere Informationen erhalten Sie unter Konfigurieren SSM Agent um einen Proxy auf Linux-Knoten zu verwenden und Konfiguration SSM Agent So verwenden Sie einen Proxy für Windows Server -Instances.
- Verwenden Sie SecureString Parameter, um geheime Daten zu verschlüsseln und zu schützen
-
In Parameter Store, eine Fähigkeit von AWS Systems Manager, ein
SecureString
Parameter sind alle sensiblen Daten, die auf sichere Weise gespeichert und referenziert werden müssen. Wenn Sie Daten haben, die Benutzer nicht ändern oder als Klartext referenzieren sollen (z. B. Passwörter oder Lizenzschlüssel), erstellen Sie diese Parameter mit demSecureString
-Datentyp. Parameter Store verwendet ein AWS KMS key in AWS Key Management Service (AWS KMS), um den Parameterwert zu verschlüsseln. AWS KMS verwendet Von AWS verwalteter Schlüssel beim Verschlüsseln des Parameterwerts entweder einen vom Kunden verwalteten Schlüssel oder einen. Für maximale Sicherheit empfehlen wir die Verwendung Ihres eigenen KMS Schlüssels. Wenn Sie den verwenden Von AWS verwalteter Schlüssel, kann jeder Benutzer mit der Berechtigung zum Ausführen des GetParameter und GetParametersAktionen in Ihrem Konto können den Inhalt allerSecureString
Parameter anzeigen oder abrufen. Wenn Sie vom Kunden verwaltete Schlüssel zum Verschlüsseln Ihrer sicherenSecureString
Werte verwenden, können Sie mithilfe von IAM Richtlinien und Schlüsselrichtlinien die Berechtigungen für das Verschlüsseln und Entschlüsseln von Parametern verwalten.Es ist schwieriger, Zugriffskontrollrichtlinien für diese Operationen festzulegen, wenn Sie eine verwenden. Von AWS verwalteter Schlüssel Wenn Sie beispielsweise eine Von AWS verwalteter Schlüssel zum Verschlüsseln von
SecureString
Parametern verwenden und nicht möchten, dass Benutzer mitSecureString
Parametern arbeiten, müssen die IAM Benutzerrichtlinien den Zugriff auf den Standardschlüssel explizit verweigern.Weitere Informationen finden Sie unter Einschränken des Zugriffs auf Parameter Store Parameter mithilfe von Richtlinien IAM und Wie AWS Systems Manager Parameter Store Verwendungen AWS KMS im AWS Key Management Service Entwicklerhandbuch.
- Definieren Sie allowedValues und allowedPattern für Dokumentparameter
-
Sie können Benutzereingaben für Parameter in Systems Manager Manager-Dokumenten (SSMDokumenten) validieren, indem Sie
allowedValues
und definierenallowedPattern
. FürallowedValues
definieren Sie ein Array von Werten, die für den Parameter zulässig sind. Wenn ein Benutzer einen Wert eingibt, der nicht zulässig ist, kann die Ausführung nicht gestartet werden. FürallowedPattern
definieren Sie einen regulären Ausdruck, der überprüft, ob die Benutzereingabe mit dem definierten Muster für den Parameter übereinstimmt. Wenn die Benutzereingabe nicht mit dem zulässigen Muster übereinstimmt, kann die Ausführung nicht gestartet werden.Weitere Informationen zu
allowedValues
undallowedPattern
finden Sie unter Datenelemente und Parameter. - Öffentliche Freigabe für Dokumente blockieren
-
Sofern Ihr Anwendungsfall nicht erfordert, dass das öffentliche Teilen erlaubt ist, empfehlen wir, die Einstellung Öffentliche Freigabe blockieren für Ihre SSM Dokumente im Bereich Einstellungen der Systems Manager Manager-Dokumentenkonsole zu aktivieren.
- Verwenden Sie eine Amazon Virtual Private Cloud (AmazonVPC) und VPC Endgeräte
-
Sie können Amazon verwendenVPC, um AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht weitgehend einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben, kann jedoch die Vorzüge der skalierbaren Infrastruktur von AWS nutzen.
Durch die Implementierung eines VPC Endpunkts können Sie Ihre VPC Geräte privat mit unterstützten Diensten AWS-Services und VPC Endpunktdiensten verbinden, die von diesen bereitgestellt werden, AWS PrivateLink ohne dass ein Internet-Gateway, ein NAT Gerät, eine VPN Verbindung oder eine AWS Direct Connect Verbindung erforderlich ist. Instanzen in Ihrem VPC System benötigen keine öffentlichen IP-Adressen, um mit Ressourcen im Service zu kommunizieren. Der Verkehr zwischen Ihrem VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht.
Weitere Informationen zur VPC Sicherheit von Amazon finden Sie unter Verbessern der Sicherheit von EC2 Instances durch die Verwendung von VPC Endpunkten für Systems Manager und Datenschutz im Netzwerkverkehr in Amazon VPC im VPC Amazon-Benutzerhandbuch.
- Restrict Session Manager Benutzer nehmen an Sitzungen teil, die interaktive Befehle und spezifische SSM Sitzungsdokumente verwenden
-
Session Manager, eine Fähigkeit von AWS Systems Manager, bietet mehrere Methoden zum Starten von Sitzungen auf Ihren verwalteten Knoten. Für die sichersten Verbindungen können Sie von den Benutzern verlangen, dass sie sich mit der Methode interaktive Befehle verbinden, um die Benutzerinteraktion auf einen bestimmten Befehl oder eine bestimmte Befehlssequenz zu beschränken. Dies hilft Ihnen bei der Verwaltung der interaktiven Aktionen, die ein Benutzer durchführen kann. Weitere Informationen finden Sie unter Starten einer Sitzung (interaktive und nicht interaktive Befehle).
Für zusätzliche Sicherheit können Sie Folgendes einschränken Session Manager Zugriff auf bestimmte EC2 Amazon-Instances und bestimmte Session Manager Sitzungsdokumente. Sie gewähren oder widerrufen Session Manager Zugriff auf diese Weise mithilfe von AWS Identity and Access Management (IAM) -Richtlinien. Weitere Informationen finden Sie unter Schritt 3: Steuern des Sitzungs-Zugriffs auf verwaltete Knoten.
- Bereitstellen von temporären Knoten-Berechtigungen für Automatisierungs-Workflows
-
Während eines Workflows in Automation ist eine Fähigkeit von AWS Systems Manager, Ihre Knoten benötigen möglicherweise Berechtigungen, die nur für diese Ausführung erforderlich sind, nicht aber für andere Systems Manager Operationen. Für einen Automatisierungs-Workflow kann es beispielsweise erforderlich sein, dass ein Knoten während des Workflows einen bestimmten API Vorgang aufruft oder auf eine AWS Ressource zugreift. Wenn Sie den Zugriff auf diese Aufrufe oder Ressourcen einschränken möchten, können Sie temporäre, zusätzliche Berechtigungen für Ihre Knoten im Automation-Runbook selbst bereitstellen, anstatt die Berechtigungen Ihrem IAM Instanzprofil hinzuzufügen. Am Ende des Automation-Workflows werden die temporären Berechtigungen entfernt. Weitere Informationen finden Sie unter Bereitstellung temporärer Instance-Berechtigungen mit AWS Systems Manager Automations
im AWS Management- und Governance-Blog. - Behalten und AWS Systems Manager Tools auf dem neuesten Stand
-
AWS veröffentlicht regelmäßig aktualisierte Versionen von Tools und Plugins, die Sie in Ihrem AWS und Systems Manager Operationen. Wenn Sie diese Ressourcen auf dem neuesten Stand halten, wird sichergestellt, dass Benutzer und Knoten in Ihrem Konto Zugriff auf die neueste Funktion und Sicherheitsfeatures dieser Tools haben.
-
SSM Agent – AWS Systems Manager Vertreter (SSM Agent) ist Amazon-Software, die auf einer Amazon Elastic Compute Cloud (AmazonEC2) -Instance, einem lokalen Server oder einer virtuellen Maschine (VM) installiert und konfiguriert werden kann. SSM Agent macht es möglich für Systems Manager um diese Ressourcen zu aktualisieren, zu verwalten und zu konfigurieren. Es wird empfohlen, mindestens alle zwei Wochen nach neuen Versionen zu suchen oder Aktualisierungen des Agenten zu automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Wir empfehlen außerdem, die Signatur von zu überprüfen SSM Agent als Teil Ihres Aktualisierungsprozesses. Weitere Informationen finden Sie unter Verifizieren der Signatur von SSM Agent.
-
AWS CLI — The AWS Command Line Interface (AWS CLI) ist ein Open-Source-Tool, mit dem Sie AWS-Services mithilfe von Befehlen in Ihrer Befehlszeilen-Shell interagieren können. Um das zu aktualisieren AWS CLI, führen Sie denselben Befehl aus, mit dem Sie das installiert haben. AWS CLI Wir empfehlen, mindestens alle zwei Wochen eine geplante Aufgabe auf Ihrem lokalen Rechner zu erstellen, um den für Ihr Betriebssystem geeigneten Befehl auszuführen. Informationen zu Installationsbefehlen finden Sie im AWS Command Line Interface Benutzerhandbuch unter Installation der AWS CLI Version 2.
-
AWS Tools for Windows PowerShell — Bei den Tools für Windows PowerShell handelt es sich um eine Reihe von PowerShell Modulen, die auf der durch das AWS SDK for bereitgestellten Funktionalität aufbauen. NET. Sie AWS Tools for Windows PowerShell ermöglichen es Ihnen, Operationen auf Ihren AWS Ressourcen von der PowerShell Befehlszeile aus zu skripten. Wenn aktualisierte Versionen der Tools für Windows veröffentlicht PowerShell werden, sollten Sie regelmäßig die Version aktualisieren, die Sie lokal ausführen. Weitere Informationen finden Sie unter Aktualisieren von AWS Tools for Windows PowerShell unter Windows oder Aktualisieren von AWS Tools for Windows PowerShell unter Linux oder macOSim IAMPolicy Simulator-Benutzerhandbuch.
-
Session Manager Plugin — Wenn Benutzer in Ihrer Organisation über Nutzungsberechtigungen verfügen Session Manager möchten mit dem eine Verbindung zu einem Knoten herstellen AWS CLI, müssen sie zuerst das installieren Session Manager Plugin auf ihren lokalen Computern. Um das Plugin zu aktualisieren, führen Sie denselben Befehl aus, der für die Installation des Plugins verwendet wird. Wir empfehlen, mindestens alle zwei Wochen eine geplante Aufgabe auf Ihrem lokalen Rechner zu erstellen, um den für Ihr Betriebssystem geeigneten Befehl auszuführen. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugins für die AWS CLI.
-
CloudWatch Agent — Sie können den CloudWatch Agenten konfigurieren und verwenden, um Metriken und Protokolle von Ihren EC2 Instanzen, lokalen Instanzen und virtuellen Maschinen zu sammeln (VMs). Diese Protokolle können zur Überwachung und Analyse an Amazon CloudWatch Logs gesendet werden. Es wird empfohlen, mindestens alle zwei Wochen nach neuen Versionen zu suchen oder Aktualisierungen des Agenten zu automatisieren. Für die einfachsten Updates verwenden Sie AWS Systems Manager Schnelle Einrichtung. Weitere Informationen finden Sie unter AWS Systems Manager Quick Setup.
-
Systems Manager Bewährte Verfahren zur Überwachung und Prüfung
Die folgenden bewährten Methoden für Systems Manager kann dabei helfen, potenzielle Sicherheitslücken und Sicherheitsvorfälle zu erkennen.
- Identifizieren und prüfen Sie all Ihre Systems Manager Ressourcen
-
Die Identifikation Ihrer IT-Assets ist ein wichtiger Aspekt von Governance und Sicherheit. Sie müssen alle Ihre identifizieren Systems Manager Ressourcen, um ihre Sicherheitslage zu beurteilen und Maßnahmen gegen potenzielle Schwachstellen zu ergreifen.
Verwenden Sie den Tag-Editor, um sicherheits- und prüfungsrelevante Ressourcen zu identifizieren. Verwenden Sie dann diese Markierungen zur Suche nach den entsprechenden Ressourcen. Weitere Informationen finden Sie unter Suchen nach zu markierenden Ressourcen im AWS Resource Groups -Benutzerhandbuch.
Erstellen Sie Ressourcengruppen für Ihre Systems Manager Ressourcen schätzen. Weitere Informationen finden Sie unter Was sind Ressourcengruppen?
- Implementieren Sie die Überwachung mithilfe der CloudWatch Amazon-Überwachungstools
-
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung von Systems Manager und Ihre AWS Lösungen. Amazon CloudWatch bietet verschiedene Tools und Dienste, die Sie bei der Überwachung unterstützen. Systems Manager und dein anderer AWS-Services. Weitere Informationen erhalten Sie unter Senden von Knotenprotokollen an Unified CloudWatch Logs (CloudWatch Agent) und Überwachung von Systems Manager Manager-Ereignissen mit Amazon EventBridge.
- Benutze CloudTrail
-
AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder einem AWS-Service in ausgeführt wurden Systems Manager. Anhand der von CloudTrail gesammelten Informationen können Sie feststellen, welche Anfrage gestellt wurde Systems Manager, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details. Weitere Informationen finden Sie unter AWS Systems Manager APIAnrufe protokollieren mit AWS CloudTrail.
- Einschalten AWS Config
-
AWS Config ermöglicht es Ihnen, die Konfigurationen Ihrer AWS Ressourcen zu bewerten, zu prüfen und zu bewerten. AWS Config überwacht die Ressourcenkonfigurationen, sodass Sie die aufgezeichneten Konfigurationen mit den erforderlichen sicheren Konfigurationen vergleichen können. Mithilfe AWS Config dieser Funktion können Sie Änderungen an Konfigurationen und Beziehungen zwischen AWS Ressourcen überprüfen, den detaillierten Verlauf der Ressourcenkonfigurationen untersuchen und die allgemeine Konformität mit den in Ihren internen Richtlinien festgelegten Konfigurationen ermitteln. Dadurch können Sie die Compliance-Prüfung, die Sicherheitsanalyse, das Änderungsmanagement und die Fehlerbehebung bei Betriebsabläufen vereinfachen. Weitere Informationen finden Sie unter Einrichten von AWS Config mit der Konsole im AWS Config -Entwicklerhandbuch. Achten Sie bei der Angabe der aufzuzeichnenden Ressourcentypen darauf, dass Systems Manager Ressourcen schätzen.
- Überwachen Sie die AWS Sicherheitsempfehlungen
-
Sie sollten regelmäßig die Trusted Advisor für Sie veröffentlichten Sicherheitshinweise überprüfen. AWS-Konto Sie können dies programmgesteuert tun mit. describe-trusted-advisor-checks
Überwachen Sie außerdem aktiv die primäre E-Mail-Adresse, die für jeden von Ihnen registriert ist. AWS-Konten AWS wird Sie unter Verwendung dieser E-Mail-Adresse über neu auftretende Sicherheitsprobleme kontaktieren, die Sie betreffen könnten.
AWS Betriebsprobleme mit weitreichenden Auswirkungen werden im AWS Service Health Dashboard
veröffentlicht. Operative Probleme werden ebenfalls über das Personal Health Dashboard in den einzelnen Konten gepostet. Weitere Informationen finden Sie in der AWS Health Dokumentation.
- Weitere Informationen