SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen
Wenn Sie sich nicht auf temporäre Anmeldeinformationen verlassen können und langfristige Anmeldeinformationen benötigen, prüfen Sie die Anmeldeinformationen, um sicherzustellen, dass die definierten Kontrollen (z. B. Multi-Faktor-Authentifizierung, MFA) erzwungen und regelmäßig rotiert werden sowie über die entsprechende Zugriffsebene verfügen. Eine regelmäßige Validierung, vorzugsweise durch ein automatisiertes Tool, ist erforderlich, um zu überprüfen, ob die richtigen Kontrollen angewendet werden. Für Personenidentitäten sollten Sie festlegen, dass Benutzer ihre Passwörter regelmäßig ändern und anstelle von Zugriffsschlüsseln temporäre Anmeldeinformationen verwenden. Bei der Umstellung von AWS Identity and Access Management-Benutzern (IAM) zu zentralisierten Identitäten können Sie einen Bericht zu Anmeldeinformationen generieren , um Ihre IAM-Benutzer zu überprüfen. Wir empfehlen außerdem, dass Sie die MFA-Einstellungen in Ihrem Identitätsanbieter erzwingen. Sie können AWS-Config-Regeln einrichten, um diese Einstellungen zu überwachen. Für Maschinenidentitäten sollten Sie sich auf temporäre Anmeldeinformationen mit IAM-Rollen verlassen. In Situationen, in denen dies nicht möglich ist, ist eine häufige Prüfung und Änderung von Zugriffsschlüsseln erforderlich.
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
-
Prüfen Sie Anmeldeinformationen regelmäßig: Verwenden Sie Berichte zu Anmeldeinformationen und Identify and Access Management (IAM) Access Analyzer, um IAM-Anmeldeinformationen und -Berechtigungen zu prüfen.
-
Verwenden Sie Zugriffsebenen, um IAM-Berechtigungen zu prüfen: Um die Sicherheit Ihres AWS-Konto-Kontos zu erhöhen, sollten Sie Ihre IAM-Richtlinien regelmäßig überprüfen und überwachen. Sorgen Sie dafür, dass mit den Richtlinien Zugriffsrechte nur in dem Umfang erteilt werden, wie sie für die jeweiligen Aktionen erforderlich sind.
-
Erwägen Sie, die Erstellung und Aktualisierung von IAM-Ressourcen zu automatisieren: Mit AWS CloudFormation kann die Bereitstellung von IAM-Ressourcen einschließlich Rollen und Richtlinien automatisiert werden. So lässt sich die Zahl menschlicher Fehler verringern, da die Vorlagen verifiziert und ihre Versionen kontrolliert werden können.
Ressourcen
Zugehörige Dokumente:
Relevante Videos: