SEC02-BP02 Temporäre Anmeldeinformationen verwenden

Bei Authentifizierungen jeder Art, sollten am besten temporäre anstelle langfristiger Anmeldeinformationen verwendet werden, um Risiken zu reduzieren oder zu eliminieren, etwa durch die unbeabsichtigte Offenlegung, die Weitergabe oder den Diebstahl von Anmeldeinformationen.

Gewünschtes Ergebnis: Um das Risiko langfristiger Anmeldeinformationen zu verringern, sollten Sie nach Möglichkeit sowohl für menschliche als auch für maschinelle Identitäten temporäre Anmeldeinformationen verwenden. Langfristige Anmeldeinformationen bergen viele Risiken. Sie können beispielsweise als Code in öffentliche GitHub Repositorien hochgeladen werden. Durch die Verwendung temporärer Anmeldeinformationen können Sie die Gefahr, dass Anmeldeinformationen kompromittiert werden, deutlich senken.

Typische Anti-Muster:

Entwickler verwenden langfristige Zugriffsschlüssel von IAM Benutzern, anstatt temporäre Anmeldeinformationen vom CLI verwendenden Verbund zu erhalten.
Entwickler betten langfristige Zugriffsschlüssel in ihren Code ein und laden diese in öffentliche Git-Repositorys hoch.
Entwickler betten langfristige Zugriffsschlüssel in Mobil-Apps ein, die dann in App-Stores verfügbar gemacht werden.
Benutzer geben langfristige Zugriffsschlüssel an andere Benutzer weiter, oder Mitarbeiter verlassen das Unternehmen und besitzen weiterhin langfristige Zugriffsschlüssel.
Es werden langfristige Zugriffsschlüssel für Maschinenidentitäten genutzt, obwohl temporäre Anmeldeinformationen verwendet werden könnten.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch

Implementierungsleitfaden

Verwenden Sie temporäre Sicherheitsanmeldedaten anstelle von langfristigen Anmeldeinformationen für alle AWS API CLI Anfragen. APIund CLI Anfragen an AWS Dienste müssen in fast allen Fällen mit AWS Zugriffsschlüsseln signiert werden. Diese Anfragen können mit temporären oder langfristigen Anmeldeinformationen signiert werden. Sie sollten langfristige Anmeldeinformationen, auch als langfristige Zugriffsschlüssel bezeichnet, nur verwenden, wenn Sie einen IAMBenutzer oder den AWS-Konto Root-Benutzer verwenden. Wenn Sie sich mit anderen Methoden verbinden AWS oder eine IAMRolle übernehmen, werden temporäre Anmeldeinformationen generiert. Selbst wenn Sie AWS Management Console mithilfe von Anmeldeinformationen auf das zugreifen, werden temporäre Anmeldeinformationen generiert, mit denen Sie Dienste aufrufen können. AWS Es gibt nur wenige Situationen, in denen Sie langfristige Anmeldeinformationen benötigen, und fast alle Aufgaben lassen sich mit temporären Anmeldeinformationen erledigen.

Die Vermeidung der Verwendung langfristiger Anmeldeinformationen zugunsten temporärer Anmeldeinformationen sollte mit einer Strategie einhergehen, die Nutzung von IAM Benutzern zugunsten von Verbund und IAM Rollen zu reduzieren. Während IAM Benutzer in der Vergangenheit sowohl für menschliche als auch für maschinelle Identitäten verwendet wurden, empfehlen wir jetzt, sie nicht zu verwenden, um die Risiken zu vermeiden, die mit der Verwendung langfristiger Zugriffsschlüssel verbunden sind.

Implementierungsschritte

Für menschliche Identitäten wie Mitarbeiter, Administratoren, Entwickler, Bediener und Kunden:

Sie sollten sich auf einen zentralen Identitätsanbieter verlassen und verlangen, dass menschliche Benutzer einen Verbund mit einem Identitätsanbieter verwenden, um mit temporären Anmeldeinformationen auf Daten zugreifen zu AWS können. Der Verbund für Ihre Benutzer kann entweder in Form eines direkten Verbunds mit jedem AWS-Konto oder unter Verwendung von AWS IAM Identity Center und des Identitätsanbieters Ihrer Wahl erfolgen. Der Verbund bietet eine Reihe von Vorteilen gegenüber der Verwendung von IAM Benutzern und macht zudem langfristige Anmeldeinformationen überflüssig. Ihre Benutzer können temporäre Anmeldeinformationen auch über die Befehlszeile für den direkten Verbund oder mithilfe von IAMIdentity Center anfordern. Das bedeutet, dass es nur wenige Anwendungsfälle gibt, in denen IAM Benutzer oder langfristige Anmeldeinformationen für Ihre Benutzer erforderlich sind.
Wenn Sie Dritten, z. B. Anbietern von Software as a Service (SaaS), Zugriff auf Ressourcen in Ihrem Unternehmen gewähren AWS-Konto, können Sie kontenübergreifende Rollen und ressourcenbasierte Richtlinien verwenden.
Wenn Sie Anwendungen für Verbraucher oder Kunden Zugriff auf Ihre AWS Ressourcen gewähren müssen, können Sie Amazon Cognito Cognito-Identitätspools oder Amazon Cognito Cognito-Benutzerpools verwenden, um temporäre Anmeldeinformationen bereitzustellen. Die Berechtigungen für die Anmeldeinformationen werden über IAM Rollen konfiguriert. Sie können auch eine separate IAM Rolle mit eingeschränkten Rechten für Gastbenutzer definieren, die nicht authentifiziert sind.

Für Maschinenidentitäten müssen Sie möglicherweise langfristige Anmeldeinformationen verwenden. In diesen Fällen sollten Sie verlangen, dass Workloads temporäre Anmeldeinformationen mit IAM Rollen für den Zugriff verwenden. AWS

Für Amazon Elastic Compute Cloud (AmazonEC2) können Sie Rollen für Amazon verwendenEC2.

AWS Lambdaermöglicht es Ihnen, eine Lambda-Ausführungsrolle zu konfigurieren, um dem Dienst Berechtigungen zur Ausführung von AWS Aktionen mit temporären Anmeldeinformationen zu gewähren. Es gibt viele andere ähnliche Modelle für AWS Dienste, um temporäre Anmeldeinformationen mithilfe von IAM Rollen zu gewähren.
Für IoT-Geräte können Sie den AWS IoT Core -Anmeldeinformationsanbieter verwenden, um temporäre Anmeldeinformationen anzufordern.
Für lokale Systeme oder Systeme, die außerhalb von Systemen ausgeführt werden AWS , die Zugriff auf AWS Ressourcen benötigen, können Sie IAMRoles Anywhere verwenden.

Es gibt Szenarien, in denen temporäre Anmeldeinformationen nicht in Frage kommen und stattdessen langfristige Anmeldeinformationen verwendet werden müssen. In diesen Situationen sollten Anmeldeinformationen regelmäßig überprüft und rotiert werden und Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern, rotiert werden. Zu den Beispielen, für die möglicherweise langfristige Anmeldeinformationen erforderlich sind, gehören WordPress Plug-ins und AWS Clients von Drittanbietern. In Situationen, in denen Sie langfristige Anmeldeinformationen oder für andere Anmeldeinformationen als AWS Zugriffsschlüssel verwenden müssen, wie z. B. Datenbankanmeldungen, können Sie einen Dienst verwenden, der für die Verwaltung von Geheimnissen konzipiert ist, wie AWS Secrets Managerz. Secrets Manager vereinfacht die Verwaltung, Änderung und sichere Speicherung verschlüsselter Secrets mit unterstützten Services. Weitere Informationen zum Austauschen von langfristigen Anmeldeinformationen finden Sie unter Rotieren der Zugriffsschlüssel

Ressourcen

Zugehörige bewährte Methoden:

Zugehörige Dokumente:

Zugehörige Videos:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SEC02-BP01 Verwenden Sie starke Anmeldemechanismen

SEC02-BP03 Geheimnisse sicher speichern und verwenden