Berechtigungsverwaltung
Verwalten Sie Berechtigungen zum Steuern des Zugriffs für menschliche Identitäten und Maschinenidentitäten, die Zugriff auf AWS und Ihre Workloads benötigen. Berechtigungen steuern, wer worauf und unter welchen Bedingungen zugreifen kann. Legen Sie Berechtigungen für bestimmte Personen- oder Maschinenidentitäten fest, um Zugriff auf bestimmte Service-Aktionen für bestimmte Ressourcen zu gewähren. Geben Sie außerdem Bedingungen an, die erfüllt sein müssen, damit der Zugriff gewährt wird. Sie können beispielsweise Entwicklern erlauben, neue Lambda-Funktionen zu erstellen, aber nur in einer bestimmten Region. Befolgen Sie bei der skalierbaren Verwaltung Ihrer AWS-Umgebungen die folgenden bewährten Methoden, um sicherzustellen, dass Identitäten nur den benötigten Zugriff haben und nicht mehr.
Es gibt eine Reihe von Möglichkeiten, Zugriff auf verschiedene Arten von Ressourcen zu gewähren. Eine Möglichkeit ist die Verwendung verschiedener Richtlinienarten.
Identitätsbasierte Richtlinien in IAM sind verwaltete Richtlinien oder Inline-Richtlinien und werden IAM-Identitäten, einschließlich Benutzern, Gruppen oder Rollen, angefügt. Mit diesen Richtlinien können Sie festlegen, was die betreffende Identität tun darf (ihre Berechtigungen). Identitätsbasierte Richtlinien können weiter unterteilt werden.
Verwaltete Richtlinien – Eigenständige identitätsbasierte Richtlinien, die Sie an mehrere Benutzer, Gruppen und Rollen in Ihrem AWS-Konto anfügen können. Es gibt zwei Arten von verwalteten Richtlinien:
-
Von AWS verwaltete Richtlinien – Verwaltete Richtlinien, die von AWS erstellt und verwaltet werden.
-
Vom Kunden verwaltete Richtlinien – Verwaltete Richtlinien, die Sie in Ihrem AWS-Konto erstellen und verwalten. Vom Kunden verwaltete Richtlinien bieten eine genauere Kontrolle über Ihre Richtlinien als von AWS verwaltete Richtlinien.
Verwaltete Richtlinien sind die bevorzugte Methode für die Anwendung von Berechtigungen. Sie können jedoch auch Inline-Richtlinien verwenden, die Sie direkt zu einem einzelnen Benutzer, einer Gruppe oder einer Rolle hinzufügen. Bei Inline-Richtlinien besteht eine strikte Eins-zu-Eins-Beziehung zwischen einer Richtlinie und einer Identität. Inline-Richtlinien werden gelöscht, wenn Sie die Identität löschen.
In den meisten Fällen sollten Sie Ihre eigenen, vom Kunden verwalteten Richtlinien erstellen und dabei dem Prinzip der geringsten Berechtigung folgen.
Ressourcenbasierte Richtlinien werden einer Ressource angefügt. Eine S3-Bucket-Richtlinie ist zum Beispiel eine ressourcenbasierte Richtlinie. Diese Richtlinien erteilen einem Prinzipal, der sich in demselben Konto wie die Ressource oder in einem anderen Konto befinden kann, eine Berechtigung. Eine Liste der Services, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren.
Berechtigungsgrenzen
Mit der attributbasierten Zugriffskontrolle (ABAC)
Organizations Service Control Policies (SCP) definieren die maximalen Berechtigungen für Kontomitglieder einer Organisation oder Organisationseinheit (OU). SCPs beschränken die Berechtigungen, die identitätsbasierte Richtlinien oder ressourcenbasierte Richtlinien Entitäten (Benutzern oder Rollen) innerhalb des Kontos gewähren, erteilen aber keine Berechtigungen.
Sitzungsrichtlinien übernehmen eine Rolle oder einen Verbundbenutzer. Übergeben Sie Sitzungsrichtlinien, wenn Sie die AWS-CLI- oder AWS-API-Sitzungsrichtlinien verwenden, um die Berechtigungen einzuschränken, die die identitätsbasierten Richtlinien der Rolle oder des Benutzers für die Sitzung gewähren. Diese Richtlinien beschränken die Berechtigungen für eine erstellte Sitzung, gewähren aber keine Berechtigungen. Weitere Informationen finden Sie unter Sitzungsrichtlinien.
Bewährte Methoden
- SEC03-BP01 Definieren von Zugriffsanforderungen
- SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen
- SEC03-BP03 Einrichtung eines Notfallzugriffprozesses
- SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen
- SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation
- SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus
- SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs
- SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation
- SEC03-BP09 Sicheres Teilen von Ressourcen mit Dritten