SEC 3: Wie verwalten Sie Berechtigungen für Personen und Maschinen?

Verwalten Sie Berechtigungen zum Steuern des Zugriffs auf Personen- und Maschinenidentitäten, die Zugriff auf AWS und Ihren Workload benötigen. Berechtigungen steuern, wer worauf und unter welchen Bedingungen zugreifen kann.

Ressourcen

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

Bewährte Methoden:

Verbesserungsplan

Definieren von Zugriffsanforderungen

  • Definieren der erforderlichen Berechtigungen für Job-Funktionen und Verantwortlichkeiten: Definieren Sie basierend auf der Job-Funktion, der Rolle oder den Verantwortlichkeiten des Benutzers, auf welche Ressourcen der Benutzer Zugriff benötigt und welche Bedingungen zutreffen können. Gruppieren Sie die Benutzer mit gemeinsamen Anforderungen zusammen, um die Delegierung von Richtlinien zu vereinfachen.
    IAM use cases
  • Gewähren von minimal erforderlichen Berechtigungen

  • Implementieren von Richtlinien für geringste Zugriffsrechte: Weisen Sie IAM-Gruppen und -Rollen Zugriffsrechte zu, die in ihrem Umfang möglichst gering und an den Tätigkeitsbereich der Benutzer angepasst sind.
    Grant least privilege
  • Entfernen von nicht benötigten Berechtigungen: Implementieren Sie das Prinzip der geringsten Zugriffsrechte, indem Sie unnötige Berechtigungen zurücknehmen.
    Reducing policy scope by viewing user activity
    View role access
  • Berücksichtigen von Berechtigungsgrenzen: Eine Berechtigungsgrenze ist eine erweiterte Funktion für eine verwaltete Richtlinie. Sie legt die maximalen Berechtigungen fest, die mit einer identitätsbasierten Richtlinie einer IAM-Entität erteilt werden kann. Eine Berechtigungsgrenze erlaubt einer Entität nur die Ausführung jener Aktionen, die sowohl nach ihren identitätsbasierten Richtlinien als auch nach ihren Berechtigungsgrenzen zulässig sind.
    Lab: IAM permissions boundaries delegating role creation
  • Erwägen von Ressourcen-Tags für Berechtigungen: Mit Tags können Sie den Zugriff auf die AWS-Ressourcen steuern, die das Tagging unterstützen. Sie können IAM-Benutzer und -Rollen auch taggen, um zu steuern, worauf sie zugreifen können.
    Lab: IAM tag based access control for EC2
    Attribute-based access control (ABAC)
  • Einrichtung eines Notfallzugriffs

  • Notfallzugriff vor der Bereitstellung: Die Vorabbereitstellung einer Rolle für den Notfallzugriff von einem vertrauenswürdigen Konto, z. B. eines, das für das Sicherheitsteam verwendet wird, kann Ihnen helfen, schnell Zugriff zu erhalten.
    Tutorial: Delegate Access Across AWS Accounts Using IAM Roles
  • Kontinuierliche Reduzierung der Berechtigungen

  • Konfigurieren von IAM Access Analyzer: AWS IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und Ihren Konten zu identifizieren, z. B. Amazon S3-Buckets oder IAM-Rollen, die mit einer externen Entität geteilt werden.
    AWS IAM Access Analyzer
  • Definieren von Berechtigungsschutzvorkehrungen für Ihre Organisation

  • Definieren allgemeiner Einschränkungen, die für alle Identitäten gelten: Erstellen Sie basierend auf den individuellen Anforderungen Ihrer Organisation, z. B. Zugriff auf eine bestimmte AWS-Region, eine Reihe von Einschränkungen, die Sie mit AWS Organizations anwenden können.
    AWS Organizations Service Control Policies
  • Verwalten von Schutzvorkehrungen mit AWS Control Tower: Erstellen Sie basierend auf den individuellen Anforderungen Ihrer Organisation, z. B. Zugriff auf eine bestimmte AWS-Region, eine Reihe von Einschränkungen, die Sie mit AWS Organizations anwenden können.
    AWS Control Tower Guardrails
  • Zugriffsverwaltung basierend auf dem Lebenszyklus

  • Lebenszyklus des Benutzerzugriffs: Implementieren Sie eine Lebenszyklusrichtlinie für den Benutzerzugriff für neue Benutzer, Änderungen von Zuständigkeiten und das Ausscheiden von Benutzern, um sicherzustellen, dass nur aktuelle Benutzer Zugriff haben.
  • Analysieren des öffentlichen und kontoübergreifenden Zugriffs

  • Konfigurieren von IAM Access Analyzer: AWS IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und Ihren Konten zu identifizieren, z. B. Amazon S3-Buckets oder IAM-Rollen, die mit einer externen Entität geteilt werden.
    AWS IAM Access Analyzer
  • Sicheres gemeinsames Nutzen von Ressourcen

  • Verwenden von AWS Resource Access Manager: AWS Resource Access Manager (RAM) ist ein Service, mit dem Sie AWS-Ressourcen einfach und sicher für jedes AWS-Konto oder innerhalb Ihrer AWS Organization freigeben können.
    AWS Resource Access Manager