SEC 3: Wie verwalten Sie Berechtigungen für Personen und Maschinen?

Verwalten Sie Berechtigungen zum Steuern des Zugriffs auf Personen- und Maschinenidentitäten, die Zugriff auf AWS und Ihren Workload benötigen. Berechtigungen steuern, wer worauf und unter welchen Bedingungen zugreifen kann.

Ressourcen

Become an IAM Policy Master in 60 Minutes or Less
Separation of Duties, Least Privilege, Delegation, and CI/CD
Grant least privilege
Working with Policies
IAM Access Analyzer
Remove unnecessary credentials
Attribute-based access control (ABAC)

Bewährte Methoden:

• Definieren von Zugriffsanforderungen: Administratoren, Endbenutzer oder andere Komponenten müssen auf jede Komponente oder Ressource Ihres Workloads zugreifen. Sie müssen eine klare Definition davon haben, wer oder was Zugriff auf die einzelnen Komponenten haben soll. Anschließend wählen Sie den entsprechenden Identitätstyp und die entsprechende Authentifizierungs- und Autorisierungsmethode aus.

• Gewähren von minimal erforderlichen Berechtigungen: Gewähren Sie nur den Zugriff, den Identitäten benötigen, indem Sie den Zugriff auf bestimmte Aktionen auf bestimmten AWS-Ressourcen unter bestimmten Bedingungen erlauben. Verlassen Sie sich auf Gruppen und Identitätsattribute, um Berechtigungen dynamisch in großem Umfang festzulegen, anstatt Berechtigungen für einzelne Benutzer zu definieren. Sie können beispielsweise einer Gruppe von Entwicklern den Zugriff erlauben, nur die Ressourcen für ihr Projekt zu verwalten. Wenn ein Entwickler aus der Gruppe entfernt wird, wird der Zugriff für den Entwickler überall widerrufen, wo die Gruppe für die Zugriffskontrolle verwendet wurde, ohne dass Änderungen an den Zugriffsrichtlinien erforderlich sind.

• Einrichtung eines Notfallzugriffs: Ein Prozess, der den Notfallzugriff auf Ihren Workload im unwahrscheinlichen Fall eines automatisierten Prozesses oder eines Pipeline-Problems ermöglicht. Auf diese Weise können Sie sich auf den Zugriff mit den geringsten Rechten verlassen, aber sicherstellen, dass Benutzer bei Bedarf die richtige Zugriffsebene erhalten. Richten Sie beispielsweise einen Prozess ein, mit dem Administratoren ihre Anforderung überprüfen und genehmigen können.

• Kontinuierliche Reduzierung der Berechtigungen: Wenn Teams und Workloads bestimmen, welchen Zugriff sie benötigen, entfernen Sie Berechtigungen, die sie nicht mehr verwenden, und erstellen Sie Überprüfungsprozesse, um Berechtigungen mit den geringsten Berechtigungen zu erzielen. Überwachen und reduzieren Sie kontinuierlich ungenutzte Identitäten und Berechtigungen.

• Definieren von Berechtigungsschutzvorkehrungen für Ihre Organisation: Richten Sie allgemeine Kontrollen ein, die den Zugriff auf alle Identitäten in Ihrer Organisation einschränken. Sie können beispielsweise den Zugriff auf bestimmte AWS-Regionen einschränken oder verhindern, dass Ihre Bediener gemeinsame Ressourcen löschen, z. B. eine IAM-Rolle, die für Ihr zentrales Sicherheitsteam verwendet wird.

• Zugriffsverwaltung basierend auf dem Lebenszyklus: Integrieren Sie Zugriffskontrollen in den Operator- und Anwendungslebenszyklus sowie Ihren zentralen Verbundanbieter. Entfernen Sie beispielsweise den Zugriff eines Benutzers, wenn er die Organisation verlässt oder eine andere Rolle übernimmt.

• Analysieren des öffentlichen und kontoübergreifenden Zugriffs: Überwachen Sie kontinuierlich Ergebnisse, die den öffentlichen und kontoübergreifenden Zugriff betreffen. Reduzieren Sie den öffentlichen und kontoübergreifenden Zugriff nur auf Ressourcen, die diese Art von Zugriff benötigen.

• Sicheres gemeinsames Nutzen von Ressourcen: Steuern Sie die Nutzung gemeinsam genutzter Ressourcen über Konten oder innerhalb Ihrer AWS Organization. Überwachen Sie gemeinsam genutzte Ressourcen und überprüfen Sie den Zugriff auf gemeinsame Ressourcen.

Verbesserungsplan

Definieren von Zugriffsanforderungen

Definieren der erforderlichen Berechtigungen für Job-Funktionen und Verantwortlichkeiten: Definieren Sie basierend auf der Job-Funktion, der Rolle oder den Verantwortlichkeiten des Benutzers, auf welche Ressourcen der Benutzer Zugriff benötigt und welche Bedingungen zutreffen können. Gruppieren Sie die Benutzer mit gemeinsamen Anforderungen zusammen, um die Delegierung von Richtlinien zu vereinfachen.
IAM use cases

Gewähren von minimal erforderlichen Berechtigungen

Implementieren von Richtlinien für geringste Zugriffsrechte: Weisen Sie IAM-Gruppen und -Rollen Zugriffsrechte zu, die in ihrem Umfang möglichst gering und an den Tätigkeitsbereich der Benutzer angepasst sind.
Grant least privilege

Entfernen von nicht benötigten Berechtigungen: Implementieren Sie das Prinzip der geringsten Zugriffsrechte, indem Sie unnötige Berechtigungen zurücknehmen.
Reducing policy scope by viewing user activity
View role access

Berücksichtigen von Berechtigungsgrenzen: Eine Berechtigungsgrenze ist eine erweiterte Funktion für eine verwaltete Richtlinie. Sie legt die maximalen Berechtigungen fest, die mit einer identitätsbasierten Richtlinie einer IAM-Entität erteilt werden kann. Eine Berechtigungsgrenze erlaubt einer Entität nur die Ausführung jener Aktionen, die sowohl nach ihren identitätsbasierten Richtlinien als auch nach ihren Berechtigungsgrenzen zulässig sind.
Lab: IAM permissions boundaries delegating role creation

Erwägen von Ressourcen-Tags für Berechtigungen: Mit Tags können Sie den Zugriff auf die AWS-Ressourcen steuern, die das Tagging unterstützen. Sie können IAM-Benutzer und -Rollen auch taggen, um zu steuern, worauf sie zugreifen können.
Lab: IAM tag based access control for EC2
Attribute-based access control (ABAC)

Einrichtung eines Notfallzugriffs

Notfallzugriff vor der Bereitstellung: Die Vorabbereitstellung einer Rolle für den Notfallzugriff von einem vertrauenswürdigen Konto, z. B. eines, das für das Sicherheitsteam verwendet wird, kann Ihnen helfen, schnell Zugriff zu erhalten.
Tutorial: Delegate Access Across AWS Accounts Using IAM Roles

Kontinuierliche Reduzierung der Berechtigungen

Konfigurieren von IAM Access Analyzer: AWS IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und Ihren Konten zu identifizieren, z. B. Amazon S3-Buckets oder IAM-Rollen, die mit einer externen Entität geteilt werden.
AWS IAM Access Analyzer

Definieren von Berechtigungsschutzvorkehrungen für Ihre Organisation

Definieren allgemeiner Einschränkungen, die für alle Identitäten gelten: Erstellen Sie basierend auf den individuellen Anforderungen Ihrer Organisation, z. B. Zugriff auf eine bestimmte AWS-Region, eine Reihe von Einschränkungen, die Sie mit AWS Organizations anwenden können.
AWS Organizations Service Control Policies

Verwalten von Schutzvorkehrungen mit AWS Control Tower: Erstellen Sie basierend auf den individuellen Anforderungen Ihrer Organisation, z. B. Zugriff auf eine bestimmte AWS-Region, eine Reihe von Einschränkungen, die Sie mit AWS Organizations anwenden können.
AWS Control Tower Guardrails

Zugriffsverwaltung basierend auf dem Lebenszyklus

Lebenszyklus des Benutzerzugriffs: Implementieren Sie eine Lebenszyklusrichtlinie für den Benutzerzugriff für neue Benutzer, Änderungen von Zuständigkeiten und das Ausscheiden von Benutzern, um sicherzustellen, dass nur aktuelle Benutzer Zugriff haben.

Analysieren des öffentlichen und kontoübergreifenden Zugriffs

Konfigurieren von IAM Access Analyzer: AWS IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und Ihren Konten zu identifizieren, z. B. Amazon S3-Buckets oder IAM-Rollen, die mit einer externen Entität geteilt werden.
AWS IAM Access Analyzer

Sicheres gemeinsames Nutzen von Ressourcen

Verwenden von AWS Resource Access Manager: AWS Resource Access Manager (RAM) ist ein Service, mit dem Sie AWS-Ressourcen einfach und sicher für jedes AWS-Konto oder innerhalb Ihrer AWS Organization freigeben können.
AWS Resource Access Manager