Bewährte Methoden für Resource Groups - AWS Resource Groups

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für Resource Groups

Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.

  • Verwenden Sie das Prinzip der geringsten Rechte, um Gruppen Zugriff zu gewähren. Resource Groups unterstützt auch Berechtigungen auf Ressourcenebene. Gewähren Sie bestimmten Gruppen nur dann Zugriff, wenn dies für bestimmte Benutzer erforderlich ist. Vermeiden Sie die Verwendung von Sternchen in Richtlinienerklärungen, die allen Benutzern oder allen Gruppen Berechtigungen zuweisen. Weitere Informationen zu Least Privilege finden Sie unter Grant Least Privilege im IAM-Benutzerhandbuch.

  • Halten Sie private Informationen von öffentlichen Bereichen fern. Der Name einer Gruppe wird als Dienstmetadaten behandelt. Gruppennamen sind nicht verschlüsselt. Geben Sie keine vertraulichen Informationen in Gruppennamen ein. Gruppenbeschreibungen sind privat.

    Geben Sie keine privaten oder vertraulichen Informationen in Tag-Schlüsseln oder Tag-Werten ein.

  • Verwenden Sie bei Bedarf eine Autorisierung, die auf Tagging basiert. Resource Groups unterstützt die Autorisierung auf Basis von Tags. Sie können Gruppen taggen und dann die an Ihre IAM-Prinzipale angehängten Richtlinien wie Benutzer und Rollen aktualisieren, um deren Zugriffsebene auf der Grundlage der Tags festzulegen, die auf eine Gruppe angewendet werden. Weitere Informationen zur Verwendung der Autorisierung auf der Grundlage von Tags finden Sie im IAM-Benutzerhandbuch unter Steuern des Zugriffs aufAWS Ressourcen mithilfe von Ressourcen-Tags.

    VieleAWS Services unterstützen die Autorisierung auf Basis von Tags für ihre Ressourcen. Beachten Sie, dass die tagbasierte Autorisierung möglicherweise für Mitgliederressourcen in einer Gruppe konfiguriert ist. Wenn der Zugriff auf die Ressourcen einer Gruppe durch Tags eingeschränkt ist, können nicht autorisierte Benutzer oder Gruppen möglicherweise keine Aktionen oder Automatisierungen für diese Ressourcen ausführen. Wenn beispielsweise eine Amazon EC2 EC2-Instance in einer Ihrer Gruppen mit einem Tag-Schlüssel vonConfidentiality und einem Tag-Wert von gekennzeichnet ist und Sie nicht berechtigt sindHigh, Befehle für markierte Ressourcen auszuführenConfidentiality:High, schlagen Aktionen oder Automatisierungen, die Sie auf der EC2-Instance ausführen, fehl, selbst wenn Aktionen für andere Ressourcen in der Ressourcengruppe erfolgreich sind. Weitere Informationen darüber, welche Dienste die tagbasierte Autorisierung für ihre Ressourcen unterstützen, finden Sie im IAM-Benutzerhandbuch unterAWS Services That Work with IAM.

    Weitere Informationen zur Entwicklung einer Tagging-Strategie für IhreAWS Ressourcen finden Sie unter AWSTagging-Strategien.