Bewährte Methoden für die Sicherheit in IAM - AWS Identitäts- und Zugriffsverwaltung
Erfordern Sie menschliche Benutzer, einen Verbund mit einem Identitätsanbieter zu verwenden, um AWS mit temporären Anmeldeinformationen darauf zuzugreifenErfordern Sie, dass Workloads temporäre Anmeldeinformationen mit IAM Rollen für den Zugriff verwenden AWSMulti-Faktor-Authentifizierung erforderlich () MFAAktualisieren Sie Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordernBefolgen Sie bewährte Methoden zum Schutz Ihrer Root-Benutzer-AnmeldedatenGewähren Sie die geringsten BerechtigungenBeginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten RechtenVerwenden Sie IAM Access Analyzer, um Richtlinien mit den geringsten Rechten auf der Grundlage der Zugriffsaktivität zu generierenÜberprüfen und entfernen Sie regelmäßig nicht verwendete Benutzer, Rollen, Berechtigungen, Richtlinien und AnmeldeinformationenVerwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränkenÜberprüfen Sie mit Access Analyzer den öffentlichen und kontoübergreifenden IAM Zugriff auf RessourcenVerwenden Sie IAM Access Analyzer, um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleistenRichten Sie den Berechtigungs-Integritätsschutz für mehrere Konten einVerwenden Sie Berechtigungsgrenzen, um die Berechtigungsverwaltung innerhalb eines Kontos zu delegieren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Bewährte Methoden für die Sicherheit in IAM

Wichtig

AWS Identity and Access Management Die Best Practices wurden am 14. Juli 2022 aktualisiert.

Folgen Sie diesen bewährten Methoden für AWS Identity and Access Management (IAM), um Ihre AWS Ressourcen zu schützen.

Erfordern Sie menschliche Benutzer, einen Verbund mit einem Identitätsanbieter zu verwenden, um AWS mit temporären Anmeldeinformationen darauf zuzugreifen

Menschliche Benutzer, auch bekannt als menschliche Identitäten, sind die Personen, Administratoren, Entwickler, Betreiber und Verbraucher Ihrer Anwendungen. Sie müssen über eine Identität verfügen, um auf Ihre AWS Umgebungen und Anwendungen zugreifen zu können. Menschliche Benutzer, die Mitglieder Ihrer Organisation sind, werden auch als Mitarbeiteridentitäten bezeichnet. Menschliche Benutzer können auch externe Benutzer sein, mit denen Sie zusammenarbeiten und die mit Ihren AWS -Ressourcen interagieren. Sie können dies über einen Webbrowser, eine Client-Anwendung, eine mobile App oder interaktive Befehlszeilentools tun.

Erfordern Sie von Ihren menschlichen Benutzern, beim Zugriff temporäre Anmeldeinformationen zu verwenden AWS. Sie können einen Identitätsanbieter für Ihre menschlichen Benutzer verwenden, um Verbundzugriff zu gewähren, AWS-Konten indem Sie Rollen übernehmen, die temporäre Anmeldeinformationen bereitstellen. Für eine zentrale Zugriffsverwaltung empfehlen wir, dass Sie AWS IAM Identity Center (IAMIdentity Center) verwenden, um den Zugriff auf Ihre Konten und die Berechtigungen innerhalb dieser Konten zu verwalten. Sie können Ihre Benutzeridentitäten mit IAM Identity Center verwalten oder die Zugriffsberechtigungen für Benutzeridentitäten in IAM Identity Center von einem externen Identitätsanbieter aus verwalten. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center? im AWS IAM Identity Center -Benutzerhandbuch.

Weitere Informationen zu Rollen finden Sie unter Rollenbegriffe und -konzepte.

Erfordern Sie, dass Workloads temporäre Anmeldeinformationen mit IAM Rollen für den Zugriff verwenden AWS

Ein Workload ist eine Sammlung von Ressourcen und Code, die einen geschäftlichen Nutzen erbringen, z. B. eine Anwendung oder ein Backend-Prozess. Ihre Workload kann Anwendungen, Betriebstools und Komponenten enthalten, die eine Identität erfordern, um Anforderungen an AWS services​​zu stellen, z. B. Anforderungen zum Lesen von Daten. Zu diesen Identitäten gehören Maschinen, die in Ihren AWS Umgebungen ausgeführt werden, z. B. EC2 Amazon-Instances oder AWS Lambda -Funktionen.

Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Um Zugriff auf Maschinenidentitäten zu gewähren, können Sie Rollen verwendenIAM. IAMRollen verfügen über spezifische Berechtigungen und ermöglichen den Zugriff, AWS indem sie sich bei einer Rollensitzung auf temporäre Sicherheitsanmeldedaten verlassen. Darüber hinaus benötigen möglicherweise Computer außerhalb AWS dieser Systeme Zugriff auf Ihre AWS Umgebungen. Für Maschinen, die außerhalb von AWS Ihnen laufen, können Sie AWS Identity and Access Management Roles Anywhere verwenden. Weitere Informationen zu Rollen finden Sie unter IAM-Rollen. Einzelheiten dazu, wie Sie Rollen verwenden können, um den Zugriff an andere zu delegieren AWS-Konten, finden Sie unterIAMTutorial: Delegieren Sie den Zugriff über AWS Konten hinweg mithilfe von Rollen IAM.

Multi-Faktor-Authentifizierung erforderlich () MFA

Wir empfehlen, IAM Rollen für menschliche Benutzer und Workloads zu verwenden, die auf Ihre AWS Ressourcen zugreifen, sodass diese temporäre Anmeldeinformationen verwenden. Für Szenarien, in denen Sie einen IAM Benutzer oder Root-Benutzer in Ihrem Konto benötigenMFA, ist jedoch zusätzliche Sicherheit erforderlich. Mit verfügen Benutzer über ein GerätMFA, das eine Antwort auf eine Authentifizierungsherausforderung generiert. Die Anmeldeinformationen und die vom Gerät generierte Antwort jedes Benutzers sind erforderlich, um den Anmeldevorgang abzuschließen. Weitere Informationen finden Sie unter Verwendung der Multi-Faktor-Authentifizierung (MFA) in AWS.

Wenn Sie IAM Identity Center für die zentrale Zugriffsverwaltung für menschliche Benutzer verwenden, können Sie die IAM Identity MFA Center-Funktionen verwenden, wenn Ihre Identitätsquelle mit dem IAM Identity Center-Identitätsspeicher, AWS Managed Microsoft AD oder AD Connector konfiguriert ist. Weitere Informationen zu MFA in IAM Identity Center finden Sie unter Multi-Faktor-Authentifizierung im AWS IAM Identity Center Benutzerhandbuch.

Aktualisieren Sie Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern

Wenn möglich, empfehlen wir, sich auf temporäre Anmeldeinformationen zu verlassen, anstatt langfristige Anmeldeinformationen wie Zugriffsschlüssel zu erstellen. Für Szenarien, in denen Sie IAM Benutzer mit programmatischem Zugriff und langfristigen Anmeldeinformationen benötigen, empfehlen wir jedoch, die Zugriffsschlüssel bei Bedarf zu aktualisieren, z. B. wenn ein Mitarbeiter Ihr Unternehmen verlässt. Wir empfehlen, dass Sie die Informationen IAM zum zuletzt verwendeten Zugriff verwenden, um Zugriffsschlüssel sicher zu aktualisieren und zu entfernen. Weitere Informationen finden Sie unter Aktualisierung der Zugriffsschlüssel.

Es gibt spezielle Anwendungsfälle, in denen langfristige Anmeldeinformationen erforderlich sind, wenn IAM Benutzer angemeldet sind AWS. Einige der Anwendungsfälle umfassen Folgendes:

  • Workloads, für die keine IAM Rollen verwendet werden können — Möglicherweise führen Sie einen Workload von einem Ort aus, auf den zugegriffen AWS werden muss. In einigen Situationen können Sie IAM Rollen nicht verwenden, um temporäre Anmeldeinformationen bereitzustellen, z. B. für WordPress Plugins. Verwenden Sie in diesen Situationen langfristige IAM Benutzerzugriffsschlüssel für diesen Workload, um sich zu authentifizieren. AWS

  • AWS Drittanbieter-Clients — Wenn Sie Tools verwenden, die den Zugriff mit IAM Identity Center nicht unterstützen, wie z. B. AWS Drittanbieter-Clients oder Anbieter, die nicht auf gehostet werden AWS, verwenden Sie langfristige IAM Benutzerzugriffsschlüssel.

  • AWS CodeCommit Zugriff — Wenn Sie Ihren Code CodeCommit zum Speichern verwenden, können Sie einen IAM Benutzer mit SSH Schlüsseln oder dienstspezifischen Anmeldeinformationen verwenden, um sich bei Ihren Repositorys CodeCommit zu authentifizieren. Wir empfehlen, dass Sie dies zusätzlich zur Verwendung eines Benutzers in IAM Identity Center für die normale Authentifizierung tun. Benutzer in IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre AWS-Konten oder Ihre Cloud-Anwendungen benötigen. Um Benutzern Zugriff auf Ihre CodeCommit Repositorys zu gewähren, ohne IAM Benutzer zu konfigurieren, können Sie das git-remote-codecommit Hilfsprogramm konfigurieren. Weitere Informationen zu IAM und finden Sie CodeCommit unterVerwenden von IAM mit CodeCommit: Git-Anmeldeinformationen, SSH-Schlüsseln und AWS Zugriffsschlüsseln. Weitere Informationen zur Konfiguration des git-remote-codecommit Dienstprogramms finden Sie unter Herstellen einer Verbindung zu AWS CodeCommit Repositorys mit wechselnden Anmeldeinformationen im AWS CodeCommit Benutzerhandbuch.

  • Zugriff auf Amazon Keyspaces (für Apache Cassandra) — In Situationen, in denen Sie keine Benutzer in IAM Identity Center verwenden können, z. B. zu Testzwecken für Cassandra-Kompatibilität, können Sie einen IAM Benutzer mit dienstspezifischen Anmeldeinformationen verwenden, um sich bei Amazon Keyspaces zu authentifizieren. Benutzer in IAM Identity Center sind die Personen in Ihrer Belegschaft, die Zugriff auf Ihre oder Ihre AWS-Konten Cloud-Anwendungen benötigen. Sie können auch mithilfe temporärer Anmeldeinformationen eine Verbindung zu Amazon Keyspaces herstellen. Weitere Informationen finden Sie unter Verwenden temporärer Anmeldeinformationen für die Verbindung mit Amazon Keyspaces mithilfe einer IAM Rolle und des SigV4-Plug-ins im Amazon Keyspaces (für Apache Cassandra) Developer Guide.

Befolgen Sie bewährte Methoden zum Schutz Ihrer Root-Benutzer-Anmeldedaten

Wenn Sie eine erstellen AWS-Konto, richten Sie Root-Benutzeranmeldedaten ein, um sich bei der anzumelden. AWS Management Console Schützen Sie Ihre Root-Benutzeranmeldeinformationen auf die gleiche Weise wie andere vertrauliche persönliche Daten. Weitere Informationen zur Sicherung und Skalierung Ihrer Root-Benutzer-Prozesse finden Sie unter Bewährte Methoden für Root-Benutzer für Ihren AWS-Konto.

Gewähren Sie die geringsten Berechtigungen

Wenn Sie Berechtigungen mit IAM Richtlinien festlegen, gewähren Sie nur die Berechtigungen, die für die Ausführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Sie können mit umfassenden Berechtigungen beginnen, während Sie die für Ihren Workload oder Anwendungsfall erforderlichen Berechtigungen untersuchen. Mit zunehmender Reife Ihres Anwendungsfalls können Sie daran arbeiten, die Berechtigungen zu reduzieren, die Sie gewähren, um auf die geringsten Berechtigungen hinzuarbeiten. Weitere Informationen zur Verwendung IAM zum Anwenden von Berechtigungen finden Sie unterBerechtigungen und Richtlinien in IAM.

Beginnen Sie mit AWS verwalteten Richtlinien und wechseln Sie zu Berechtigungen mit den geringsten Rechten

Um Ihren Benutzern und Workloads Berechtigungen zu gewähren, verwenden Sie die AWS -verwaltete Richtlinien die Berechtigungen für viele häufige Anwendungsfälle gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Beachten Sie, dass AWS verwaltete Richtlinien für Ihre speziellen Anwendungsfälle möglicherweise keine Berechtigungen mit den geringsten Rechten gewähren, da sie für alle Kunden verfügbar sind. AWS Daher empfehlen wir Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom Kunden verwaltete Richtlinien definieren, die spezifisch auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS verwaltete Richtlinien. Weitere Informationen zu AWS verwalteten Richtlinien, die für bestimmte Aufgabenbereiche konzipiert sind, finden Sie unter. AWS verwaltete Richtlinien für Jobfunktionen

Verwenden Sie IAM Access Analyzer, um Richtlinien mit den geringsten Rechten auf der Grundlage der Zugriffsaktivität zu generieren

Um nur die zum Ausführen einer Aufgabe erforderlichen Berechtigungen zu erteilen, können Sie Richtlinien auf der Grundlage Ihrer in AWS CloudTrail protokollierten Zugriffsaktivitäten erstellen. IAMAccess Analyzer analysiert die Dienste und Aktionen, die Ihre IAM Rollen verwenden, und generiert dann eine detaillierte Richtlinie, die Sie verwenden können. Nachdem Sie jede generierte Richtlinie getestet haben, können Sie die Richtlinie in Ihrer Produktionsumgebung bereitstellen. Dadurch wird sichergestellt, dass Sie nur die erforderlichen Berechtigungen für Ihre Workloads gewähren. Weitere Informationen zur Richtliniengenerierung finden Sie unter Generierung von IAMAccess Analyzer-Richtlinien.

Überprüfen und entfernen Sie regelmäßig nicht verwendete Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen

Möglicherweise verfügen Sie über IAM Benutzer, Rollen, Berechtigungen, Richtlinien oder Anmeldeinformationen, die Sie in Ihrem System nicht mehr benötigen AWS-Konto. IAMenthält Informationen, auf die zuletzt zugegriffen wurde, um Ihnen zu helfen, die Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen zu identifizieren, die Sie nicht mehr benötigen, damit Sie sie entfernen können. Auf diese Weise können Sie die Anzahl der Benutzer, Rollen, Berechtigungen, Richtlinien und Anmeldeinformationen, die Sie überwachen müssen, reduzieren. Sie können diese Informationen auch verwenden, um Ihre IAM Richtlinien so zu verfeinern, dass Berechtigungen mit den geringsten Rechten besser eingehalten werden. Weitere Informationen finden Sie unter Verfeinerung der Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Verwenden Sie Bedingungen in IAM Richtlinien, um den Zugriff weiter einzuschränken

Sie können die Bedingungen angeben, unter denen eine Richtlinienanweisung wirksam ist. Auf diese Weise können Sie Zugriff auf Aktionen und Ressourcen gewähren, jedoch nur, wenn die Zugriffsanfrage bestimmte Bedingungen erfüllt. Sie können beispielsweise eine Richtlinienbedingung schreiben, um anzugeben, dass alle Anfragen über gesendet werden müssenSSL. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, aber nur, wenn sie über einen bestimmten Zweck verwendet werden AWS service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAMJSONpolitische Elemente: Condition.

Überprüfen Sie mit Access Analyzer den öffentlichen und kontoübergreifenden IAM Zugriff auf Ressourcen

Bevor Sie Berechtigungen für den öffentlichen oder kontoübergreifenden Zugriff in gewähren AWS, empfehlen wir Ihnen, zu überprüfen, ob ein solcher Zugriff erforderlich ist. Sie können IAM Access Analyzer verwenden, um eine Vorschau des öffentlichen und kontoübergreifenden Zugriffs auf unterstützte Ressourcentypen anzuzeigen und zu analysieren. Dazu überprüfen Sie die Ergebnisse, die IAM Access Analyzer generiert. Mithilfe dieser Ergebnisse können Sie überprüfen, ob Ihre Ressourcenzugriffskontrollen den erwarteten Zugriff gewähren. Wenn Sie öffentliche und kontoübergreifende Berechtigungen aktualisieren, können Sie außerdem die Auswirkungen Ihrer Änderungen überprüfen, bevor Sie neue Zugriffskontrollen für Ihre Ressourcen bereitstellen. IAMAccess Analyzer überwacht außerdem kontinuierlich die unterstützten Ressourcentypen und generiert Ergebnisse für Ressourcen, die einen öffentlichen oder kontoübergreifenden Zugriff ermöglichen. Weitere Informationen finden Sie unter Zugriffsvorschau mit IAM Access Analyzer. APIs

Verwenden Sie IAM Access Analyzer, um Ihre IAM Richtlinien zu validieren, um sichere und funktionale Berechtigungen zu gewährleisten

Überprüfen Sie die von Ihnen erstellten Richtlinien, um sicherzustellen, dass sie der IAMRichtliniensprache (JSON) und den IAM bewährten Methoden entsprechen. Sie können Ihre Richtlinien mithilfe der IAM Access Analyzer-Richtlinienvalidierung validieren. IAMAccess Analyzer bietet mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen, um Sie bei der Erstellung sicherer und funktionaler Richtlinien zu unterstützen. Wenn Sie neue Richtlinien erstellen oder bestehende Richtlinien in der Konsole bearbeiten, bietet IAM Access Analyzer Empfehlungen, mit denen Sie Ihre Richtlinien verfeinern und validieren können, bevor Sie sie speichern. Zusätzlich empfehlen wir Ihnen, alle Ihre bestehenden Richtlinien zu überprüfen und zu validieren. Weitere Informationen finden Sie unter Überprüfung der IAM Access Analyzer-Richtlinien. Weitere Informationen zu den von IAM Access Analyzer bereitgestellten Richtlinienprüfungen finden Sie in der Referenz zur IAM Access Analyzer-Richtlinienprüfung.

Richten Sie den Berechtigungs-Integritätsschutz für mehrere Konten ein

Wenn Sie Ihre Workloads skalieren, trennen Sie sie voneinander, indem Sie mehrere Konten verwenden, die mit AWS Organizations verwaltet werden. Wir empfehlen, dass Sie die Dienststeuerungsrichtlinien von Organizations (SCPs) verwenden, um Richtlinien für Berechtigungen einzurichten, mit denen Sie den Zugriff für alle IAM Benutzer und Rollen in Ihren Konten kontrollieren können. SCPssind eine Art von Organisationsrichtlinie, mit der Sie Berechtigungen in Ihrer Organisation auf Organisations-, OU- oder Kontoebene verwalten können. AWS Der von Ihnen festgelegten Berechtigungs-Integritätsschutz, den Sie einrichten, gilt für alle Benutzer und Rollen innerhalb der abgedeckten Konten. SCPsAlleine reichen jedoch nicht aus, um den Konten in Ihrer Organisation Berechtigungen zu gewähren. Zu diesem Zweck muss Ihr Administrator den IAM Benutzern, IAM Rollen oder Ressourcen in Ihren Konten identitäts- oder ressourcenbasierte Richtlinien zuordnen. Weitere Informationen finden Sie unter Konten und AWS Organizations Leitplanken. IAM

Verwenden Sie Berechtigungsgrenzen, um die Berechtigungsverwaltung innerhalb eines Kontos zu delegieren

In einigen Szenarios kann es sinnvoll sein, die Berechtigungsverwaltung innerhalb eines Kontos an andere zu delegieren. Sie könnten Entwicklern beispielsweise ermöglichen, Rollen für ihre Workloads zu erstellen und zu verwalten. Wenn Sie Berechtigungen an andere delegieren, verwenden Sie Berechtigungsgrenzen, um die maximalen Berechtigungen festzulegen, die Sie delegieren. Eine Berechtigungsgrenze ist eine erweiterte Funktion zur Verwendung einer verwalteten Richtlinie, um die maximalen Berechtigungen festzulegen, die eine identitätsbasierte Richtlinie einer Rolle gewähren kann. IAM Eine Berechtigungsgrenze gewährt selbst keine Berechtigungen. Weitere Informationen finden Sie unter Berechtigungsgrenzen für IAM-Entitäten.