Bewährte Methoden für die Sicherheit in IAM - AWS Identity and Access Management

Bewährte Methoden für die Sicherheit in IAM

Um Ihre AWS-Ressourcen besser zu schützen, befolgen Sie diese Empfehlungen für den AWS Identity and Access Management-Service (IAM).

Sicheres Speichern von Stammbenutzer des AWS-Kontos-Zugriffsschlüsseln

Sie verwenden einen Zugriffsschlüssel (eine Zugriffsschlüssel-ID und einen geheimen Zugriffsschlüssel), um programmgesteuerte Anfragen an AWS zu stellen. Sie verwenden jedoch nicht Ihren Stammbenutzer des AWS-Kontos-Zugriffsschlüssel. Der Zugriffsschlüssel für Ihr Stammbenutzer des AWS-Kontos bietet Vollzugriff auf alle Ihre Ressourcen für alle AWS-Services, darunter Ihre Abrechnungsinformationen. Sie können die mit dem Stammbenutzer des AWS-Kontos-Zugriffsschlüssel verknüpften Berechtigungen nicht beschränken.

Schützen Sie daher den Root-Benutzer-Zugriffsschlüssel genauso, wie Sie Ihre Kreditkartennummern oder andere Geheimnisse schützen würden. Hier finden Sie einige Möglichkeiten dazu:

  • Wenn Sie nicht bereits einen Zugriffsschlüssel für Ihr Stammbenutzer des AWS-Kontos haben, müssen Sie keinen erstellen, es sei denn, dies ist absolut notwendig. Verwenden Sie stattdessen die E-Mail-Adresse und das Passwort zu Ihrem Konto, um sich bei der AWS Management Console anzumelden, und erstellen Sie einen IAM-Benutzer für sich selbst, der über Administratorberechtigungen verfügt.

  • Wenn Sie einen Zugriffsschlüssel für Ihr Stammbenutzer des AWS-Kontos haben, löschen Sie ihn. Wenn Sie ihn behalten wollen, rotieren (ändern) Sie den Zugriffsschlüssel regelmäßig. Gehen Sie zum Löschen oder Rotieren Ihrer Root-Benutzer-Zugriffsschlüssel auf die Seite My Security Credentials (Meine Sicherheitsanmeldeinformationen) in der AWS Management Console und melden Sie sich mit der E-Mail-Adresse und dem Passwort Ihres Kontos an. Sie können Ihre Zugriffsschlüssel im Abschnitt Access keys (Zugriffsschlüssel) verwalten. Weitere Informationen zum Austauschen der Zugriffsschlüssel finden Sie unter Rotieren der Zugriffsschlüssel.

  • Geben Sie das Passwort oder die Zugriffsschlüssel Ihres Stammbenutzer des AWS-Kontos niemals an andere weiter. In den übrigen Abschnitten dieses Dokuments werden verschiedene Möglichkeiten beschrieben, wie verhindert werden kann, dass Ihre Stammbenutzer des AWS-Kontos Anmeldeinformationen für andere Benutzer freigegeben werden. Sie erklären auch, wie Sie vermeiden, dass Sie sie in eine Anwendung einbetten müssen.

  • Verwenden Sie ein sicheres Kennwort, um den Zugriff auf die AWS Management Console auf Kontoebene zu schützen. Informationen zur Verwaltung Ihres Stammbenutzer des AWS-Kontos-Passworts finden Sie unter Ändern des Stammbenutzerpassworts des AWS-Kontos.

  • Aktivieren Sie die AWS-Multi-Faktor-Authentifizierung (MFA) in Ihrem Stammbenutzer des AWS-Kontos-Konto. Weitere Informationen finden Sie unter Verwenden von Multi-Factor Authentication (MFA) in AWS.

Erstellen individueller IAM-Benutzer

Verwenden Sie nicht Ihre Stammbenutzer des AWS-Kontos-Anmeldeinformationen für den Zugriff auf AWS und geben Sie Ihre Anmeldeinformationen nicht an andere weiter. Erstellen Sie stattdessen für jeden Anwender, der Zugriff auf Ihr AWS-Konto benötigt, einen individuellen Benutzer. Erstellen Sie auch einen IAM-Benutzer für sich selbst, geben Sie diesem Benutzer Administratorberechtigungen und verwenden Sie diesen IAM-Benutzer für Ihre gesamte Arbeit. Weitere Informationen über die entsprechende Vorgehensweise finden Sie unter Erstellen Ihres ersten Administratorbenutzers und Ihrer ersten Administratorgruppe in IAM.

Da Sie für jede Person mit Zugriff auf Ihr Konto eigene IAM-Benutzer erstellen, können Sie auch jedem IAM-Benutzer eindeutige Anmeldeinformationen zuordnen. Damit können Sie den einzelnen IAM-Benutzern auch unterschiedliche Berechtigungen erteilen. Bei Bedarf lassen sich die Berechtigungen für einen IAM-Benutzer jederzeit ändern oder aufheben. (Wenn Sie Ihre Root-Benutzer-Anmeldeinformationen weitergeben, kann es schwierig sein, sie zu entziehen, und es ist unmöglich, ihre Berechtigungen zu beschränken.)

Anmerkung

Bevor Sie jedoch Berechtigungen für einzelne IAM-Benutzer festlegen, lesen Sie den nächsten Punkt zu Gruppen.

Verwenden von Gruppen, um Berechtigungen für IAM-Benutzer zuzuweisen

Anstatt Berechtigungen für einzelne IAM-Benutzer zu definieren, ist es normalerweise einfacher, Gruppen zu erstellen, die sich auf Job-Funktionen (Administratoren, Entwickler, Buchhaltung usw.) beziehen. Als Nächstes definieren Sie die entsprechenden Berechtigungen für jede Gruppe. Schließlich weisen Sie IAM-Benutzer zu diesen Gruppen zu. Alle Benutzer in einer IAM-Gruppe erben die Berechtigungen, die der Gruppe zugewiesen sind. Auf diese Weise können Sie Änderungen für alle Benutzer in einer Gruppe zentral vornehmen. Wenn die Mitarbeiter innerhalb Ihres Unternehmens eine andere Stelle annehmen, können Sie einfach ändern, zu welcher IAM-Gruppe ihr IAM-Benutzer gehört.

Weitere Informationen finden Sie unter:

Gewähren von geringsten Rechten

Wenn Sie IAM-Richtlinien erstellen, befolgen Sie die Standard-Sicherheitsmaßnahmen, die für das Erteilen von geringsten Rechten gelten, d. h. es werden nur die Berechtigungen erteilt, die zum Durchführen einer Aufgabe erforderlich sind. Bestimmen Sie, was Benutzer (und Rollen) tun müssen, und gestalten Sie dann entsprechende Richtlinien, mit denen die Benutzer nur diese Aufgaben ausführen können.

Beginnen Sie mit einem Mindestsatz von Berechtigungen und gewähren Sie zusätzliche Berechtigungen wie erforderlich. Dies ist sicherer, als mit Berechtigungen zu beginnen, die zu lax sind, und dann zu versuchen, sie zu einem späteren Zeitpunkt zu verschärfen.

Mit Zugriffsebenengruppierungen können Sie die von einer Richtlinie gewährte Zugriffsebene nachvollziehen. Richtlinienaktionen werden als List, Read, Write, Permissions management, oder Tagging klassifiziert. Beispielsweise können Sie Aktionen aus den Zugriffsebenen List und Read wählen, um Ihren Benutzern schreibgeschützten Zugriff zu erteilen. Informationen zur Verwendung von Richtlinienzusammenfassungen und Erläuterungen der Berechtigungen auf Zugriffsebene finden Sie unter Verwenden von Zugriffsebenen zur Überprüfung der IAM-Berechtigungen.

Eine Funktion, die hierfür hilfreich sein kann, ist Informationen zum letzten Zugriff. Sie können diese Informationen auf der Registerkarte Access Advisor (Advisor aufrufen) auf der Detailseite für einen IAM-Benutzer, eine Gruppe, eine Rolle oder eine Richtlinie in der IAM-Konsole anzeigen. Zu den Informationen zum letzten Zugriff gehören auch Informationen zu den Aktionen, auf die für einige Services zuletzt zugegriffen wurde, z. B. Amazon S3. Wenn Sie sich mit den Anmeldeinformationen des AWS Organizations-Verwaltungskonto anmelden, können Sie im Abschnitt AWS Organizations der IAM-Konsole die Informationen zum letzten Zugriff auf den Service anzeigen. Sie können auch die AWS CLI- oder AWS-API zum Abrufen eines Berichts über die zuletzt angezeigten Informationen für Entitys oder Richtlinien in IAM oder Organisationen verwenden. Mit diesen Informationen können Sie unnötige Berechtigungen identifizieren, sodass Sie die IAM- oder Organizations-Richtlinien besser an die Regel der geringsten Rechte anpassen können. Weitere Informationen finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der Informationen zum letzten Zugriff.

Um die Berechtigungen weiter zu reduzieren, können Sie die Ereignisse Ihres Kontos unter AWS CloudTrail Event history (Ereignisverlauf) anzeigen. CloudTrail-Ereignisprotokolle umfassen detaillierte Ereignisinformationen, die Sie verwenden können, um die Berechtigungen der Richtlinie zu reduzieren. Die Protokolle enthalten nur die Aktionen und Ressourcen, die Ihre IAM-Entitys benötigen. Weitere Informationen finden Sie unter Anzeigen von CloudTrail-Ereignissen in der CloudTrail-Konsole im AWS CloudTrail-Benutzerhandbuch.

Weitere Informationen finden Sie unter:

Erste Schritte bei der Verwendung von Berechtigungen mit von AWS verwalteten Richtlinien

Mitarbeitern nur die benötigten Berechtigungen zu gewähren, ist zeitaufwändig und erfordert detaillierte Kenntnisse der IAM-Richtlinien. Mitarbeiter brauchen Zeit, sich damit auseinanderzusetzen, welche AWS-Services sie verwenden möchten oder müssen. Administratoren benötigen Zeit, um sich mit IAM vertraut zu machen.

Für einen einfachen Einstieg können Sie von AWS verwaltete Richtlinien verwenden, um Ihren Mitarbeitern die benötigten ersten Berechtigungen zu erteilen. Diese Richtlinien sind bereits in Ihrem Konto verfügbar und werden von AWS gewartet und aktualisiert. Weitere Informationen über von AWS verwaltete Richtlinien finden Sie unter Von AWS verwaltete Richtlinien.

Die von AWS verwalteten Richtlinien stellen Berechtigungen für viele häufige Anwendungsfälle bereit. Von AWS verwaltete Richtlinien für Vollzugriff wie AmazonDynamoDBFullAccess und IAMFullAccess definieren Berechtigungen für Service-Administratoren, indem sie diesen Vollzugriff auf einen Service gewähren. Von AWS verwaltete Richtlinien für Hauptbenutzer wie AWSCodeCommitPowerUser und AWSKeyManagementServicePowerUser gewähren mehrere Zugriffsebenen auf AWS-Services, jedoch keine Berechtigungen zur Verwaltung von Berechtigungen. Von AWS verwaltete Richtlinien mit Teilzugriff wie AmazonMobileAnalyticsWriteOnlyAccess und AmazonEC2ReadOnlyAccess gewähren spezifische Zugriffsebenen auf AWS-Services. Mithilfe der von AWS verwalteten Richtlinien können Sie die jeweiligen Berechtigungen ganz einfach Benutzern, Gruppen und Rollen zuweisen, statt selbst Richtlinien schreiben zu müssen.

Von AWS verwaltete Richtlinien für Job-Funktionen können mehrere Services umfassen und mit allgemeinen Job-Funktionen in der IT-Branche übereinstimmen. Eine Liste und Beschreibungen der Richtlinien für Job-Funktionen finden Sie unter Von AWS verwaltete Richtlinien für Job-Funktionen.

Verwenden von vom Kunden verwalteten Richtlinien anstelle von eingebundenen Richtlinien

Für benutzerdefinierte Richtlinien empfehlen wir, dass Sie verwaltete Richtlinien anstelle von eingebundenen Richtlinien verwenden. Ein Hauptvorteil dieser Richtlinien besteht darin, dass Sie alle verwalteten Richtlinien zentral in der Konsole anzeigen können. Sie können diese Informationen auch mit einer einzelnen AWS CLI- oder AWS-API-Operation anzeigen. Eingebundene Richtlinien existieren nur für eine IAM-Identität (Benutzer, Gruppe oder Rolle). Verwaltete Richtlinien sind eigene IAM-Ressourcen, die Sie an mehrere Identitäten anfügen können. Weitere Informationen finden Sie unter Verwaltete Richtlinien und eingebundene Richtlinien.

Wenn Sie eingebundene Richtlinien in Ihrem Konto verwenden, können Sie diese in verwaltete Richtlinien umwandeln. Kopieren Sie hierzu die Richtlinie in eine neue verwaltete Richtlinie. Fügen Sie als Nächstes die neue Richtlinie an die Identität an, die die Inline-Richtlinie enthält. Löschen Sie dann die eingebundene Richtlinie. Nutzen Sie dazu die untenstehende Anleitung.

So konvertieren Sie eine eingebundene Richtlinie in eine verwaltete Richtlinie

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Klicken Sie im Navigationsbereich auf Groups (Gruppen), Users (Benutzer) oder Roles (Rollen).

  3. Wählen Sie in der Liste den Namen der Gruppe, des Benutzers oder der Rolle aus, deren bzw. dessen Richtlinie Sie entfernen möchten.

  4. Wählen Sie die Registerkarte Permissions aus. Wenn Sie Groups (Gruppen) ausgewählt haben, erweitern Sie bei Bedarf Inline Policies (Inline-Richtlinien).

  5. Wählen Sie für Gruppen Show Policy (Richtlinie anzeigen) neben der eingebundenen Richtlinie aus, die Sie entfernen möchten. Wählen Sie für Benutzer und Rollen gegebenenfalls Show n more (n weitere anzeigen) und den Pfeil neben der eingebundenen Richtlinie aus, die Sie entfernen möchten.

  6. Kopieren Sie das JSON-Richtliniendokument für die Richtlinie.

  7. Wählen Sie im Navigationsbereich Policies aus.

  8. Wählen Sie Create policy (Richtlinie erstellen) und anschließend die Registerkarte JSON aus.

  9. Ersetzen Sie den vorhandenen Text durch den Text der JSON-Richtlinie und wählen Sie dann Review policy (Richtlinie überprüfen) aus.

  10. Geben Sie einen Namen für Ihre Richtlinie ein und wählen Sie Create policy (Richtlinie erstellen) aus.

  11. Wählen Sie im Navigationsbereich Groups (Gruppen), Users (Benutzer) oder Roles (Rollen) und dann den Namen der Gruppe, des Benutzers oder der Rolle aus, die die Richtlinie enthält, die Sie entfernen möchten.

  12. Wählen Sie für Gruppen Attach Policy (Richtlinie anfügen) aus. Wählen Sie für Benutzer und Rollen Add permissions (Berechtigungen hinzufügen) aus.

  13. Aktivieren Sie für Gruppen das Kontrollkästchen neben dem Namen der neuen Richtlinie und wählen Sie anschließend Attach Policy (Richtlinie anfügen) aus. Wählen Sie für Benutzer oder Rollen Add permissions (Berechtigungen hinzufügen) aus. Wählen Sie auf der nächsten Seite Attach existing policies directly (Vorhandene Richtlinien direkt anfügen) aus, aktivieren Sie das Kontrollkästchen neben dem Namen der neuen Richtlinie und wählen Sie dann Next: Review (Weiter: Überprüfen) und Add permissions (Berechtigungen hinzufügen) aus.

    Die Seite Summary (Übersicht) für die Gruppe, den Benutzer oder die Rolle wird erneut angezeigt.

  14. Wählen Sie für Gruppen Remove Policy (Richtlinie entfernen) neben der eingebundenen Richtlinie aus, die Sie entfernen möchten. Wählen Sie für Benutzer oder Rollen X neben der eingebundenen Richtlinie aus, die Sie entfernen möchten.

Unter bestimmten Umständen empfehlen wir die Verwendung von eingebundenen Richtlinien anstelle von verwalteten Richtlinien. Details dazu finden Sie unter Auswahl zwischen verwalteten und eingebundenen Richtlinien.

Verwenden von Zugriffsebenen zur Überprüfung der IAM-Berechtigungen

Zur Verbesserung der Sicherheit Ihres AWS-Kontos sollten Sie Ihre IAM-Richtlinien regelmäßig überprüfen und überwachen. Stellen Sie sicher, dass Ihre Richtlinien die geringsten Rechte gewähren, die erforderlich sind, um nur die notwendigen Aktionen durchzuführen.

Wenn Sie eine Richtlinie überprüfen, können Sie die Richtlinienübersicht anzeigen, die eine Zusammenfassung der Zugriffsebenen für jeden Service innerhalb dieser Richtlinie enthält. AWS kategorisiert jede Service-Aktion in eine von fünf Zugriffsebenen, je nachdem, was die einzelnen Aktionen bewirken: List, Read, Write, Permissions management oder Tagging. Sie können diese Zugriffsebenen verwenden, um zu ermitteln, welche Aktionen in Ihre Richtlinien aufgenommen werden sollen.

Im Amazon S3-Service möchten Sie zum Beispiel, dass eine große Gruppe von Benutzern auf List- und Read-Aktionen zugreifen kann. Solche Aktionen gestatten diesen Benutzern, die Buckets aufzulisten und Objekte in Amazon S3 abzurufen. Sie sollten jedoch nur einer kleinen Gruppe von Benutzern den Zugriff auf die Amazon S3 Write-Aktionen gewähren, um Buckets zu löschen oder Objekte in einen S3-Bucket zu platzieren. Außerdem sollten Sie die Berechtigungen reduzieren, damit nur Administratoren auf die Permissions management-Aktionen in Amazon S3 zugreifen können. Auf diese Weise wird sichergestellt, dass nur eine begrenzte Anzahl von Personen Bucket-Richtlinien in Amazon S3 verwalten kann. Dies ist besonders wichtig für Permissions management-Aktionen in IAM- und AWS Organizations-Services. Durch Zulassen von Tagging-Aktionen wird einem Benutzer die Berechtigung zum Ausführen von Aktionen erteilt, die nur Tags für eine Ressource ändern. Einige Write-Aktionen, wie z. B. CreateRole lassen das Taggen einer Ressource beim Erstellen der Ressource zu. Alternativ können Sie andere Attribute für diese Ressource ändern. Durch Verweigern des Zugriffs auf Tagging-Aktionen wird daher nicht verhindert, dass ein Benutzer Ressourcen taggt. Weitere Details und Beispiele der Zugriffsebenenklassifizierung finden Sie unter Übersicht auf Zugriffsebene innerhalb von Richtlinienübersichten.

Informationen zum Anzeigen der Zugriffsebenenklassifizierung, die den einzelnen Aktionen in einem Service zugewiesen ist, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services.

Um die Zugriffsebenen für eine Richtlinie anzuzeigen, müssen Sie zunächst die Übersicht der Richtlinie suchen. Die Richtlinienübersicht finden Sie für verwaltete Richtlinien auf der Seite Policies (Richtlinien) und für Richtlinien, die einem Benutzer zugeordnet sind, auf der Seite Users (Benutzer). Weitere Informationen finden Sie unter Richtlinienübersicht (Liste der Services).

Innerhalb einer Richtlinienübersicht zeigt die Spalte Access level (Zugriffsebene), dass die Richtlinie Full (Voll) oder Limited (Eingeschränkt) Zugriff auf eine oder mehrere der vier AWS-Zugriffsebenen für den Service bietet. Alternativ wird möglicherweise angezeigt, dass die Richtlinie Full access (Voller Zugriff) auf alle Aktionen innerhalb des Services bietet. Sie können die Informationen in der Spalte Access level (Zugriffsebene) verwenden, um die Zugriffsebene der Richtlinie zu verstehen. Sie können dann entsprechend handeln, um Ihr AWS-Konto sicherer zu machen. Weitere Details und Beispiele der Zugriffsebenenklassifizierung finden Sie unter Übersicht auf Zugriffsebene innerhalb von Richtlinienübersichten.

Konfigurieren einer sicheren Passwortrichtlinie für Ihre Benutzer

Wenn Sie Benutzern das Ändern ihrer eigenen Passwörter erlauben, verlangen Sie, dass sie sichere Passwörter diese regelmäßig auswechseln. Auf der Seite Kontoeinstellungen der IAM-Konsole können Sie eine Passwortrichtlinie für Ihr Konto erstellen. Sie können die Passwortrichtlinie für die Definition von Passwortanforderungen verwenden, z. B. die Mindestlänge, ob nicht-alphabetische Zeichen erforderlich sind, wie häufig sie ausgetauscht werden müssen und so weiter.

Weitere Informationen finden Sie unter Einrichten einer Kontopasswortrichtlinie für IAM-Benutzer.

MFA aktivieren

Für zusätzliche Sicherheit empfehlen wir, dass Sie Multi-Factor Authentication (MFA) für alle Benutzer in Ihrem Konto benötigen. Mit MFA verfügen Benutzer über ein System, das eine Antwort auf eine Authentifizierungsaufgabe generiert. Sowohl die Anmeldeinformationen des Benutzers als auch die vom Gerät generierte Antwort sind erforderlich, um den Anmeldevorgang abzuschließen. Wenn das Kennwort oder die Zugriffsschlüssel eines Benutzers kompromittiert wurden, sind Ihre Kontoressourcen aufgrund der zusätzlichen Authentifizierungsanforderung immer noch sicher.

Die Antwort wird auf eine der folgenden Arten generiert:

  • Virtuelle und Hardware-MFA-Geräte erzeugen einen Code, den Sie auf der App oder dem Gerät anzeigen und dann auf dem Anmeldebildschirm eingeben.

  • U2F-Sicherheitsschlüssel erzeugen eine Antwort, wenn Sie auf das Gerät tippen. Der Benutzer gibt manuell keinen Code auf dem Anmeldebildschirm ein.

Für privilegierte IAM-Benutzer, die Zugriff auf vertrauliche Ressourcen oder API-Operationen haben, empfehlen wir die Verwendung von U2F- oder Hardware-MFA-Geräten.

Weitere Informationen zu MFA finden Sie unter Verwenden von Multi-Factor Authentication (MFA) in AWS.

Weitere Informationen zum Konfigurieren des MFA-geschützten API-Zugriffs für Zugriffsschlüssel finden Sie unter Konfigurieren eines MFA-geschützten API-Zugriffs.

Verwenden von Rollen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden

Anwendungen, die auf einer Amazon EC2-Instance ausgeführt werden, benötigen Anmeldeinformationen, um auf andere AWS-Services zugreifen zu können. Verwenden Sie IAM-Rollen, um Anmeldeinformationen auf sichere Weise für eine Anwendung bereitzustellen. Eine Rolle ist eine Entität mit einem eigenen Satz von Berechtigungen, bei der es sich nicht um einen Benutzer oder eine Gruppe handelt. Rollen haben im Vergleich zu IAM-Benutzern auch keine eigenen dauerhaften Anmeldeinformationen. Im Fall von Amazon EC2 stellt IAM dynamisch temporäre Anmeldeinformationen für die EC2-Instance bereit und wechselt diese automatisch für Sie aus.

Wenn Sie eine EC2-Instance starten, können Sie eine Rolle für die Instance als Startparameter festlegen. Anwendungen, die auf der EC2-Instance ausgeführt werden, können die Anmeldeinformationen der Rolle beim Zugriff auf AWS-Ressourcen verwenden. Die Berechtigungen der Rolle bestimmen, welche Aktionen die Anwendung durchführen darf.

Weitere Informationen finden Sie unter Verwenden einer IAM-Rolle zum Erteilen von Berechtigungen für Anwendungen, die auf Amazon EC2-Instances ausgeführt werden.

Verwenden von Rollen zum Delegieren von Berechtigungen

Verwenden Sie keine gemeinsamen Sicherheitsanmeldeinformationen für Konten, um Benutzern aus einem anderen AWS-Konto den Zugriff auf Ressourcen in Ihrem AWS-Konto zu erlauben. Verwenden Sie stattdessen IAM-Rollen. Sie können eine Rolle definieren, die angibt, welche Berechtigungen der IAM-Benutzer im anderen Konto haben darf. Sie können auch festlegen, welche AWS-Konten die IAM-Benutzer haben, die die Rolle übernehmen dürfen. Informationen darüber, ob Prinzipalen in Konten außerhalb Ihrer Vertrauenszone (vertrauenswürdige Organisation oder Konto) Zugriff zur Annahme Ihrer Rollen haben, finden Sie unter Was ist IAM Access Analyzer?.

Weitere Informationen finden Sie unter Rollenbegriffe und -konzepte.

Zugriffsschlüssel nicht freigeben

Zugriffsschlüssel bieten programmgesteuerten Zugriff auf AWS. Betten Sie keine Zugriffsschlüssel in unverschlüsselten Code ein und geben Sie diese Sicherheitsanmeldeinformationen nicht für andere Benutzern in Ihrem AWS-Konto frei. Für Anwendungen, die Zugriff auf AWS benötigen, konfigurieren Sie das Programm so, dass es temporäre Sicherheitsanmeldeinformationen mithilfe einer IAM-Rolle abruft. Um Ihren Benutzern individuellen programmgesteuerten Zugriff zu ermöglichen, erstellen Sie einen IAM-Benutzer mit persönlichen Zugriffsschlüsseln.

Weitere Informationen finden Sie unter Wechseln zu einer IAM-Rolle (AWS-API) und Verwalten der Zugriffsschlüssel für IAM-Benutzer.

Regelmäßiges Auswechseln der Anmeldeinformationen

Ändern Sie Ihre eigenen Passwörter und Zugriffsschlüssel regelmäßig und stellen Sie sicher, dass alle IAM-Benutzer in Ihrem Konto dies auch tun. Wenn ein Passwort oder Zugriffsschlüssel ohne Ihr Wissen gefährdet ist, begrenzen Sie so, wie lange die Anmeldeinformationen für den Zugriff auf Ihre Ressourcen verwendet werden können. Sie können eine Passwortrichtlinie auf Ihr Konto anwenden, die vorsieht, dass alle Ihre IAM-Benutzer ihre Passwörter austauschen. Sie können auch festlegen, wie oft sie diesen Vorgang ausführen müssen.

Weitere Informationen zum Einrichten einer Passwortrichtlinie in Ihrem Konto finden Sie unter Einrichten einer Kontopasswortrichtlinie für IAM-Benutzer.

Weitere Informationen zum Austauschen der Zugriffsschlüssel für IAM-Benutzer finden Sie unter Rotieren der Zugriffsschlüssel.

Entfernen unnötiger Anmeldeinformationen

Entfernen Sie IAM-Benutzeranmeldeinformationen (Passwörter und Zugriffsschlüssel), die nicht mehr benötigt werden. Wenn Sie beispielsweise einen IAM-Benutzer für eine Anwendung erstellt haben, die nicht die Konsole verwendet, benötigt der IAM-Benutzer kein Passwort. Ebenso benötigt ein Benutzer, der nur die Konsole verwendet, keine Zugriffsschlüssel. Passwörter und Zugriffsschlüssel, die in der letzten Zeit nicht verwendet wurden, könnten entfernt werden. Ungenutzte Passwörter oder Zugriffsschlüssel finden Sie mithilfe der Konsole, über die CLI oder die API oder durch Herunterladen des Berichts mit den Anmeldeinformationen.

Weitere Informationen zum Suchen von IAM-Anmeldeinformationen, die in letzter Zeit nicht verwendet wurden, finden Sie unter Suchen nach ungenutzten Anmeldeinformationen.

Weitere Informationen zum Löschen von Passwörtern für einen IAM-Benutzer finden Sie unter Verwalten von Passwörtern für IAM-Benutzer.

Weitere Informationen zum Deaktivieren oder Löschen von Zugriffsschlüsseln für einen IAM-Benutzer finden Sie unter Verwalten der Zugriffsschlüssel für IAM-Benutzer.

Weitere Informationen zu Berichten zu IAM-Anmeldeinformationen finden Sie unter Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto.

Verwenden von Richtlinienbedingungen für zusätzliche Sicherheit

Soweit dies praktisch ist, definieren Sie die Bedingungen, zu denen Ihre IAM-Richtlinien den Zugriff auf eine Ressource erlauben. Beispielsweise können Sie Bedingungen schreiben, um eine Reihe von zulässigen IP-Adressen festzulegen, von denen eine Anforderung stammen muss. Sie können auch angeben, dass eine Anforderung nur in einem bestimmten Datumsbereich oder Zeitraum zulässig ist. Sie können auch Bedingungen festlegen, bei denen die Verwendung von SSL oder MFA (Multi-Factor Authentication) erforderlich ist. Sie können beispielsweise festlegen, dass ein Benutzer mit einem MFA-Gerät authentifiziert wurde, um eine Amazon EC2-Instance beenden zu können.

Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Condition in der IAM-Richtlinienelementreferenz.

Überwachen von Aktivitäten in Ihrem AWS-Konto

Sie können die Protokollierungsfunktionen in AWS verwenden, um die Aktionen, die Benutzer in Ihrem Konto durchführen müssen, und die verwendeten Ressourcen festzulegen. Die Protokolldateien zeigen unter anderem die Uhrzeit und das Datum der Aktionen, die Quell-IP für eine Aktion und welche Aktionen aufgrund unzureichender Berechtigungen fehlgeschlagen sind.

Protokollierungsfunktionen sind in den folgenden AWS-Services verfügbar:

  • Amazon CloudFront – Protokolliert Benutzeranforderungen, die CloudFront empfängt. Weitere Informationen finden Sie unter Zugriffsprotokolle im Entwicklerhandbuch für Amazon CloudFront.

  • AWS CloudTrail – Protokolliert AWS-API-Aufrufe und zugehörige Ereignisse, die von einem AWS-Konto oder in seinem Namen getätigt wurden. Weitere Informationen hierzu finden Sie unter AWS CloudTrail User Guide.

  • Amazon CloudWatch – Überwacht Ihre AWS-Cloud-Ressourcen und die Anwendungen, die Sie auf AWS ausführen. Sie können Alarme in CloudWatch basierend auf von Ihnen definierten Metriken festlegen. Weitere Informationen hierzu finden Sie unter Amazon CloudWatch-Benutzerhandbuch.

  • AWS Config – Bietet detaillierte historische Informationen über die Konfiguration Ihrer AWS-Ressourcen, einschließlich Ihrer IAM-Benutzer, -Gruppen, -Rollen und -Richtlinien. Sie können beispielsweise AWS Config verwenden, um die Berechtigungen zu ermitteln, die zu einer bestimmten Zeit zu einem Benutzer oder einer Gruppe gehörten. Weitere Informationen hierzu finden Sie unter AWS Config Developer Guide.

  • Amazon Simple Storage Service (Amazon S3) – Protokolliert Zugriffsanforderungen an Ihre Amazon S3-Buckets. Weitere Informationen zur Protokollierung erhalten Sie unter Serverzugriffsprotokollierung im Entwicklerhandbuch für Amazon Simple Storage Service.

Videopräsentation zu bewährten IAM-Methoden

Das folgende Video enthält eine Konferenzpräsentation, in der diese bewährten Methoden erläutert und zusätzliche Details zum Arbeiten mit den hier behandelten Funktionen gezeigt werden.