Bewährte Methoden für Root-Benutzer für Ihren AWS-Konto

Wenn Sie zum ersten Mal ein AWS-Konto erstellen, beginnen Sie mit einem Standardsatz von Anmeldeinformationen mit vollständigem Zugriff auf alle AWS-Ressourcen in Ihrem Konto. Diese Identität wird als AWS-Konto-Root-Benutzer bezeichnet. Wir empfehlen Ihnen dringend, nicht auf den AWS-Konto-Root-Benutzer zuzugreifen, es sei denn, Sie haben eine Aufgabe, die Root-Benutzeranmeldeinformationen erfordert. Sie müssen Ihre Root-Benutzeranmeldeinformationen und die Mechanismen zur Kontowiederherstellung sichern, um sicherzustellen, dass Sie Ihre Anmeldeinformationen mit weitreichenden Berechtigungen nicht für unbefugte Zwecke preisgeben.

Für mehrere über AWS Organizations verwaltete AWS-Konten empfehlen wir, die Root-Benutzer-Anmeldeinformationen von den Mitgliedskonten zu entfernen, um eine unbefugte Nutzung zu verhindern. Sie können das Root-Benutzerpasswort, Zugriffsschlüssel und Signaturzertifikate entfernen sowie die Multi-Faktor-Authentifizierung (MFA) deaktivieren und löschen. Mitgliedskonten können sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.

Anstatt auf den Root-Benutzer zuzugreifen, erstellen Sie einen Administratorbenutzer für alltägliche Aufgaben.

• Wenn Sie über ein neues AWS-Konto verfügen, lesen Sie Einrichten Ihrer AWS-Konto.

• Für mehrere AWS-Konten, die über AWS Organizations verwaltet werden, lesen Sie Einrichten des AWS-Konto-Zugriffs für einen administrativen IAM-Identity-Center-Benutzer.

Mit Ihrem administrativen Benutzer können Sie dann zusätzliche Identitäten für Benutzer erstellen, die Zugriff auf Ressourcen in Ihrem AWS-Konto benötigen. Wir empfehlen dringend, dass sich Benutzer beim Zugriff auf AWS mit temporären Anmeldedaten authentifizieren müssen.

• Für ein einzelnes, unabhängiges AWS-Konto verwenden Sie IAM-Rollen, um in Ihrem Konto Identitäten mit bestimmten Berechtigungen zu erstellen. Rollen sollten von jedem übernommen werden können, der sie benötigt. Einer Rolle sind außerdem keine standardmäßigen, langfristigen Anmeldeinformationen (Passwörter oder Zugriffsschlüssel) zugeordnet. Wenn Sie eine Rolle übernehmen, erhalten Sie stattdessen temporäre Anmeldeinformationen für Ihre Rollensitzung. Im Gegensatz zu IAM-Rollen verfügen IAM-Benutzer über langfristige Anmeldeinformationen wie Passwörter und Zugangsschlüssel. Wenn möglich, empfehlen die bewährten Methoden, temporäre Anmeldeinformationen zu verwenden, anstatt IAM-Benutzer zu erstellen, die langfristige Anmeldeinformationen wie Passwörter und Zugriffsschlüssel haben.

• Für mehrere über AWS Organizations verwaltete AWS-Konten verwenden Sie Benutzer der IAM-Identity-Center-Mitarbeiter. Mit dem IAM Identity Center können Sie Benutzer in Ihren gesamten AWS-Konten und die Berechtigungen innerhalb dieser Konten zentral verwalten. Verwalten Sie Ihre Benutzeridentitäten mit IAM Identity Center oder von einem externen Identitätsanbieter. Weitere Informationen finden Sie unter Was ist AWS IAM Identity Center? im AWS IAM Identity Center-Benutzerhandbuch.

Schützen Sie Ihre Root-Benutzer-Anmeldedaten, um eine unbefugte Nutzung zu verhindern

Schützen Sie Ihre Root-Benutzeranmeldeinformationen und verwenden Sie sie nur für die Aufgaben, die sie erfordern. Um eine unbefugte Nutzung zu verhindern, geben Sie Ihr Root-Benutzer-Kennwort, Ihre MFA, Ihre Zugriffsschlüssel, CloudFront-Schlüsselpaare oder Signaturzertifikate nicht an Dritte weiter. Mit Ausnahme von Personen, die aus geschäftlichen Gründen auf den Root-Benutzer zugreifen müssen.

Speichern Sie das Root-Benutzer-Passwort nicht mit Tools, die von AWS-Services abhängen, in einem Konto, auf das mit demselben Passwort zugegriffen wird. Wenn Sie Ihr Root-Benutzer-Passwort verlieren oder vergessen, können Sie nicht auf diese Tools zugreifen. Wir empfehlen Ihnen, der Ausfallsicherheit Priorität einzuräumen und zu erwägen, dass zwei oder mehr Personen den Zugriff auf den Speicherort autorisieren müssen. Der Zugriff auf das Passwort oder dessen Speicherort sollten protokolliert und überwacht werden.

Verwenden eines sicheren Root-Benutzerpassworts zum Schutz des Zugriffs

Es empfiehlt sich, ein sicheres und eindeutiges Passwort zu verwenden. Tools wie Passwort-Manager mit starken Algorithmen zur Passwortgenerierung können Ihnen dabei helfen, diese Ziele zu erreichen. AWS setzt voraus, dass Ihr Passwort die folgenden Bedingungen erfüllt:

• Es muss mindestens 8 Zeichen und maximal 128 Zeichen lang sein.

• Es muss mindestens drei der folgenden Zeichentypen enthalten: Großbuchstaben, Kleinbuchstaben, Zahlen und ! @ # $ % ^ & * () <> [] {} | _+-= Symbole.

• Es darf nicht identisch mit Ihrem AWS-Konto-Namen oder Ihrer E-Mail-Adresse sein.

Weitere Informationen finden Sie unter So ändern Sie das Passwort für Root-Benutzer des AWS-Kontos.

Sichern Ihren Stammbenutzeranmeldung mit Multi-Faktor-Authentifizierung (MFA)

Da ein Root-Benutzer privilegierte Aktionen ausführen kann, ist es wichtig, zusätzlich zur E-Mail-Adresse und dem Passwort als Anmeldedaten, dem Root-Benutzer MFA als zweiten Authentifizierungsfaktor hinzuzufügen. Sie können bis zu acht MFA-Geräte einer beliebigen Kombination der derzeit unterstützten MFA-Typen für Ihren AWS-Konto-Root-Benutzer registrieren.

Wir empfehlen ausdrücklich, mehrere MFA-Geräte für Ihre Root-Benutzer-Anmeldedaten zu aktivieren, um Ihrer Sicherheitsstrategie zusätzliche Flexibilität und Stabilität zu verleihen. Alle AWS-Konto-Typen (eigenständige Konten, Verwaltungs- und Mitgliedskonten) erfordern die Konfiguration von MFA für ihren Root-Benutzer. Benutzer müssen MFA innerhalb von 35 Tagen nach ihrem ersten Anmeldeversuch registrieren, um auf die AWS-Managementkonsole zugreifen zu können, wenn MFA noch nicht aktiviert ist.

• FIDO-zertifizierte Hardware-Sicherheitsschlüssel werden von Drittanbietern bereitgestellt. Weitere Informationen finden Sie unter Aktivieren eines FIDO-Sicherheitsschlüssels für den AWS-Konto-Root-Benutzer.

• Ein Hardwaregerät, das auf der Grundlage des Algorithmus für ein zeitgesteuertes Einmalpasswort (TOTP) einen sechsstelligen numerischen Code generiert. Weitere Informationen finden Sie unter Aktivieren eins Hardware-TOTP-Token für den AWS-Konto-Root-Benutzer.

• Eine virtuelle Authentifizierungsanwendung, die auf einem Telefon oder einem anderen Gerät ausgeführt wird und ein physisches Gerät emuliert. Weitere Informationen finden Sie unter Aktivieren eines virtuellen MFA-Geräts für Ihren AWS-Konto-Root-Benutzer.

Erstellen Sie keine Zugriffsschlüssel für den Root-Benutzer

Mit Zugriffsschlüsseln können Sie Befehle in der AWS-Befehlszeilenschnittstelle (AWS CLI) ausführen oder API-Vorgänge aus einem der AWS-SDKs verwenden. Wir empfehlen ausdrücklich, keine Zugriffsschlüsselpaare für Ihren Root-Benutzer zu erstellen, da der Root-Benutzer vollen Zugriff auf alle AWS-Services und Ressourcen des Kontos hat, einschließlich der Fakturierungsinformationen.

Da nur wenige Aufgaben den Root-Benutzer erfordern und Sie diese Aufgaben normalerweise selten ausführen, empfehlen wir die Anmeldung bei der AWS-Managementkonsole, um Root-Benutzeraufgaben auszuführen. Bevor Sie Zugriffsschlüssel erstellen, prüfen Sie die Alternativen zu Langzeit-Zugriffsschlüsseln.

Verwenden Sie nach Möglichkeit die Genehmigung mehrerer Personen für die Anmeldung als Root-Benutzer

Erwägen Sie, die Genehmigung durch mehrere Personen zu verwenden, um sicherzustellen, dass keine Person sowohl auf MFA als auch auf das Passwort für den Root-Benutzer zugreifen kann. Einige Unternehmen fügen eine zusätzliche Sicherheitsebene hinzu, indem sie eine Gruppe von Administratoren mit Zugriff auf das Passwort und eine weitere Gruppe von Administratoren mit Zugriff auf MFA einrichten. Ein Mitglied aus jeder Gruppe muss sich als Root-Benutzer anmelden.

Verwenden einer Gruppen-E-Mail-Adresse für Root-Benutzer-Anmeldeinformationen

Verwenden Sie eine E-Mail-Adresse, die von Ihrem Unternehmen verwaltet wird und empfangene Nachrichten direkt an eine Gruppe von Benutzern weiterleitet. Wenn AWS den Eigentümer des Kontos kontaktieren muss, verringert dieser Ansatz das Risiko von Verzögerungen bei der Antwort, selbst wenn Personen im Urlaub sind, krank sind oder das Unternehmen verlassen haben. Die E-Mail-Adresse, die für den Root-Benutzer verwendet wird, sollte nicht für andere Zwecke verwendet werden.

Einschränken des Zugriffs auf Mechanismen zur Kontowiederherstellung

Stellen Sie sicher, dass Sie einen Prozess zur Verwaltung der Wiederherstellungsmechanismen für Root-Benutzer-Anmeldeinformationen entwickeln, für den Fall, dass Sie in Notfällen wie der Übernahme Ihres Administratorkontos darauf zugreifen müssen.

• Stellen Sie sicher, dass Sie Zugriff auf Ihr E-Mail-Postfach für Root-Benutzer haben, damit Sie ein verlorenes oder vergessenes Root-Benutzer-Passwort zurücksetzen können.

• Wenn die MFA für Ihren AWS-Konto-Root-Benutzer verloren geht, beschädigt wird oder nicht funktioniert, können Sie sich mit einer anderen MFA anmelden, die für dieselben Root-Benutzeranmeldeinformationen registriert ist. Wenn Sie den Zugriff auf alle Ihre MFAs verloren haben, müssen sowohl die Telefonnummer als auch die E-Mail-Adresse, die Sie bei der Registrierung Ihres Kontos verwendet haben, auf dem neuesten Stand und zugänglich sein, um Ihre MFA wiederherzustellen. Einzelheiten finden Sie unter Wiederherstellen eines Root-Benutzer-MFA-Geräts..

• Wenn Sie Ihr Root-Benutzer-Passwort und Ihre MFA nicht speichern möchten, kann die in Ihrem Konto registrierte Telefonnummer als alternative Methode zur Wiederherstellung der Root-Benutzer-Anmeldeinformationen verwendet werden. Stellen Sie sicher, dass Sie Zugriff auf die Kontakttelefonnummer haben, halten Sie die Telefonnummer auf dem neuesten Stand und schränken Sie ein, wer Zugriff auf die Verwaltung der Telefonnummer hat.

Niemand sollte Zugriff sowohl auf den E-Mail-Posteingang sowie auf die Telefonnummer haben, da es sich bei beiden um Bestätigungskanäle handelt, mit denen Sie Ihr Root-Benutzer-Passwort wiederherstellen können. Es ist wichtig, dass zwei Personengruppen diese Kanäle verwalten. Eine Gruppe sollte Zugriff auf Ihre primäre E-Mail-Adresse haben und eine andere Gruppe sollte Zugriff auf die primäre Telefonnummer haben, um den Zugriff auf Ihr Konto als Root-Benutzer wiederherzustellen.

Sichern der RootBenutzer-Anmeldeinformationen Ihres AWS Organizations-Kontos

Wenn Sie zu einer Strategie für mehrere Konten für AWS Organizations übergehen, hat jedes Ihrer AWS-Konten seine eigenen Root-Benutzer-Anmeldeinformationen, die Sie sichern müssen. Das Konto, mit dem Sie Ihre Organisation erstellen, ist das Verwaltungskonto, und die übrigen Konten in Ihrer Organisation sind Mitgliedskonten.

Sichern von Root-Benutzer-Anmeldeinformationen für Verwaltungskonten

AWS erfordert, dass Sie MFA für den Root-Benutzer des Verwaltungskontos Ihrer Organisation registrieren. Die MFA-Registrierung muss beim ersten Anmeldeversuch oder innerhalb der 35-tägigen Übergangsfrist abgeschlossen werden. Wenn MFA innerhalb dieser Zeit nicht aktiviert ist, ist eine Registrierung erforderlich, bevor Sie auf die AWS-Managementkonsole zugreifen können. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos.

Sichern von Root-Benutzer-Anmeldeinformationen für Mitgliedskonten

Wenn Sie AWS Organizations zur Verwaltung mehrerer Konten verwenden, gibt es zwei Strategien, die Sie anwenden können, um den Zugriff von Root-Benutzern in Ihren AWS Organizations zu sichern.

• Zentralisieren Sie den Root-Zugriff und entfernen Sie die Root-Benutzer-Anmeldeinformationen aus den Mitgliedskonten. Entfernen Sie die Root-Benutzer-Anmeldeinformationen, Zugriffsschlüssel und Signaturzertifikate und deaktivieren und löschen Sie die Multi-Faktor-Authentifizierung (MFA). Wenn diese Strategie verwendet wird, können Mitgliedskonten sich nicht bei ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen. Weitere Informationen finden Sie unter Root-Zugriff für Mitgliedskonten zentral verwalten.

• Sichern Sie die Root-Benutzer-Anmeldeinformationen Ihrer AWS Organizations-Konten mit MFA, um die Kontosicherheit zu erhöhen. Weitere Informationen finden Sie unter Multi-Faktor-Authentifizierung für Root-Benutzer des AWS-Kontos.

Einzelheiten finden Sie unter Zugreifen auf Mitgliedskonten in Ihrer Organisation im AWS Organizations-Benutzerhandbuch.

Einrichten von präventiven Sicherheitskontrollen in AWS Organizations mithilfe einer Service-Kontrollrichtlinie (SCP)

Wenn für die Mitgliedskonten in Ihrer Organisation Root-Benutzer-Anmeldeinformationen aktiviert sind, können Sie eine SCP anwenden, um den Zugriff auf den Root-Benutzer des Mitgliedskontos einzuschränken. Das Verweigern aller Root-Benutzeraktionen in Ihren Mitgliedskonten, mit Ausnahme bestimmter Root-Aktionen, trägt dazu bei, unbefugten Zugriff zu verhindern. Einzelheiten finden Sie unter Verwenden eines SCP zum Einschränken der Aktionen des Root-Benutzers in Ihren Mitgliedskonten.

Überwachung von Zugang und Nutzung

Wir empfehlen Ihnen, Ihre derzeitigen Nachverfolgungsmechanismen zu verwenden, um die Anmeldung und Nutzung von Anmeldeinformationen von Root-Benutzern zu überwachen, zu warnen und zu melden, einschließlich Warnungen, die die Anmeldung und Nutzung von Root-Benutzern ankündigen. Die folgenden Services können dazu beitragen, sicherzustellen, dass die Nutzung der Anmeldeinformationen des Root-Benutzers nachverfolgt wird, und Sicherheitsprüfungen durchzuführen, die dazu beitragen können, eine unbefugte Nutzung zu verhindern.

Anmerkung

CloudTrail protokolliert verschiedene Anmeldeereignisse für den Root-Benutzer und privilegierte Root-Benutzer-Sitzungen. Diese privilegierten Sitzungen ermöglichen die Ausführung von Aufgaben, für die Root-Benutzer-Anmeldeinformationen erforderlich sind, in Mitgliedskonten in Ihrer Organisation. Sie können das Anmeldeereignis verwenden, um die Aktionen zu identifizieren, die vom Verwaltungskonto oder einem delegierten Administrator mithilfe von sts:AssumeRoot ausgeführt wurden. Weitere Informationen finden Sie unter Verfolgen von privilegierten Aufgaben in CloudTrail.

• Wenn Sie über die Anmeldeaktivitäten von Root-Benutzern in Ihrem Konto informiert werden möchten, können Sie Amazon CloudWatch nutzen, um eine Ereignisregel zu erstellen, die erkennt, wenn Root-Benutzer-Anmeldedaten verwendet werden, und eine Benachrichtigung an Ihren Sicherheitsadministrator auslöst. Weitere Informationen finden Sie unter Überwachen und Benachrichtigen der Root-Benutzeraktivität des AWS-Konto.

• Wenn Sie Benachrichtigungen über genehmigte Aktionen von Root-Benutzern einrichten möchten, können Sie Amazon EventBridge zusammen mit Amazon SNS nutzen. Sie können eine EventBridge-Regel schreiben, um die Nutzung von Root-Benutzern für die jeweilige Aktion zu verfolgen und Sie mithilfe eines Amazon SNS-Themas zu benachrichtigen. Ein Beispiel finden Sie unter Senden einer Benachrichtigung, wenn ein Amazon-S3-Objekt erstellt wird.

• Wenn Sie bereits GuardDuty als Service zur Bedrohungserkennung verwenden, können Sie dessen Funktionen erweitern, um Sie zu benachrichtigen, wenn Anmeldeinformationen von Root-Benutzern in Ihrem Konto genutzt werden.

Die Warnmeldungen sollten unter anderem die E-Mail-Adresse des Root-Benutzers enthalten. Halten Sie Verfahren für die Reaktion auf Warnungen bereit, damit Mitarbeiter, die eine Warnung zum Root-Benutzerzugriff erhalten, verstehen, wie sie überprüfen können, ob Root-Benutzerzugriff erwartet wird, und wie sie eskalieren können, wenn sie glauben, dass ein Sicherheitsvorfall vorliegt. Ein Beispiel für die Konfiguration von Warnmeldungen finden Sie unter Überwachen und Benachrichtigen der Root-Benutzeraktivität des AWS-Konto.

Auswertung der MFA-Compliance von Root-Benutzern

Die folgenden Services können bei der Bewertung der MFA-Compliance für Root-Benutzer-Anmeldeinformationen helfen.

Wenn Sie die bewährte Methode zum Entfernen der Root-Benutzer-Anmeldeinformationen befolgen, werden MFA-bezogene Regeln als nicht konform zurückgegeben.

Wir empfehlen, die Root-Benutzer-Anmeldeinformationen aus den Mitgliedskonten in Ihrer Organisation zu entfernen, um eine unbefugte Nutzung zu verhindern. Nachdem Sie die Root-Benutzer-Anmeldeinformationen, einschließlich MFA, entfernt haben, werden diese Mitgliedskonten als nicht zutreffend ausgewertet.

• AWS Config enthält Regeln zur Überwachung der bewährten Methoden für Root-Benutzer. Mithilfe von AWS Config-verwalteten Regeln können Sie MFA für Root-Benutzer-Anmeldeinformationen durchsetzen. AWS Config kann auch Zugriffsschlüssel für den Root-Benutzer identifizieren.

• Security Hub bietet Ihnen einen umfassenden Überblick über Ihren Sicherheitsstatus in AWS und hilft Ihnen, Ihre AWS-Umgebung anhand von Sicherheitsstandards und bewährten Methoden zu bewerten, z. B. MFA für den Root-Benutzer und keine Zugriffsschlüssel für Root-Benutzer. Einzelheiten zu den verfügbaren Regeln finden Sie unter AWS Identity and Access Management-Steuerelemente im Security-Hub-Benutzerhandbuch.

• Trusted Advisor bietet eine Sicherheitsüberprüfung, damit Sie wissen, ob MFA für das Root-Benutzerkonto nicht aktiviert ist. Weitere Informationen finden Sie unter MFA im Root-Konto im AWS-Support-Benutzerhandbuch.

Wenn Sie ein Sicherheitsproblem in Ihrem Konto melden möchten, lesen Sie Verdächtige E-Mails melden oder Meldung von Schwachstellen. Alternativ können Sie sich an AWS wenden, um Unterstützung und zusätzliche Hilfestellung zu erhalten.