Richtlinien zur Politikbewertung - AWS Identitäts- und Zugriffsverwaltung
Allgemeine ValidierungenEinschränkungen sicherheitsrelevanter DiensteIAM-spezifische EinschränkungenAWS STS-spezifische EinschränkungenEinschränkungen für IAM Identity CenterAWS Einschränkungen für OrganizationsZusätzliche dienstspezifische ValidierungenKontoübergreifende Zugriffsanforderungen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Richtlinien zur Politikbewertung

AWS bewertet Ihre eingereichten Richtlinien anhand einer Reihe von Richtlinien. Dieselben Bewertungsrichtlinien gelten sowohl für Richtlinienvorlagen als auch für Zulässigkeitsgrenzen, wobei gegebenenfalls geringfügige Unterschiede vermerkt werden.

Zu Bewertungszwecken teilen wir die Dienste in verschiedene Gruppen ein. Der wichtigste Unterschied besteht bei sicherheitsrelevanten Diensten, die Zugriff, Anmeldeinformationen und Schlüssel verwalten. Richtlinien, die den Zugriff auf diese Dienste gewähren, müssen eng auf die geleistete Arbeit ausgerichtet sein. Zu den sicherheitsrelevanten Diensten gehören: AWS Identity and Access Management (IAM), AWS Key Management Service (KMS), AWS Resource Access Manager (RAM), AWS IAM Identity Center, AWS Organizations und Secrets Manager. AWS

Ein zweiter Unterschied sind Dienste, die über Kontogrenzen hinweg auf Daten zugreifen können. Die Richtlinien für diese Dienste müssen Schutzmaßnahmen enthalten, um unbeabsichtigten kontenübergreifenden Zugriff zu verhindern.

Allgemeine Validierungen

Alle Grundsatzerklärungen müssen diesen Richtlinien entsprechen:

  • Alle Aussagen müssen die Felder „Wirkung“, „Aktion“ (oder NotAction), „Ressource“ und „Bedingung“ in dieser Reihenfolge enthalten

  • Alle Aktionen innerhalb einer einzelnen Anweisung müssen alphabetisch aufgelistet werden

  • Alle in der Richtlinie ARNs enthaltenen Elemente müssen der Syntax entsprechen, die in der öffentlichen Dokumentation für die entsprechenden Dienste definiert ist

  • NotAction Felder können nur in Deny-Anweisungen verwendet werden

  • Aktionen in Allow-Anweisungen müssen einen Servicecode enthalten. Generische Platzhalter („*“) sind nicht zulässig

Einschränkungen sicherheitsrelevanter Dienste

Die folgenden Einschränkungen gelten für die oben genannten sicherheitsrelevanten Dienste:

  • Aktionen in Allow-Anweisungen müssen spezifischer sein als [service] :*

  • Aktionen in Allow-Anweisungen für Vorlagen für temporäre Zugriffsrichtlinien dürfen keine Platzhalter enthalten

  • Vertrauliche Aktionen wie iam: PassRole oder iam: erfordern zusätzliche CreateServiceLinkedRole Gültigkeitsbereiche, z. B. spezifische Ressourcen oder bedingte Prüfungen. Zu diesen Aktionen gehören:

    • IAM-Rollenübergabe

    • Aktionen zur Änderung der IAM-Rolle

    • Aktionen zur Änderung der IAM-Richtlinie

    • AWS KMS-Schreib- oder kryptografische Operationen

    • AWS RAM-Schreib- oder Freigabeoperationen

    • AWS Secrets Manager Manager-Operationen zum Abrufen oder Ändern von Geheimnissen oder zum Ändern von Ressourcenrichtlinien

  • Bei anderen Aktionen kann eine Platzhalterressource wie iam: oder iam: ListUsers verwendet werden GetPolicy

  • Aktionen, die Anmeldeinformationen verwalten, wie z. B. iam:, werden blockiert CreateAccessKey

IAM-spezifische Einschränkungen

Für IAM:

  • Für IAM-Rollen und -Richtlinien sind nur begrenzte Schreibvorgänge zulässig. Sie können keine Berechtigungen für andere IAM-Ressourcen wie Benutzer, Gruppen und Zertifikate anfordern.

  • Aktionen zum Anhängen von Richtlinien oder zur Inline-Richtlinienverwaltung sind auf Rollen mit einer Berechtigungsgrenze beschränkt. Berechtigungsgrenzen müssen vom Partner bereitgestellt werden oder auf einer Liste zulässiger AWS verwalteter Richtlinien stehen. AWS verwaltete Richtlinien sind möglicherweise zulässig, wenn sie keine hoch privilegierten oder administrativen Rechte gewähren. Beispielsweise können AWS verwaltete Richtlinien für bestimmte Aufgabenbereiche oder die SecurityAudit Richtlinie akzeptabel sein. AWS überprüft jede AWS verwaltete Richtlinie während des Onboarding-Prozesses auf einer bestimmten case-by-case Grundlage.

  • Die Richtlinienverwaltung ist nur für Richtlinien mit einem partnerspezifischen Pfad zulässig: arn:aws:iam: :@ {} :policy/partner_domain.com/ [feature] * AccountId

  • Tags können nur während der Ressourcenerstellung und nur für Rollen und Richtlinien angewendet werden

  • iam: Die PassRole Prüfungen müssen mit einem bestimmten Namen oder Pfadpräfix übereinstimmen

AWS STS-spezifische Einschränkungen

Für AWS STS:

  • sts: AssumeRole muss auf einen bestimmten Rollen-ARN, ein Rollen-ARN-Präfix beschränkt sein oder auf eine Gruppe von Konten oder eine Organisationseinheit beschränkt sein ID/organizational

Einschränkungen für IAM Identity Center

Für AWS IAM Identity Center sind die folgenden Aktionen blockiert:

  • Alle Aktionen, die sich mit der Rechteverwaltung befassen (z. B. sso:AttachCustomerManagedPolicyReferenceToPermissionSet)

  • Änderungen an Benutzern, Gruppen und Mitgliedschaften für AWS Identity Store

  • Tag-Verwaltung

AWS Einschränkungen für Organizations

Für AWS Organizations sind nur Leseaktionen zulässig.

Zusätzliche dienstspezifische Validierungen

  • Aktionen, die geheime Daten oder Anmeldeinformationen abrufen, wie z. B. glue: GetConnection oder redshift:GetClusterCredentials, müssen Bedingungen haben, die entweder vollständig ARNs, ARN-Präfixen oder Tags entsprechen

  • Für Amazon Redshift: redshift: GetClusterCredentials ist nur für einen bestimmten Datenbanknamen zulässig und redshift: GetClusterCredentialsWith IAM ist nur für einen bestimmten Arbeitsgruppennamen zulässig

Anmerkung

Bei der Verwaltung von IAM-Ressourcen im Konto empfehlen wir, einen Pfad zu verwenden, der Ihren Namen angibt, z. B. arn:aws:iam: :111122223333:. role/partner.com/rolename Auf diese Weise können Sie die mit Ihrer Integration verbundenen Ressourcen besser voneinander unterscheiden und Kunden die Erkennung, Prüfung und Analyse erleichtern.

Kontoübergreifende Zugriffsanforderungen

Kontoauszüge, die potenziell einen kontoübergreifenden Zugriff ermöglichen, müssen mindestens eine der folgenden Angaben enthalten:

  • Eine Bedingung, die das Konto oder die Organisation für die Ressource angibt (z. B. aws: ResourceOrgId entspricht einem oder mehreren erwarteten Werten)

  • Ein Ressourcenfeld, das ein bestimmtes Konto enthält (z. B. arn:aws:sqs: *:111122223333: *)

  • Ein Ressourcenfeld, das ein Konto ohne Platzhalter und einen vollständigen Ressourcennamen enthält (z. B. arn:aws:s3:::) full-bucket-name

Anmerkung

Der kontoübergreifende Zugriff ist eine sensible Funktion, für die eine klare geschäftliche Begründung erforderlich ist. AWS wird während des Onboarding-Prozesses sorgfältig prüfen, ob ein kontenübergreifender Zugriff erforderlich ist.