ACCT.03 – Konfigurieren des Konsolenzugriffs für jeden Benutzer - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

ACCT.03 – Konfigurieren des Konsolenzugriffs für jeden Benutzer

Als bewährte Methode AWS empfiehlt die Verwendung temporärer Anmeldeinformationen, um Zugriff auf - AWS-Konten und -Ressourcen zu gewähren. Temporäre Anmeldeinformationen haben eine begrenzte Nutzungsdauer. Somit müssen Sie sie nicht rotieren oder explizit widerrufen, wenn Sie sie nicht mehr benötigen. Weitere Informationen finden Sie unter Temporäre Sicherheits-Anmeldeinformationen (IAM-Dokumentation).

Für menschliche Benutzer AWS empfiehlt die Verwendung von Verbundidentitäten von einem zentralen Identitätsanbieter (IdP), wie AWS IAM Identity Center, Okta, Active Directory oder Ping Identity. Durch den Verbund von Benutzern können Sie Identitäten an einem einzigen zentralen Ort definieren, und Benutzer können sich sicher bei mehreren Anwendungen und Websites authentifizieren, einschließlich AWS, indem sie nur einen Satz von Anmeldeinformationen verwenden. Weitere Informationen finden Sie unter Identitätsverbund in AWS und IAM Identity Center (AWS Website).

Anmerkung

Ein Identitätsverbund kann den Übergang von einer Einzelkontenarchitektur zu einer Architektur mit mehreren Konten erschweren. Es ist üblich, dass Startups die Implementierung eines Identitätsverbunds verzögern, bis sie eine Architektur mit mehreren Konten eingerichtet haben, die in AWS Organizations verwaltet wird.

So richten Sie einen Identitätsverbund ein

  1. Wenn Sie IAM Identity Center verwenden, schauen Sie unter Erste Schritte (Dokumentation von IAM Identity Center).

    Wenn Sie einen externen IdP oder einen Drittanbieter verwenden, finden Sie weitere Informationen unter Erstellen von IAM-Identitätsanbietern (IAM-Dokumentation).

  2. Stellen Sie sicher, dass Ihr IdP die Multi-Faktor-Authentifizierung (MFA) durchsetzt.

  3. Wenden Sie Berechtigungen gemäß ACCT.04 – Berechtigungen zuweisen an.

Für Startups, die nicht bereit sind, einen Identitätsverbund zu konfigurieren, können Sie Benutzer direkt in IAM erstellen. Dies ist keine empfohlene bewährte Sicherheitsmethode, da es sich um langfristige Anmeldeinformationen handelt, die nie ablaufen. Dies ist jedoch eine gängige Praxis für Startups, die sich in der Anfangsphase befinden, um Schwierigkeiten beim Übergang zu einer Architektur mit mehreren Konten zu vermeiden, wenn sie betriebsbereit sind.

Als Grundlage können Sie einen IAM-Benutzer für jede Person erstellen, die Zugriff auf AWS Management Console benötigt. Wenn Sie IAM-Benutzer konfigurieren, teilen Sie die Anmeldeinformationen nicht mit anderen Benutzern und rotieren Sie die langfristigen Anmeldeinformationen regelmäßig.

Warnung

IAM-Benutzer verfügen über langfristige Anmeldeinformationen, was ein Sicherheitsrisiko darstellt. Um dieses Risiko zu minimieren, empfehlen wir, dass Sie diesen Benutzern nur die Berechtigungen gewähren, die sie zur Ausführung der Aufgabe benötigen, und dass Sie diese Benutzer entfernen, wenn sie nicht mehr benötigt werden.

So erstellen Sie einen IAM-Benutzer

  1. IAM-Benutzer erstellen (IAM-Dokumentation).

  2. Wenden Sie Berechtigungen gemäß ACCT.04 – Berechtigungen zuweisen an.