Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte SNS Sicherheitsmethoden von Amazon
AWS bietet viele Sicherheitsfunktionen für AmazonSNS. Überprüfen Sie diese Sicherheitsfunktionen im Kontext Ihrer eigenen Sicherheitsrichtlinie.
Anmerkung
Der Leitlinien für diese Sicherheitsfunktionen gilt für allgemeine Anwendungsfälle und Implementierungen. Wir empfehlen Ihnen, diese bewährten Methoden im Kontext Ihres spezifischen Anwendungsfalls, der Architektur und des Bedrohungsmodells zu überprüfen.
Vorbeugende bewährte Methoden
Im Folgenden finden Sie bewährte Methoden zur präventiven Sicherheit für AmazonSNS.
Themen
- Stellen Sie sicher, dass Themen nicht öffentlich zugänglich sind
- Implementieren der geringstmöglichen Zugriffsrechte
- IAMRollen für Anwendungen und AWS Dienste verwenden, für die SNS Amazon-Zugriff erforderlich ist
- Implementieren serverseitiger Verschlüsselung
- Erzwingen der Verschlüsselung von Daten während der Übertragung
- Erwägen Sie die Verwendung von VPC Endpunkten für den Zugriff auf Amazon SNS
- Stellen Sie sicher, dass Abonnements nicht für die Bereitstellung an unformatierte HTTP-Endpunkte konfiguriert sind
Stellen Sie sicher, dass Themen nicht öffentlich zugänglich sind
Sofern Sie nicht ausdrücklich verlangen, dass jemand im Internet Ihr SNS Amazon-Thema lesen oder darauf schreiben kann, sollten Sie sicherstellen, dass Ihr Thema nicht öffentlich zugänglich ist (für jeden auf der Welt oder für jeden authentifizierten AWS Benutzer zugänglich).
-
Vermeiden Sie das Erstellen von Richtlinien mit auf
""festgelegtemPrincipal. -
Vermeiden Sie die Verwendung eines Platzhalters (
*). Benennen Sie stattdessen einen oder mehrere bestimmte Benutzer.
Implementieren der geringstmöglichen Zugriffsrechte
Wenn Sie Berechtigungen erteilen, entscheiden Sie, wer sie erhält, für welche Themen die Berechtigungen gelten und welche API Aktionen Sie für diese Themen zulassen möchten. Die Umsetzung des Prinzips der geringsten Rechte ist für die Reduzierung von Sicherheitsrisiken ausschlaggebend. Es hilft auch, die negativen Auswirkungen von Fehlern oder böswilligen Absichten zu reduzieren.
Folgen Sie den standardmäßigen Sicherheitshinweisen zur Erteilung von geringsten Privilegien. Das heißt: erteilen Sie nur die Berechtigungen, die zum Ausführen einer bestimmten Aufgabe erforderlich sind. Sie können die geringsten Rechte implementieren, indem Sie eine Kombination von Sicherheitsrichtlinien für den Benutzerzugriff verwenden.
Amazon SNS verwendet das Publisher-Abonnenten-Modell, das drei Arten des Benutzerkontozugriffs erfordert:
-
Administratoren – Zugriff auf das Erstellen, Ändern und Löschen von Themen. Administratoren steuern auch Themenrichtlinien.
-
Herausgeber – Zugriff auf das Senden von Nachrichten an Themen.
-
Abonnenten – Zugriff auf das Abonnieren von Themen.
Weitere Informationen finden Sie in den folgenden Abschnitten:
IAMRollen für Anwendungen und AWS Dienste verwenden, für die SNS Amazon-Zugriff erforderlich ist
Damit Anwendungen oder AWS Dienste wie Amazon EC2 auf SNS Amazon-Themen zugreifen können, müssen sie in ihren AWS API Anfragen gültige AWS Anmeldeinformationen verwenden. Da diese Anmeldeinformationen nicht automatisch rotiert werden, sollten Sie die AWS Anmeldeinformationen nicht direkt in der Anwendung oder EC2 Instance speichern.
Sie sollten eine IAM Rolle verwenden, um temporäre Anmeldeinformationen für Anwendungen oder Dienste zu verwalten, die auf Amazon zugreifen müssenSNS. Wenn Sie eine Rolle verwenden, müssen Sie keine langfristigen Anmeldeinformationen (wie einen Benutzernamen, ein Passwort und Zugriffsschlüssel) an eine EC2 Instance oder einen AWS Service verteilen, wie AWS Lambda z. Stattdessen stellt die Rolle temporäre Berechtigungen bereit, die Anwendungen verwenden können, wenn sie andere AWS Ressourcen aufrufen.
Weitere Informationen finden Sie im Benutzerhandbuch unter IAMRollen und allgemeine Szenarien für Rollen: Benutzer, Anwendungen und Dienste. IAM
Implementieren serverseitiger Verschlüsselung
Probleme durch Datenlecks lassen sich verringern, indem Sie die Verschlüsselung im Ruhezustand verwenden. Dabei verschlüsseln Sie Ihre Nachrichten mithilfe eines Schlüssels, der an einem anderen Speicherort gespeichert ist als Ihre Nachrichten. Die serverseitige Verschlüsselung (SSE) ermöglicht die Verschlüsselung von Daten im Ruhezustand. Amazon SNS verschlüsselt Ihre Daten auf Nachrichtenebene, wenn es sie speichert, und entschlüsselt die Nachrichten für Sie, wenn Sie darauf zugreifen. SSEverwendet Schlüssel, die in verwaltet werden. AWS Key Management Service Solange Sie Ihre Anfrage authentifizieren und über Zugriffsberechtigungen verfügen, besteht kein Unterschied zwischen dem Zugriff auf verschlüsselte und unverschlüsselte Themen.
Weitere Informationen erhalten Sie unter Verschlüsselung im Ruhezustand und Schlüsselverwaltung.
Erzwingen der Verschlüsselung von Daten während der Übertragung
Es ist möglich, aber nicht empfehlenswert, Nachrichten zu veröffentlichen, die während der Übertragung nicht verschlüsselt wurden, indem SieHTTP. Wenn ein Thema jedoch im Ruhezustand verschlüsselt wird AWS KMS, muss es HTTPS für die Veröffentlichung von Nachrichten verwendet werden, um die Verschlüsselung sowohl im Ruhezustand als auch bei der Übertragung sicherzustellen. Das Thema lehnt HTTP Nachrichten zwar nicht automatisch ab, die Verwendung HTTPS ist jedoch notwendig, um die Sicherheitsstandards aufrechtzuerhalten.
AWS empfiehlt, HTTPS anstelle von zu verwendenHTTP. Wenn Sie diese Option verwendenHTTPS, werden Nachrichten während der Übertragung automatisch verschlüsselt, auch wenn das SNS Thema selbst nicht verschlüsselt ist. HTTPSAndernfalls kann ein netzwerkgestützter Angreifer den Netzwerkverkehr abhören oder ihn mit einem Angriff wie dem manipulieren. man-in-the-middle
Um nur verschlüsselte Verbindungen zu erzwingenHTTPS, fügen Sie die aws:SecureTransportBedingung in die IAM Richtlinie ein, die unverschlüsselten Themen zugeordnet ist. SNS Dadurch werden Nachrichtenherausgeber gezwungen, HTTPS anstelle von HTTP zu verwenden. Sie können folgendes Beispiel nutzen:
{ "Id": "ExamplePolicy", "Version": "2012-10-17", "Statement": [ { "Sid": "AllowPublishThroughSSLOnly", "Action": "SNS:Publish", "Effect": "Deny", "Resource": [ "arn:aws:sns:us-east-1:1234567890:test-topic" ], "Condition": { "Bool": { "aws:SecureTransport": "false" } }, "Principal": "*" } ] }
Erwägen Sie die Verwendung von VPC Endpunkten für den Zugriff auf Amazon SNS
Wenn Sie Themen haben, mit denen Sie interagieren können müssen, diese Themen aber auf keinen Fall im Internet veröffentlicht werden dürfen, verwenden Sie VPC Endpunkte, um den Themenzugriff auf die Hosts innerhalb eines bestimmten Bereichs zu beschränken. VPC Sie können Themenrichtlinien verwenden, um den Zugriff auf Themen von bestimmten VPC Amazon-Endpunkten oder von bestimmten VPCs aus zu steuern.
SNSVPCAmazon-Endpunkte bieten zwei Möglichkeiten, den Zugriff auf Ihre Nachrichten zu kontrollieren:
-
Sie können die Anfragen, Benutzer oder Gruppen steuern, die über einen bestimmten VPC Endpunkt zugelassen werden.
-
Mithilfe einer Themenrichtlinie können Sie steuern, welche VPCs VPC Endpunkte Zugriff auf Ihr Thema haben.
Weitere Informationen erhalten Sie unter Erstellen des Endpunkts und Erstellen einer VPC Amazon-Endpunktrichtlinie für Amazon SNS.
Stellen Sie sicher, dass Abonnements nicht für die Bereitstellung an unformatierte HTTP-Endpunkte konfiguriert sind
Vermeiden Sie das Konfigurieren von Abonnements für die Bereitstellung an unformatierte HTTP-Endpunkte. Stellen Sie immer Abonnements bereit, die an einen Endpunkt-Domänennamen gesendet werden. Beispiel: Ein Abonnement, das für die Bereitstellung an einen Endpunkt konfiguriert ist, http://1.2.3.4/my-path, sollte geändert werden in http://my.domain.name/my-path.
