Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Bewährte Sicherheitsmethoden für Systems Manager
AWS Systems Manager bietet eine Reihe von Sicherheitsfunktionen, die Sie bei der Entwicklung und Implementierung Ihrer eigenen Sicherheitsrichtlinien berücksichtigen sollten. Die folgenden bewährten Methoden sind allgemeine Richtlinien und keine vollständige Sicherheitslösung. Da diese bewährten Methoden für Ihre Umgebung möglicherweise nicht angemessen oder ausreichend sind, sollten Sie sie als hilfreiche Überlegungen und nicht als bindend ansehen.
Themen
Systems Manager Bewährte Methoden zur präventiven Sicherheit
Die folgenden bewährten Methoden für Systems Manager kann dazu beitragen, Sicherheitsvorfälle zu verhindern.
- Implementieren des Zugriffs mit geringsten Berechtigungen
-
Bei der Erteilung von Berechtigungen entscheiden Sie, wer welche Berechtigungen für welche erhält Systems Manager Ressourcen schätzen. Sie aktivieren die spezifischen Aktionen, die daraufhin für die betreffenden Ressourcen erlaubt sein sollen. Aus diesem Grund sollten Sie nur Berechtigungen gewähren, die zum Ausführen einer Aufgabe erforderlich sind. Die Implementierung der geringstmöglichen Zugriffsrechte ist eine grundlegende Voraussetzung zum Reduzieren des Sicherheitsrisikos und der Auswirkungen, die aufgrund von Fehlern oder böswilligen Absichten entstehen könnten.
Die folgenden Tools stehen zur Implementierung der geringstmöglichen Zugriffsrechte zur Verfügung:
- Verwenden Sie die empfohlenen Einstellungen für SSM Agent wenn für die Verwendung eines Proxys konfiguriert
-
Wenn Sie konfigurieren SSM Agent Um einen Proxy zu verwenden, verwenden Sie die
no_proxy
Variable mit der IP-Adresse des Systems Manager-Instanz-Metadatendienstes, um sicherzustellen, dass Aufrufe von Systems Manager nicht die Identität des Proxydienstes annehmen.Weitere Informationen erhalten Sie unter Konfigurieren Sie SSM Agent, um einen Proxy in Linux-Knoten zu verwenden und Konfiguration SSM Agent um einen Proxy zu verwenden für Windows Server -Instances.
- Verwenden Sie SecureString Parameter, um geheime Daten zu verschlüsseln und zu schützen
-
In Parameter Store, ein Tool in AWS Systems Manager, ein
SecureString
Parameter sind alle sensiblen Daten, die auf sichere Weise gespeichert und referenziert werden müssen. Wenn Sie Daten haben, die Benutzer nicht ändern oder als Klartext referenzieren sollen (z. B. Passwörter oder Lizenzschlüssel), erstellen Sie diese Parameter mit demSecureString
-Datentyp. Parameter Store verwendet ein AWS KMS key in AWS Key Management Service (AWS KMS), um den Parameterwert zu verschlüsseln. AWS KMS verwendet Von AWS verwalteter Schlüssel beim Verschlüsseln des Parameterwerts entweder einen vom Kunden verwalteten Schlüssel oder einen. Für maximale Sicherheit empfehlen wir die Verwendung eines eigenen KMS-Schlüssel. Wenn Sie den verwenden Von AWS verwalteter Schlüssel, kann jeder Benutzer mit der Berechtigung zum Ausführen des GetParameter und GetParametersAktionen in Ihrem Konto können den Inhalt allerSecureString
Parameter anzeigen oder abrufen. Wenn Sie vom Kunden verwaltete Schlüssel zur Verschlüsselung Ihrer sicherenSecureString
-Werte verwenden, können Sie IAM-Richtlinien und -Schlüsselrichtlinien verwenden, um die Berechtigungen für die Ver- und Entschlüsselung von Parametern zu verwalten.Es ist schwieriger, Richtlinien für die Zugriffssteuerung für diese Vorgänge zu erstellen, wenn Sie Von AWS verwalteter Schlüssel verwenden. Wenn Sie beispielsweise einen Von AWS verwalteter Schlüssel zum Verschlüsseln von
SecureString
Parametern verwenden und nicht möchten, dass Benutzer mitSecureString
Parametern arbeiten, müssen die IAM-Richtlinien des Benutzers den Zugriff auf den Standardschlüssel ausdrücklich verweigern.Weitere Informationen finden Sie unter und Wie Beschränken des Zugriffs auf Parameter Store Parameter mithilfe von IAM-Richtlinien AWS Systems Manager Parameter Store Verwendungen AWS KMS im AWS Key Management Service Entwicklerhandbuch.
- Definieren von allowedValues und allowedPattern für Dokumentparameter
-
Sie können Benutzereingaben für Parameter in Systems Manager-Dokumenten (SSM-Dokumenten) validieren, indem Sie
allowedValues
undallowedPattern
definieren. FürallowedValues
definieren Sie ein Array von Werten, die für den Parameter zulässig sind. Wenn ein Benutzer einen Wert eingibt, der nicht zulässig ist, kann die Ausführung nicht gestartet werden. FürallowedPattern
definieren Sie einen regulären Ausdruck, der überprüft, ob die Benutzereingabe mit dem definierten Muster für den Parameter übereinstimmt. Wenn die Benutzereingabe nicht mit dem zulässigen Muster übereinstimmt, kann die Ausführung nicht gestartet werden.Weitere Informationen zu
allowedValues
undallowedPattern
finden Sie unter Datenelemente und Parameter. - Öffentliche Freigabe für Dokumente blockieren
-
Sofern für Ihren Anwendungsfall keine öffentliche Freigabe erforderlich ist, empfehlen wir Ihnen, die Einstellung zum Blockieren der öffentlichen Freigabe für Ihre SSM-Dokumente im Abschnitt Preferences (Einstellungen) der Systems Manager-Dokumentenkonsole zu aktivieren.
- Amazon Virtual Private Cloud (Amazon VPC) und VPC-Endpunkte verwenden
-
Sie können Amazon VPC verwenden, um AWS Ressourcen in einem von Ihnen definierten virtuellen Netzwerk bereitzustellen. Dieses virtuelle Netzwerk entspricht weitgehend einem herkömmlichen Netzwerk, wie Sie es in Ihrem Rechenzentrum betreiben, kann jedoch die Vorzüge der skalierbaren Infrastruktur von AWS nutzen.
Durch die Implementierung eines VPC-Endpunkts können Sie Ihre VPC privat mit unterstützten AWS-Services und unterstützten VPC-Endpunktdiensten verbinden, AWS PrivateLink ohne dass ein Internet-Gateway, ein NAT-Gerät, eine VPN-Verbindung oder eine Verbindung erforderlich ist. AWS Direct Connect Instances in Ihrer VPC benötigen keine öffentlichen IP-Adressen, um mit Ressourcen im Service zu kommunizieren. Der Datenverkehr zwischen Ihrer VPC und dem anderen Service verlässt das Amazon-Netzwerk nicht.
Weitere Informationen zur Sicherheit von Amazon VPC finden Sie unter Verbessern der Sicherheit von EC2 Instances durch die Verwendung von VPC-Endpunkten für Systems Manager und Schutz des Netzwerkverkehrs in Amazon VPC im Amazon VPC-Benutzerhandbuch.
- Restrict Session Manager Benutzer nehmen an Sitzungen teil, die interaktive Befehle und spezielle SSM-Sitzungsdokumente verwenden
-
Session Manager, ein Tool in AWS Systems Manager, bietet mehrere Methoden zum Starten von Sitzungen auf Ihren verwalteten Knoten. Für die sichersten Verbindungen können Sie von den Benutzern verlangen, dass sie sich mit der Methode interaktive Befehle verbinden, um die Benutzerinteraktion auf einen bestimmten Befehl oder eine bestimmte Befehlssequenz zu beschränken. Dies hilft Ihnen bei der Verwaltung der interaktiven Aktionen, die ein Benutzer durchführen kann. Weitere Informationen finden Sie unter Starten einer Sitzung (interaktive und nicht interaktive Befehle).
Für zusätzliche Sicherheit können Sie Folgendes einschränken Session Manager Zugriff auf bestimmte EC2 Amazon-Instances und bestimmte Session Manager Sitzungsdokumente. Sie gewähren oder widerrufen Session Manager Zugriff auf diese Weise mithilfe von AWS Identity and Access Management (IAM-) Richtlinien. Weitere Informationen finden Sie unter Schritt 3: Steuern des Sitzungs-Zugriffs auf verwaltete Knoten.
- Bereitstellen von temporären Knoten-Berechtigungen für Automatisierungs-Workflows
-
Während eines Workflows in Automation ein Tool in AWS Systems Manager, benötigen Ihre Knoten möglicherweise Berechtigungen, die nur für diese Ausführung erforderlich sind, nicht aber für andere Systems Manager Operationen. Für einen Automatisierungs-Workflow kann es beispielsweise erforderlich sein, dass ein Knoten während des Workflows eine bestimmte API-Operation aufruft oder auf eine AWS Ressource zugreift. Wenn diese Aufrufe oder Ressourcen solche sind, auf die Sie den Zugriff beschränken möchten, können Sie temporäre, zusätzliche Berechtigungen für Ihre Knoten im Automatisierungs-Runbook selbst bereitstellen, anstatt die Berechtigungen zu Ihrem IAM-Instance-Profil hinzuzufügen. Am Ende des Automation-Workflows werden die temporären Berechtigungen entfernt. Weitere Informationen finden Sie unter Bereitstellung temporärer Instance-Berechtigungen mit AWS Systems Manager Automations
im AWS Management- und Governance-Blog. - Behalten AWS und Systems Manager Tools auf dem neuesten Stand
-
AWS veröffentlicht regelmäßig aktualisierte Versionen von Tools und Plugins, die Sie in Ihrem AWS und Systems Manager Operationen. Wenn Sie diese Ressourcen auf dem neuesten Stand halten, wird sichergestellt, dass Benutzer und Knoten in Ihrem Konto Zugriff auf die neueste Funktion und Sicherheitsfeatures dieser Tools haben.
-
SSM Agent – AWS Systems Manager Bevollmächtigter (SSM Agent) ist Amazon-Software, die auf einer Amazon Elastic Compute Cloud (Amazon EC2) -Instance, einem lokalen Server oder einer virtuellen Maschine (VM) installiert und konfiguriert werden kann. SSM Agent macht es möglich für Systems Manager um diese Ressourcen zu aktualisieren, zu verwalten und zu konfigurieren. Es wird empfohlen, mindestens alle zwei Wochen nach neuen Versionen zu suchen oder Aktualisierungen des Agenten zu automatisieren. Weitere Informationen finden Sie unter Automatisieren von Updates für SSM Agent. Wir empfehlen außerdem, die Signatur von zu überprüfen SSM Agent als Teil Ihres Aktualisierungsprozesses. Weitere Informationen finden Sie unter Verifizieren der Signatur von SSM Agent.
-
AWS CLI — The AWS Command Line Interface (AWS CLI) ist ein Open-Source-Tool, mit dem Sie AWS-Services mithilfe von Befehlen in Ihrer Befehlszeilen-Shell interagieren können. Um das zu aktualisieren AWS CLI, führen Sie denselben Befehl aus, mit dem Sie das installiert haben. AWS CLI Wir empfehlen, mindestens alle zwei Wochen eine geplante Aufgabe auf Ihrem lokalen Rechner zu erstellen, um den für Ihr Betriebssystem geeigneten Befehl auszuführen. Informationen zu Installationsbefehlen finden Sie im AWS Command Line Interface Benutzerhandbuch unter Installation der AWS CLI Version 2.
-
AWS Tools for Windows PowerShell — Die Tools für Windows PowerShell sind eine Reihe von PowerShell Modulen, die auf der Funktionalität aufbauen, die das AWS SDK for .NET. Sie AWS Tools for Windows PowerShell ermöglichen es Ihnen, Operationen auf Ihren AWS Ressourcen von der PowerShell Befehlszeile aus per Skript auszuführen. Wenn aktualisierte Versionen der Tools für Windows veröffentlicht PowerShell werden, sollten Sie regelmäßig die Version aktualisieren, die Sie lokal ausführen. Weitere Informationen finden Sie unter Aktualisieren von AWS Tools for Windows PowerShell unter Windows oder Aktualisieren von AWS Tools for Windows PowerShell unter Linux oder macOSim IAM Policy Simulator-Benutzerhandbuch.
-
Session Manager Plugin — Wenn Benutzer in Ihrer Organisation über Nutzungsberechtigungen verfügen Session Manager möchten mit dem eine Verbindung zu einem Knoten herstellen AWS CLI, müssen sie zuerst das installieren Session Manager Plugin auf ihren lokalen Computern. Um das Plugin zu aktualisieren, führen Sie denselben Befehl aus, der für die Installation des Plugins verwendet wird. Wir empfehlen, mindestens alle zwei Wochen eine geplante Aufgabe auf Ihrem lokalen Rechner zu erstellen, um den für Ihr Betriebssystem geeigneten Befehl auszuführen. Weitere Informationen finden Sie unter Installieren des Session Manager-Plugin für die AWS CLI.
-
CloudWatch Agent — Sie können den CloudWatch Agenten konfigurieren und verwenden, um Metriken und Protokolle von Ihren EC2 Instanzen, lokalen Instanzen und virtuellen Maschinen zu sammeln (VMs). Diese Protokolle können zur Überwachung und Analyse an Amazon CloudWatch Logs gesendet werden. Es wird empfohlen, mindestens alle zwei Wochen nach neuen Versionen zu suchen oder Aktualisierungen des Agenten zu automatisieren. Verwenden Sie für die einfachsten Updates AWS Systems Manager Schnelle Einrichtung. Weitere Informationen finden Sie unter AWS Systems Manager Quick Setup.
-
Systems Manager Bewährte Verfahren zur Überwachung und Prüfung
Die folgenden bewährten Methoden für Systems Manager kann dabei helfen, potenzielle Sicherheitslücken und Sicherheitsvorfälle zu erkennen.
- Identifizieren und prüfen Sie all Ihre Systems Manager Ressourcen
-
Die Identifikation Ihrer IT-Assets ist ein wichtiger Aspekt von Governance und Sicherheit. Sie müssen alle Ihre identifizieren Systems Manager Ressourcen, um ihre Sicherheitslage zu beurteilen und Maßnahmen gegen potenzielle Schwachstellen zu ergreifen.
Verwenden Sie den Tag-Editor, um sicherheits- und prüfungsrelevante Ressourcen zu identifizieren. Verwenden Sie dann diese Markierungen zur Suche nach den entsprechenden Ressourcen. Weitere Informationen finden Sie unter Suchen nach zu markierenden Ressourcen im AWS Resource Groups -Benutzerhandbuch.
Erstellen Sie Ressourcengruppen für Systems Manager Ressourcen schätzen. Weitere Informationen finden Sie unter Was sind Ressourcengruppen?
- Implementieren Sie die Überwachung mithilfe der CloudWatch Amazon-Überwachungstools
-
Die Überwachung ist ein wichtiger Bestandteil der Aufrechterhaltung der Zuverlässigkeit, Sicherheit, Verfügbarkeit und Leistung von Systems Manager und Ihre AWS Lösungen. Amazon CloudWatch bietet verschiedene Tools und Dienste, die Sie bei der Überwachung unterstützen Systems Manager und dein anderer AWS-Services. Weitere Informationen erhalten Sie unter Senden von Knotenprotokollen an Unified CloudWatch Logs (CloudWatch Agent) und Überwachung von Systems Manager Manager-Ereignissen mit Amazon EventBridge.
- Benutze CloudTrail
-
AWS CloudTrail bietet eine Aufzeichnung der Aktionen, die von einem Benutzer, einer Rolle oder AWS-Service einem Systems Manager. Anhand der von CloudTrail gesammelten Informationen können Sie feststellen, welche Anfrage gestellt wurde Systems Manager, die IP-Adresse, von der aus die Anfrage gestellt wurde, wer die Anfrage gestellt hat, wann sie gestellt wurde, und weitere Details. Weitere Informationen finden Sie unter AWS Systems Manager API-Aufrufe protokollieren mit AWS CloudTrail.
- Einschalten AWS Config
-
AWS Config ermöglicht es Ihnen, die Konfigurationen Ihrer AWS Ressourcen zu bewerten, zu prüfen und zu bewerten. AWS Config überwacht die Ressourcenkonfigurationen, sodass Sie die aufgezeichneten Konfigurationen mit den erforderlichen sicheren Konfigurationen vergleichen können. Mithilfe AWS Config dieser Funktion können Sie Änderungen an Konfigurationen und Beziehungen zwischen AWS Ressourcen überprüfen, den detaillierten Verlauf der Ressourcenkonfigurationen untersuchen und die allgemeine Konformität mit den in Ihren internen Richtlinien festgelegten Konfigurationen ermitteln. Dadurch können Sie die Compliance-Prüfung, die Sicherheitsanalyse, das Änderungsmanagement und die Fehlerbehebung bei Betriebsabläufen vereinfachen. Weitere Informationen finden Sie unter Einrichten von AWS Config mit der Konsole im AWS Config -Entwicklerhandbuch. Achten Sie bei der Angabe der aufzuzeichnenden Ressourcentypen darauf, dass Systems Manager Ressourcen schätzen.
- Überwachen Sie die AWS Sicherheitsempfehlungen
-
Sie sollten regelmäßig die Trusted Advisor für Sie veröffentlichten Sicherheitshinweise überprüfen. AWS-Konto Sie können dies programmgesteuert tun mit. describe-trusted-advisor-checks
Überwachen Sie außerdem aktiv die primäre E-Mail-Adresse, die für jeden von Ihnen registriert ist. AWS-Konten AWS wird Sie unter Verwendung dieser E-Mail-Adresse über neu auftretende Sicherheitsprobleme kontaktieren, die Sie betreffen könnten.
AWS Betriebsprobleme mit weitreichenden Auswirkungen werden im AWS Service Health Dashboard
veröffentlicht. Operative Probleme werden ebenfalls über das Personal Health Dashboard in den einzelnen Konten gepostet. Weitere Informationen finden Sie in der AWS Health Dokumentation.
- Weitere Informationen