SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen

Steuern Sie die Nutzung gemeinsam genutzter Ressourcen über Konten oder innerhalb Ihrer AWS Organizations. Überwachen Sie gemeinsam genutzte Ressourcen und überprüfen Sie den Zugriff auf gemeinsame Ressourcen.

Typische Anti-Muster:

Verwendung der standardmäßigen IAM-Vertrauensrichtlinie bei der Gewährung kontoübergreifenden Zugriffs für Drittparteien

Risikostufe, wenn diese bewährte Methode nicht genutzt wird: Niedrig

Implementierungsleitfaden

Wenn Sie Ihre Workloads mit mehreren AWS-Konten verwalten, müssen Sie möglicherweise Ressourcen von mehreren Konten verwenden lassen. Dies beinhaltet oft die kontoübergreifende Kontofreigabe innerhalb eines AWS Organizations. Verschiedene AWS-Services wie etwa AWS Security Hub, Amazon GuardDutyund AWS Backup verfügen über in Organizations integrierte kontoübergreifende Funktionen. Sie können AWS Resource Access Manager verwenden, um übliche Ressourcen gemeinsam zu nutzen, wie beispielsweise VPC-Subnetze oder Transit-Gateway-Anhänge, AWS Network Firewalloder Amazon SageMaker Runtime-Pipelines. Wenn Sie sicherstellen möchten, dass Ihr Konto nur innerhalb Ihrer Organizations Ressourcen teilt, empfehlen wir die Verwendung von Service-Kontrollrichtlinien (SCPs), um den Zugriff auf externe Prinzipale zu verhindern.

Wenn Sie Ihre Ressourcen teilen, sollten Sie Maßnahmen treffen, um sie gegen unbeabsichtigte Zugriffe zu schützen. Wir empfehlen die Kombination von identitätsbasierten Kontrollen und Netzwerkkontrollen zur Erstellung eines Datenperimeters für Ihre Organisation.. Diese Kontrollen müssen streng begrenzen, welche Ressourcen gemeinsam genutzt werden, und die gemeinsame Nutzung oder Offenlegung aller anderen Ressourcen verhindern. Sie könnten beispielsweise als Teil Ihres Datenperimeters VPC-Endpunktrichtlinien und die Bedingung aws:PrincipalOrgId verwenden, um sicherzustellen, dass die Identitäten, die auf Ihre Amazon S3-Buckets zugreifen, zu Ihrer Organisation gehören.

In manchen Fällen kann es vorkommen, dass Sie Ressourcen außerhalb Ihrer Organizations freigeben oder Drittparteien den Zugriff auf Ihr Konto gewähren möchten. So könnte etwa ein Partner eine Überwachungslösung bereitstellen, die auf Ressourcen in Ihrem Konto zugreifen muss. In solchen Fällen können Sie eine kontoübergreifende IAM-Rolle erstellen, die nur über die von der Drittpartei benötigten Berechtigungen verfügt. Sie sollten auch mithilfe der externen ID-Bedingung eine Vertrauensrichtlinie erstellen. Wenn Sie eine externe ID verwenden, sollten Sie für jede Drittpartei eine eindeutige ID erstellen. Die eindeutige ID sollte nicht von der Drittpartei bereitgestellt oder kontrolliert werden. Wenn die Drittpartei den Zugriff auf Ihre Umgebung nicht mehr benötigt, sollten Sie die Rolle entfernen. Sie sollten darüber hinaus unter allen Umständen die Bereitstellung langfristiger IAM-Anmeldeinformationen für Drittparteien vermeiden. Achten Sie auf andere AWS-Services, die die gemeinsame Nutzung in nativer Weise unterstützen. Beispielsweise ermöglicht das AWS Well-Architected Tool die gemeinsame Nutzung von Workloads mit anderen AWS-Konten.

Bei Verwendung von Services wie Amazon S3 wird empfohlen, ACLs für Ihren Amazon S3-Bucket zu deaktivieren und IAM-Richtlinien zur Festlegung der Zugriffskontrolle zu verwenden. Zur Einschränkung des Zugriffs auf einen Amazon S3-Ursprung von Amazon CloudFrontaus migrieren Sie von der Ursprungszugriffsidentität (OAI) zur Ursprungszugriffssteuerung (OAC), die zusätzliche Funktionen wie beispielsweise die serverseitige Verschlüsselung mit AWS KMS.

Ressourcen

Zugehörige Dokumente:

Zugehörige Videos:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs

Erkennung