SEC 2. Was ist bei der Verwaltung der Authentifizierung für Personen und Rechner zu beachten?
Beim Betrieb sicherer AWS-Workloads gibt es zwei Arten von Identitäten, die Sie verwalten müssen. Wenn Sie verstehen, welche Arten von Identitäten Sie verwalten und Zugriff gewähren müssen, können Sie sicherstellen, dass die richtigen Identitäten unter den richtigen Bedingungen Zugriff auf die richtigen Ressourcen haben.
Menschliche Identitäten: Ihre Administratoren, Entwickler, Mitarbeiter und Endbenutzer benötigen eine Identität, um auf Ihre AWS-Umgebungen und Anwendungen zugreifen zu können. Dies sind Mitglieder Ihrer Organisation oder externe Benutzer, mit denen Sie zusammenarbeiten und die über einen Webbrowser, eine Client-Anwendung oder interaktive Befehlszeilentools mit Ihren AWS-Ressourcen interagieren.
Maschinenidentitäten: Ihre Serviceanwendungen, Betriebstools und Workloads erfordern eine Identität, um Anforderungen an AWS-Services zu senden, z. B. um Daten zu lesen. Zu diesen Identitäten gehören Maschinen, die in Ihrer AWS-Umgebung ausgeführt werden, wie z. B. Amazon-EC2-Instances oder AWS Lambda-Funktionen. Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Darüber hinaus könnten Sie Maschinen außerhalb von AWS haben, die Zugang zu Ihrer AWS-Umgebung benötigen.
Bewährte Methoden
- SEC02-BP01 Verwenden von starken Anmeldemechanismen
- SEC02-BP02 Verwenden von temporären Anmeldeinformationen
- SEC02-BP03 Sicheres Speichern und Verwenden von Secrets
- SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter
- SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen
- SEC02-BP06 Nutzen von Benutzergruppen und Attributen