SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen
Wenn Ihre Teams bestimmen, welchen Zugriff sie benötigen, entfernen Sie unnötige Berechtigungen und erstellen Sie Überprüfungsprozesse, damit jederzeit dem Prinzip der geringsten Berechtigung entsprochen wird. Überwachen Sie Ihre Identitäten kontinuierlich und entfernen Sie ungenutzte Identitäten und Berechtigungen für den Zugriff von Menschen und Maschinen.
Gewünschtes Ergebnis: Die Genehmigungsrichtlinien sollten dem Prinzip der geringsten Berechtigung entsprechen. Wenn Zuständigkeiten und Rollen immer besser definiert werden, müssen Sie Ihre Berechtigungsrichtlinien prüfen, um unnötige Berechtigungen zu entfernen. Dieses Konzept verringert die Auswirkungen, wenn Anmeldeinformationen versehentlich offengelegt werden oder wenn anderweitig ohne Genehmigung darauf zugegriffen wird.
Typische Anti-Muster:
-
Standardmäßige Gewährung von Administratorberechtigungen für Benutzer
-
Erstellung übermäßig großzügiger Richtlinien, jedoch ohne vollständige Administratorberechtigungen
-
Aufbewahrung von Berechtigungsrichtlinien, nachdem sie nicht mehr benötigt werden
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Mittel
Implementierungsleitfaden
Wenn Teams und Projekte gerade erst mit der Arbeit beginnen, können lockere Richtlinien verwendet werden, um Innovationen und Agilität zu unterstützen. So könnten beispielsweise Entwickler in einer Entwicklungs- und Testumgebung Zugang zu einer breiten Palette von AWS-Services erhalten. Wir empfehlen, den Zugriff kontinuierlich zu prüfen und auf Services und Serviceaktionen einzuschränken, die für die anstehende Aufgabe wirklich benötigt werden. Wir empfehlen diese Evaluierung für menschliche und für maschinelle Identitäten. Maschinenidentitäten, manchmal auch als System- oder Servicekonten bezeichnet, sind Identitäten, die AWS den Zugriff auf Anwendungen oder Server ermöglichen. Dieser Zugriff ist besonders in einer Produktionsumgebung wichtig, in der übermäßig lockere Zugriffsregeln weitreichende Auswirkungen haben und möglicherweise Kundendaten offen legen könnten.
AWS bietet mehrere Verfahren zur Unterstützung der Identifizierung nicht verwendeter Benutzer, Rollen, Berechtigungen und Anmeldeinformationen. AWS kann auch bei der Analyse von Zugriffsaktivitäten von IAM-Benutzern und -Rollen helfen, darunter ebenfalls Analysen zu zugehörigen Zugriffsschlüsseln sowie zum Zugriff auf AWS-Ressourcen wie etwa Objekten in Amazon S3-Buckets. Die Generierung von Richtlinien mit AWS Identity and Access Management Access Analyzer kann Ihnen bei der Erstellung restriktiver Berechtigungsrichtlinien auf der Grundlage der Services und Aktionen helfen, mit denen ein Prinzipal tatsächlich interagiert. Die attributbasierte Zugriffskontrolle (ABAC) kann zur Vereinfachung der Berechtigungsverwaltung beitragen, da Sie Benutzern anhand ihrer Attribute Berechtigungen erteilen können, anstatt jedem Benutzer direkt Berechtigungsrichtlinien zuzuweisen.
Implementierungsschritte
-
AWS Identity and Access Management Access Analyzer verwenden: IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und Ihren Konten zu identifizieren, die mit einer externen Entität geteilt werden (z. B. Amazon Simple Storage Service (Amazon S3)-Buckets oder IAM-Rollen).
-
Das Generieren von IAM Access Analyzer-Richtlinien verwenden: Mit dem Generieren von IAM Access Analyzer-Richtlinien können Sie detaillierte Berechtigungsrichtlinien erstellen, die auf der Zugriffsaktivität eines IAM-Benutzers oder einer IAM-Rolle basieren.
-
Einen akzeptablen Zeitrahmen und eine akzeptable Nutzungsrichtlinie für IAM-Benutzer und -Rollen festlegen: Verwenden Sie den Zeitstempel des letzten Zugriffs, um ungenutzte Benutzer und Rollen zu identifizieren
und sie zu entfernen. Überprüfen Sie die Informationen zum letzten Service- und Aktionszugriff überprüfen, um Berechtigungen für bestimmte Benutzer und Rollen zu identifizieren und festzulegen. Sie können beispielsweise Informationen zum letzten Zugriff verwenden, um die spezifischen Amazon S3-Aktionen zu identifizieren, die Ihre Anwendungsrolle erfordert, und den Zugriff der Rolle auf diese Aktionen beschränken. Features für die zuletzt abgerufenen Informationen sind in der AWS Management Console und programmgesteuert verfügbar, damit Sie sie in Ihre Infrastruktur-Workflows und automatisierten Tools integrieren können. -
Protokollierung von Datenereignissen in AWS CloudTrail erwägen: Standardmäßig protokolliert CloudTrail keine Datenereignisse wie Amazon S3-Aktivitäten auf Objektebene (zum Beispiel
GetObject
undDeleteObject
) oder Amazon DynamoDB-Tabellenaktivitäten (zum BeispielPutItem
undDeleteItem
). Erwägen Sie die Verwendung der Protokollierung dieser Ereignisse, um zu ermitteln, welche Benutzer und Rollen Zugriff auf bestimmte Amazon S3-Objekte oder DynamoDB-Tabellenelemente benötigen.
Ressourcen
Zugehörige Dokumente:
Zugehörige Videos: