SEC03-BP01 Definieren von Zugriffsanforderungen
Auf jede Komponente oder Ressource Ihrer Workload müssen Administratoren, Endbenutzer oder andere Komponenten zugreifen können. Definieren Sie klar, wer oder was Zugriff auf die einzelnen Komponenten haben soll, und wählen Sie den geeigneten Identitätstyp und die Methode für die Authentifizierung und Autorisierung aus.
Typische Anti-Muster:
-
Hartkodierung oder Speicherung von geheimen Daten in Ihrer Anwendung
-
Gewähren individueller Berechtigungen für jeden Benutzer
-
Verwendung langlebiger Anmeldeinformationen
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch
Implementierungsleitfaden
Auf jede Komponente oder Ressource Ihrer Workload müssen Administratoren, Endbenutzer oder andere Komponenten zugreifen können. Definieren Sie klar, wer oder was Zugriff auf die einzelnen Komponenten haben soll, und wählen Sie den geeigneten Identitätstyp und die Methode für die Authentifizierung und Autorisierung aus.
Der reguläre Zugriff auf AWS-Konten innerhalb einer Organisation sollte über den Verbundzugriff
Legen Sie bei der Definition der Zugriffsanforderungen für nicht menschliche Identitäten fest, welche Anwendungen und Komponenten Zugriff benötigen und wie die Berechtigungen gewährt werden. Eine empfohlene Vorgehensweise ist die Verwendung von nach dem Modell der geringsten Berechtigung entwickelten IAM-Rollen. AWS Verwaltete Richtlinien bieten vordefinierte IAM-Richtlinien für die meisten typischen Anwendungsfälle.
AWS-Services wie AWS Secrets Manager
Sie können AWS Identity and Access Management Roles Anywhere verwenden, um temporäre Sicherheitsanmeldeinformationen in IAM für Workloads abzurufen, die außerhalb von AWS ausgeführt werden. Ihre Workloads können dieselben IAM-Richtlinien und IAM-Rollen verwenden, die Sie mit AWS-Anwendungen für den Zugriff auf AWS-Ressourcen verwenden.
Verwenden Sie nach Möglichkeit kurzfristige temporäre anstelle langfristiger statischer Anmeldeinformationen. Für Szenarien, in denen Sie -Benutzer mit programmgeteuertem Zugriff und langfristigen Anmeldeinformationen benötigen, verwenden Sie die Informationen über die letzte Nutzung von Zugriffsschlüsseln, um die Zugriffsschlüssel zu rotieren und zu entfernen.
Benutzer benötigen programmgesteuerten Zugriff, wenn sie außerhalb der AWS Management Console mit AWS interagieren möchten. Die Vorgehensweise, um programmgesteuerten Zugriff zu gewähren, hängt davon ab, welcher Benutzertyp auf zugreift AWS.
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von |
---|---|---|
Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden) |
Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. |
Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
|
IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. | Folgen Sie den Anweisungen unter Verwenden temporärer Anmeldeinformationen mit AWS-Ressourcen im IAM-Benutzerhandbuch. |
IAM | (Nicht empfohlen) Verwenden Sie langfristige Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. |
Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten.
|
Ressourcen
Zugehörige Dokumente:
Zugehörige Videos: