Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
SEC03-BP02 Least-Privilege-Zugriff gewähren
Es hat sich bewährt, nur den Zugriff zu gewähren, den Identitäten benötigen, um bestimmte Aktionen auf bestimmten Ressourcen unter bestimmten Bedingungen durchzuführen. Nutzen Sie Gruppen und Identitätsattribute, um Berechtigungen dynamisch in großem Umfang festzulegen, anstatt Berechtigungen für einzelne Benutzer zu definieren. Sie können beispielsweise einer Gruppe von Entwicklern den Zugriff erlauben, nur die Ressourcen für ihr Projekt zu verwalten. So ist sichergestellt, dass einem Entwickler, der nicht mehr am Projekt arbeitet, automatisch der Zugriff entzogen wird, ohne dass die zugrunde liegenden Zugriffsrichtlinien geändert werden müssen.
Gewünschtes Ergebnis: Benutzer sollten nur über die Berechtigungen verfügen, die für ihre Arbeit erforderlich sind. Die Benutzer sollten nur Zugriff auf Produktionsumgebungen erhalten, um eine bestimmte Aufgabe in einem begrenzten Zeitraum auszuführen. Nach Abschluss der Aufgabe sollte der Zugriff widerrufen werden. Nicht mehr benötigte Berechtigungen sollten widerrufen werden. Dies gilt auch, wenn ein Benutzer zu einem anderen Projekt wechselt oder eine andere Tätigkeit übernimmt. Administratorberechtigungen sollten nur einer kleinen Gruppe von vertrauenswürdigen Administratoren erteilt werden. Die Berechtigungen sollten regelmäßig geprüft werden, um eine schleichende Ausweitung der Berechtigungen zu vermeiden. Maschinen- oder Systemkonten sollten die geringsten Berechtigungen erhalten, die zur Ausführung ihrer Aufgaben benötigt werden.
Typische Anti-Muster:
-
Standardmäßige Gewährung von Administratorberechtigungen für Benutzer
-
Den Root-Benutzer für day-to-day Aktivitäten verwenden.
-
Erstellung übermäßig großzügiger Richtlinien, jedoch ohne vollständige Administratorberechtigungen
-
Keine Überprüfung der Berechtigungen, um festzustellen, ob sie einen Zugriff mit der geringsten Berechtigung gewähren
Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: Hoch
Implementierungsleitfaden
Das Prinzip der geringsten Berechtigung besagt, dass Identitäten nur die kleinstmögliche Menge von Aktionen ausführen dürfen, die zur Durchführung einer bestimmten Aufgabe erforderlich sind. Dies schafft ein Gleichgewicht zwischen Benutzerfreundlichkeit, Effizienz und Sicherheit. Die Anwendung dieses Prinzips trägt dazu bei, den unbeabsichtigten Zugriff zu beschränken und nachzuverfolgen, wer auf welche Ressourcen zugreifen kann. IAMBenutzer und Rollen haben standardmäßig keine Berechtigungen. Der Root-Benutzer hat standardmäßig vollen Zugriff und sollte streng kontrolliert, überwacht und nur für Aufgaben verwendet werden, die Root-Zugriff erfordern.
IAMRichtlinien werden verwendet, um IAM Rollen oder bestimmten Ressourcen explizit Berechtigungen zu gewähren. Beispielsweise können identitätsbasierte Richtlinien an IAM Gruppen angehängt werden, während S3-Buckets durch ressourcenbasierte Richtlinien gesteuert werden können.
Bei der Erstellung einer IAM Richtlinie können Sie die Dienstaktionen, Ressourcen und Bedingungen angeben, die erfüllt sein müssen, um den Zugriff zu erlauben oder AWS zu verweigern. AWS unterstützt eine Vielzahl von Bedingungen, mit denen Sie den Zugriff einschränken können. Mithilfe des PrincipalOrgID
Bedingungsschlüssels können Sie beispielsweise Aktionen ablehnen, wenn der Anforderer nicht zu Ihrer AWS Organisation gehört.
Mithilfe des CalledVia
Bedingungsschlüssels können Sie auch Anfragen steuern, die AWS Dienste in Ihrem Namen stellen, z. B. das AWS CloudFormation Erstellen einer AWS Lambda
Funktion. Sie sollten verschiedene Richtlinientypen miteinander verknüpfen, um die Gesamtberechtigungen Ihrer Benutzer festzulegen defense-in-depth und einzuschränken. Sie können auch Beschränkungen in Bezug darauf festlegen, welche Berechtigungen unter welchen Umständen erteilt werden können. Sie können Ihren Anwendungsteams beispielsweise gestatten, ihre eigenen IAM Richtlinien für die von ihnen erstellten Systeme zu erstellen, müssen aber auch eine Berechtigungsgrenze
Implementierungsschritte
-
Implementieren Sie Richtlinien mit den geringsten Rechten: Weisen Sie IAM Gruppen und Rollen Zugriffsrichtlinien mit den geringsten Rechten zu, um die von Ihnen definierte Rolle oder Funktion des Benutzers widerzuspiegeln.
-
Grundlegende API Nutzungsrichtlinien: Eine Möglichkeit, die benötigten Berechtigungen zu ermitteln, ist die Überprüfung von AWS CloudTrail Protokollen. Diese Überprüfung ermöglicht es Ihnen, Berechtigungen zu erstellen, die auf die Aktionen zugeschnitten sind, die der Benutzer tatsächlich ausführt AWS. IAMAccess Analyzer kann automatisch eine IAM Richtlinie auf der Grundlage von Aktivitäten
generieren . Sie können IAM Access Advisor auf Organisations- oder Kontoebene verwenden, um die zuletzt abgerufenen Informationen für eine bestimmte Richtlinie nachzuverfolgen.
-
-
Erwägen Sie die Verwendung von verwalteten AWS -Richtlinien für Tätigkeiten. Wenn Sie mit der Erstellung detaillierter Berechtigungsrichtlinien beginnen, kann es schwierig sein, zu wissen, wo Sie beginnen sollen. AWS hat Richtlinien für allgemeine Aufgaben verwaltet, z. B. für Rechnungsstellung, Datenbankadministratoren und Datenwissenschaftler. Diese Richtlinien können helfen, den Zugriff der Benutzer einzuschränken und gleichzeitig festzulegen, wie die Richtlinien für die geringste Berechtigung implementiert werden sollen.
-
Unnötige Berechtigungen entfernen: Entfernen Sie Berechtigungen, die nicht benötigt werden, und schränken Sie zu freizügige Richtlinien ein. IAMDie Access Analyzer-Richtliniengenerierung kann zur Feinabstimmung der Berechtigungsrichtlinien beitragen.
-
Sicherstellen, dass Benutzer eingeschränkten Zugriff auf Produktionsumgebungen haben: Benutzer sollten nur Zugriff auf Produktionsumgebungen haben, wenn es sich um einen gültigen Anwendungsfall handelt. Nachdem der Benutzer die konkreten Aufgaben ausgeführt hat, für die Zugriff auf die Produktionsumgebung erforderlich war, sollte der Zugriff widerrufen werden. Die Beschränkung des Zugriffs auf Produktionsumgebungen hilft, unbeabsichtigte Vorkommnisse mit Auswirkungen auf die Produktion zu verhindern und das Ausmaß der Auswirkungen eines unbeabsichtigten Zugriffs zu verringern.
-
Denken Sie an Berechtigungsgrenzen: Eine Berechtigungsgrenze ist eine Funktion für die Verwendung einer verwalteten Richtlinie, mit der die maximalen Berechtigungen festgelegt werden, die eine identitätsbasierte Richtlinie einer Entität gewähren kann. IAM Durch eine Berechtigungsgrenze kann eine Entität nur die Aktionen durchführen, die sowohl von den identitätsbasierten Richtlinien als auch den Berechtigungsgrenzen erlaubt werden.
-
Ressourcen-Tags für Berechtigungen erwägen: Ein auf Attributen basierendes Zugriffskontrollmodell, das Ressourcen-Tags verwendet, ermöglicht es Ihnen, Zugriff auf Grundlage von Ressourcenzweck, Eigentümer, Umgebung oder anderen Kriterien zu gewähren. Mithilfe von Ressourcen-Tags können Sie beispielsweise zwischen Entwicklungs- und Produktionsumgebungen unterscheiden. Mit diesen Tags können Sie den Zugriff der Entwickler auf die Entwicklungsumgebung beschränken. Durch die Kombination von Tagging und Berechtigungsrichtlinien können Sie einen differenzierten Ressourcenzugriff erzielen, ohne komplizierte, benutzerdefinierte Richtlinien für jeden Tätigkeitsbereich definieren zu müssen.
-
Verwenden Sie Richtlinien zur Dienststeuerung für. AWS Organizations Service-Kontrollrichtlinien steuern zentral die maximal verfügbaren Berechtigungen für Mitgliedskonten in Ihrer Organisation. Wichtig ist, dass Sie mithilfe von Service-Kontrollrichtlinien die Root-Benutzerberechtigungen in Mitgliedskonten einschränken können. Erwägen Sie auch die Verwendung AWS Control Tower, die präskriptive verwaltete Kontrollen bietet, die eine Bereicherung bieten. AWS Organizations Sie können auch Ihre eigenen Kontrollen in Control Tower definieren.
-
Richten Sie eine Benutzerlebenszyklusrichtlinie für Ihr Unternehmen ein: Richtlinien für den Benutzerlebenszyklus definieren Aufgaben, die ausgeführt werden müssen, wenn Benutzer aufgenommen werden AWS, ihre berufliche Rolle oder ihren Aufgabenbereich ändern oder auf die sie keinen Zugriff mehr benötigen. AWS Bei jedem Schritt im Lebenszyklus eines Benutzers sollten Berechtigungsprüfungen erfolgen, um sicherzustellen, dass die Berechtigungen angemessen restriktiv sind und keine schleichenden Berechtigungserweiterungen stattfinden.
-
Richten Sie einen regelmäßigen Zeitplan ein, um die Berechtigungen zu überprüfen und alle nicht benötigten Berechtigungen zu entfernen: Sie sollten den Benutzerzugriff regelmäßig überprüfen, um sicherzustellen, dass Benutzer keinen übermäßigen Zugriff haben. AWS Config
und IAM Access Analyzer kann Ihnen bei der Prüfung von Benutzerberechtigungen helfen. -
Erstellen Sie eine Job-Rollen-Matrix: Eine Job-Rollen-Matrix visualisiert die verschiedenen Rollen und Zugriffsebenen, die in Ihrem Umfeld erforderlich sind AWS . Mithilfe einer Job-Rollen-Matrix können Sie Berechtigungen auf der Grundlage von Benutzerzuständigkeiten in Ihrer Organisation definieren und trennen. Verwenden Sie Gruppen, anstatt Berechtigungen direkt auf einzelne Benutzer oder Rollen anzuwenden.
Ressourcen
Zugehörige Dokumente:
-
Techniken für die Erstellung von IAM Richtlinien mit den geringsten Rechten
-
IAMAccess Analyzer erleichtert die Implementierung von Berechtigungen mit den geringsten Rechten, indem IAM Richtlinien auf der Grundlage der Zugriffsaktivität
generiert werden -
Delegieren Sie die Rechteverwaltung an Entwickler, indem Sie IAM Rechtegrenzen verwenden
-
Verfeinern von Berechtigungen mithilfe der Informationen zum letzten Zugriff
-
Wie lässt sich das Prinzip der geringsten Rechte umsetzen mit CloudFormation StackSets
-
Reduzieren des Richtlinienbereichs durch Anzeigen der Benutzeraktivität
-
Verwenden Sie Tagging, um Ihre Umgebung zu organisieren und die Verantwortlichkeit zu fördern
Zugehörige Videos:
Zugehörige Beispiele: