SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus

Überwachen Sie die Berechtigungen, die Ihren Prinzipalen (Benutzern, Rollen und Gruppen) während ihres gesamten Lebenszyklus in Ihrer Organisation gewährt werden, und passen Sie sie an. Passen Sie die Gruppenmitgliedschaften an, wenn Benutzer ihre Rolle ändern, und entfernen Sie den Zugriff, wenn ein Benutzer die Organisation verlässt.

Gewünschtes Ergebnis: Sie überwachen und passen die Berechtigungen während des gesamten Lebenszyklus von Prinzipalen innerhalb der Organisation an und verringern so das Risiko unnötiger Privilegien. Sie gewähren den entsprechenden Zugriff, wenn Sie einen Benutzer anlegen. Sie ändern den Zugriff, wenn sich die Aufgaben des Benutzers ändern, und Sie entfernen den Zugriff, wenn der Benutzer nicht mehr aktiv ist oder die Organisation verlassen hat. Sie verwalten Änderungen an Ihren Benutzern, Rollen und Gruppen zentral. Sie verwenden die Automatisierung, um Änderungen in Ihren AWS-Umgebungen zu verbreiten.

Typische Anti-Muster:

• Sie gewähren Identitäten im Voraus übermäßige oder weitreichende Zugriffsrechte, die über das ursprünglich erforderliche Maß hinausgehen.

• Sie unterlassen die Überprüfung der Zugriffsprivilegien und passen sie an, wenn sich die Rollen und Verantwortlichkeiten der Identitäten im Laufe der Zeit ändern.

• Sie verlassen inaktive oder beendete Identitäten mit aktiven Zugriffsrechten. Dies erhöht das Risiko eines unbefugten Zugriffs.

• Sie automatisieren die Verwaltung von Identitätslebenszyklen nicht.

Risikostufe, wenn diese bewährte Methode nicht eingeführt wird: mittel

Implementierungsleitfaden

Verwalten Sie die Zugriffsprivilegien, die Sie Identitäten (z. B. Benutzern, Rollen, Gruppen) gewähren, sorgfältig und passen Sie sie im Laufe ihres Lebenszyklus an. Dieser Lebenszyklus umfasst die anfängliche Onboarding-Phase, laufende Änderungen der Rollen und Verantwortlichkeiten und schließlich das Offboarding oder die Kündigung. Verwalten Sie den Zugriff proaktiv je nach Stadium des Lebenszyklus, um die richtige Zugriffsstufe zu erhalten. Halten Sie sich an das Prinzip der geringsten Berechtigung, um das Risiko übermäßiger oder unnötiger Zugriffsberechtigungen zu verringern.

Sie können den Lebenszyklus von IAM users direkt innerhalb des AWS-Konto oder durch den Verbund von Ihrem Identitätsanbieter für die Belegschaft zu AWS-IAM Identity Center verwalten. Für IAM users können Sie innerhalb des AWS-Konto Benutzer und die damit verbundenen Berechtigungen erstellen, ändern und löschen. Für Verbundbenutzer können Sie IAM Identity Center verwenden, um deren Lebenszyklus zu verwalten, indem Sie Benutzer- und Gruppeninformationen vom Identitätsanbieter Ihrer Organisation mit dem Protokoll System für domänenübergreifendes Identitätsmanagement (System for Cross-Domain Identity Management, SCIM) synchronisieren.

SCIM ist ein offenes Standardprotokoll für die automatisierte Bereitstellung und Deprovisionierung von Benutzeridentitäten über verschiedene Systeme hinweg. Durch die Integration Ihres Identitätsanbieters mit IAM Identity Center unter Verwendung von SCIM können Sie Benutzer- und Gruppeninformationen automatisch synchronisieren und so sicherstellen, dass Zugriffsberechtigungen auf der Grundlage von Änderungen in der maßgeblichen Identitätsquelle Ihrer Organisation gewährt, geändert oder entzogen werden.

Wenn sich die Rollen und Zuständigkeiten der Mitarbeiter in Ihrer Organisation ändern, passen Sie ihre Zugriffsrechte entsprechend an. Sie können die Berechtigungssätze von IAM Identity Center verwenden, um verschiedene Job-Rollen oder -Verantwortlichkeiten zu definieren und sie mit den entsprechenden IAM-Richtlinien und -Berechtigungen zu verknüpfen. Wenn sich die Rolle eines Mitarbeiters ändert, können Sie die ihm zugewiesenen Berechtigungen aktualisieren, um die neuen Verantwortlichkeiten zu berücksichtigen. Vergewissern Sie sich, dass sie über den erforderlichen Zugriff verfügen, und halten Sie sich dabei an das Prinzip der geringsten Berechtigung.

Implementierungsschritte

1. Definieren und dokumentieren Sie einen Lebenszyklusprozess für die Zugriffsverwaltung, einschließlich Verfahren für die Gewährung des Erstzugriffs, regelmäßige Überprüfungen und das Offboarding.

2. Implementieren Sie IAM-Rollen, -Gruppen und -Berechtigungsgrenzen, um den Zugriff kollektiv zu verwalten und die maximal zulässigen Zugriffsstufen durchzusetzen.

3. Integrieren Sie einen Anbieter von Verbundidentitäten (wie Microsoft Active Directory, Okta, Ping Identity) als maßgebliche Quelle für Benutzer- und Gruppeninformationen mit IAM Identity Center.

4. Verwenden Sie das SCIM-Protokoll, um Benutzer- und Gruppeninformationen vom Identitätsanbieter mit dem Identitätsspeicher von IAM Identity Center zu synchronisieren.

5. Erstellen Sie in IAM Identity Center Berechtigungssätze, die verschiedene Jobrollen oder Verantwortlichkeiten in Ihrer Organisation repräsentieren. Definieren Sie die entsprechenden IAM-Richtlinien und -Berechtigungen für jeden Berechtigungssatz.

6. Führen Sie regelmäßige Zugriffsüberprüfungen, sofortigen Zugriffsentzug und eine kontinuierliche Verbesserung des Lebenszyklusprozesses der Zugriffsverwaltung ein.

7. Schulung und Sensibilisierung der Mitarbeiter für die bewährten Methoden der Zugriffsverwaltung.

Ressourcen

Zugehörige bewährte Methoden:

• SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter

Zugehörige Dokumente:

• Manage your identity source 

• Manage identities in IAM Identity Center

• Using AWS Identity and Access Management Access Analyzer

• IAM Access Analyzer policy generation

Zugehörige Videos:

• AWS re:Inforce 2023 – Manage temporary elevated access with AWS IAM Identity Center

• AWS re:Invent 2022 – Simplify your existing workforce access with IAM Identity Center

• AWS re:Invent 2022 – Harness power of IAM policies & rein in permissions w/Access Analyzer