AWS Identity and Access Management - DSGVO-Compliance auf AWS

AWS Identity and Access Management

Wenn Sie ein AWS-Konto erstellen, wird automatisch ein Stammbenutzerkonto für Ihr AWS-Konto erstellt. Dieses Benutzerkonto hat vollständigen Zugriff auf sämtliche AWS-Services und -Ressourcen in Ihrem AWS-Konto. Anstatt dieses Konto für alltägliche Aufgaben zu verwenden, sollten Sie es nur zum anfänglichen Erstellen zusätzlicher Rollen und Benutzerkonten sowie für administrative Aktivitäten verwenden, die dies erfordern. AWS empfiehlt, dass Sie von Anfang an das Prinzip der geringsten Zugriffsrechte anwenden: Definieren Sie verschiedene Benutzerkonten und Rollen für verschiedene Aufgaben und geben Sie den Mindestsatz an Berechtigungen an, der für die Ausführung jeder Aufgabe erforderlich ist. Dieser Ansatz ist ein Mechanismus zur Optimierung eines in der DSGVO eingeführten Schlüsselkonzepts: Datenschutz durch Technik. AWS Identity and Access Management (IAM) ist ein Webservice, mit dem Sie den Zugriff auf Ihre AWS-Ressourcen sicher steuern können.

Benutzer und Rollen definieren IAM-Identitäten mit bestimmten Berechtigungen. Ein autorisierter Benutzer kann eine IAM-Rolle übernehmen, um bestimmte Aufgaben auszuführen. Temporäre Anmeldeinformationen werden erstellt, wenn die Rolle übernommen wird. Sie können beispielsweise IAM-Rollen verwenden, um Anwendungen, die in Amazon Elastic Compute Cloud (Amazon EC2) ausgeführt werden, sicher mit temporären Anmeldeinformationen bereitzustellen, die für den Zugriff auf andere AWS-Ressourcen wie Amazon-S3-Buckets und Amazon Relational Database Service (Amazon-RDS)- oder Amazon-DynamoDB-Datenbanken erforderlich sind. In ähnlicher Weise bieten Ausführungsrollen AWS Lambda-Funktionen mit den erforderlichen Berechtigungen für den Zugriff auf andere AWS-Services und -Ressourcen, wie Amazon CloudWatch Logs für das Streaming von Protokollen oder das Lesen einer Nachricht aus einer Amazon Simple Queue Service (Amazon-SQS)-Warteschlange. Wenn Sie eine Rolle erstellen, fügen Sie ihr Richtlinien hinzu, um Autorisierungen zu definieren.

Um Kunden bei der Überwachung von Ressourcenrichtlinien und der Identifizierung von Ressourcen mit öffentlichem oder kontoübergreifendem Zugriff, den sie möglicherweise nicht beabsichtigen, zu unterstützen, kann IAM Access Analyzer aktiviert werden, um umfassende Ergebnisse zu generieren, die Ressourcen identifizieren, auf die von außerhalb eines AWS-Kontos zugegriffen werden kann. IAM Access Analyzer überprüft die Ressourcenrichtlinien auf der Grundlage von mathematischer Logik und Inferenzen, um die von den Richtlinien zugelassenen Zugriffspfade zu ermitteln. IAM Access Analyzer prüft durchgehend auf neue oder aktualisierte Richtlinien und analysiert Berechtigungen, die mit Richtlinien für IAM-Rollen, aber auch für Serviceressourcen wie Amazon-S3-Buckets, AWS Key Management Service (AWS KMS)-Schlüssel, Amazon-SQS-Warteschlangen und Lambda-Funktionen erteilt wurden.

Access Analyzer for S3 benachrichtigt Sie, wenn Buckets so konfiguriert sind, dass jedem im Internet oder anderen AWS-Konten, einschließlich AWS-Konten außerhalb Ihrer Organisation, Zugriff gewährt wird. Wenn Sie einen gefährdeten Bucket in Access Analyzer for Amazon S3 überprüfen, können Sie den gesamten öffentlichen Zugriff auf den Bucket mit einem einzigen Klick blockieren. AWS empfiehlt, den gesamten Zugriff auf Ihre Buckets zu blockieren, es sei denn, Sie benötigen öffentlichen Zugriff, um einen bestimmten Anwendungsfall zu unterstützen. Bevor Sie den gesamten öffentlichen Zugriff blockieren, stellen Sie sicher, dass Ihre Anwendungen ohne öffentlichen Zugriff weiterhin ordnungsgemäß funktionieren. Weitere Informationen finden Sie unter Verwenden von Amazon S3 zum Blockieren des öffentlichen Zugriffs.

IAM stellt auch Informationen zum letzten Zugriff bereit, damit Sie nicht verwendete Berechtigungen identifizieren und sie aus den zugehörigen Prinzipalen entfernen können. Mithilfe der Informationen zum letzten Zugriff können Sie Ihre Richtlinien verfeinern und nur den Zugriff auf die Services und Aktionen gewähren, die benötigt werden. Dies trägt dazu bei, die bewährten Methoden der geringsten Zugriffsrechte besser zu befolgen und anzuwenden. Sie können Informationen zum letzten Zugriff für Entitäten oder Richtlinien anzeigen, die in IAM oder in einer gesamten AWS Organizations-Umgebung vorhanden sind.