Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Identitäts- und Zugriffsverwaltung
AWS Identity and Access Management (IAM) ist ein Webservice, mit dem Sie den Zugriff auf AWS Ressourcen sicher kontrollieren können. Sie verwenden IAM, um zu steuern, wer authentifiziert (angemeldet) und autorisiert (Berechtigungen besitzt) ist, Ressourcen zu nutzen. Während des AMS-Onboardings sind Sie dafür verantwortlich, kontoübergreifende IAM-Administratorrollen in jedem Ihrer verwalteten Konten zu erstellen.
## IAM-Sicherheitsvorkehrungen für die Multi-Account Landing Zone (MALZ)
Die AMS Multi-Account landing zone (MALZ) erfordert eine Active Directory-Vertrauensstellung (AD) als primäres Entwurfsziel des AMS Access Management, damit jede Organisation (sowohl AMS als auch Kunde) die Lebenszyklen ihrer eigenen Identitäten verwalten kann. Dadurch entfällt die Notwendigkeit, Anmeldeinformationen im Verzeichnis des jeweils anderen zu speichern. Die unidirektionale Vertrauensstellung ist so konfiguriert, dass das verwaltete Active Directory innerhalb des Netzwerks dem kundeneigenen oder verwalteten AD AWS-Konto vertraut, um Benutzer zu authentifizieren. Da es sich bei der Vertrauensstellung nur um eine Richtung handelt, bedeutet dies nicht, dass das Active Directory des Kunden dem Managed AD vertraut.
In dieser Konfiguration wird das Kundenverzeichnis, das Benutzeridentitäten verwaltet, als Benutzergesamtstruktur bezeichnet, und das verwaltete AD, an das EC2 Amazon-Instances angehängt sind, wird als Resource Forest bezeichnet. Dies ist ein häufig verwendetes Microsoft-Entwurfsmuster für die Windows-Authentifizierung. Weitere Informationen finden Sie unter [Forest](https://docs.microsoft.com/en-us/windows-server/identity/ad-ds/plan/forest-design-models) Design Models.
Dieses Modell ermöglicht es beiden Organisationen, ihre jeweiligen Lebenszyklen zu automatisieren, und ermöglicht sowohl AMS als auch Ihnen, den Zugriff schnell zu widerrufen, wenn ein Mitarbeiter das Unternehmen verlässt. Wenn beide Organisationen ohne dieses Modell ein gemeinsames Verzeichnis verwenden (oder users/groups in den Verzeichnissen des jeweils anderen Unternehmens erstellt), müssten beide Organisationen zusätzliche Workflows und Benutzersynchronisierungen einrichten, um zu berücksichtigen, ob Mitarbeiter beginnen und gehen. Dies birgt Risiken, da dieser Prozess Latenz aufweist und fehleranfällig sein kann.
### Voraussetzungen für den MALZ-Zugriff
MALZ Identity Provider-Integration für den Zugriff auf die AWS/AMS-Konsole, CLI, SDK.
![\[Die Beziehungen zwischen dem Identity Provider und AWS IAM AWS-Managementkonsole, dem und AMS Change Management.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malz-access-prereqs-1.png)
Einseitige Vertrauensstellung für EC2 Amazon-Instances in Ihrem AMS-Konto.
![\[Die Richtung des Vertrauens geht in eine Richtung: von Ihren EC2 Amazon-Instances zur Active Directory-Domain Ihres Unternehmens.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/malz-access-prereqs-2.png)
# Authentifizierung mit Identitäten
AMS verwendet IAM-Rollen, was eine Art von IAM-Identität ist. Eine IAM-Rolle ist einem Benutzer insofern sehr ähnlich, als es sich um eine Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun kann und was nicht. AWS Einer Rolle sind jedoch keine Anmeldeinformationen zugeordnet, und anstatt eindeutig einer Person zugeordnet zu sein, soll eine Rolle von jedem übernommen werden können, der sie benötigt. Ein IAM-Benutzer kann eine Rolle übernehmen, um vorübergehend verschiedene Berechtigungen für eine bestimmte Aufgabe zu erlangen.
Zugriffsrollen werden durch die interne Gruppenmitgliedschaft gesteuert, die vom Operations Management verwaltet und regelmäßig überprüft wird.
# IAM-Benutzerrolle in AMS
Eine IAM-Rolle ähnelt einem IAM-Benutzer insofern, als es sich um eine AWS Identität mit Berechtigungsrichtlinien handelt, die festlegen, was die Identität tun darf und was nicht. AWS Eine Rolle ist jedoch nicht einer einzigen Person zugeordnet, sondern kann von allen Personen angenommen werden, die diese Rolle benötigen.
Derzeit gibt es eine AMS-Standardbenutzerrolle für AMS-Standardkonten und eine zusätzliche Rolle `customer_managed_ad_user_role` für AMS-Konten mit Managed Active Directory. `Customer_ReadOnly_Role`
Die Rollenrichtlinien legen Berechtigungen für CloudWatch Amazon S3 S3-Protokollaktionen, AMS-Konsolenzugriff, Leseeinschränkungen für die meisten AWS-Services, eingeschränkten Zugriff auf die S3-Konsole des Kontos und AMS-Change-Typ-Zugriff fest.
Darüber hinaus `Customer_ReadOnly_Role` verfügt der über mutative Reserved-Instance-Berechtigungen, mit denen Sie Instances reservieren können. Es hat einige Kosteneinsparungsmöglichkeiten. Wenn Sie also wissen, dass Sie über einen längeren Zeitraum eine bestimmte Anzahl von EC2 Amazon-Instances benötigen, können Sie diese APIs aufrufen. Weitere Informationen finden Sie unter [Amazon EC2 Reserved Instances](https://aws.amazon.com/ec2/pricing/reserved-instances/).
**Anmerkung**
Das AMS Service Level Objective (SLO) für die Erstellung benutzerdefinierter IAM-Richtlinien für IAM-Benutzer beträgt vier Arbeitstage, es sei denn, eine bestehende Richtlinie wird wiederverwendet. Wenn Sie die bestehende IAM-Benutzerrolle ändern oder eine neue hinzufügen möchten, reichen Sie jeweils einen [IAM: Update Entity oder [IAM:](https://docs.aws.amazon.com/managedservices/latest/ctref/deployment-advanced-identity-and-access-management-iam-create-entity-or-policy.html) Create Entity](https://docs.aws.amazon.com/managedservices/latest/ctref/management-advanced-identity-and-access-management-iam-update-entity-or-policy-review-required.html) RFC ein.
Wenn Sie mit Amazon IAM-Rollen nicht vertraut sind, finden Sie wichtige Informationen unter [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html).
**Multi-Account-Landingzone (MALZ)**: Die standardmäßigen, nicht angepassten Richtlinien für Benutzerrollen für mehrere Konten von AMS finden Sie unter Weiter. [MALZ: Standard-IAM-Benutzerrollen](#json-default-role-malz)
## MALZ: Standard-IAM-Benutzerrollen
JSON-Richtlinienerklärungen für die standardmäßigen AMS-Landingzone-Benutzerrollen mit mehreren Konten.
**Anmerkung**
Die Benutzerrollen sind anpassbar und können je nach Konto unterschiedlich sein. Anweisungen zur Suche nach Ihrer Rolle finden Sie hier.
Dies sind Beispiele für die standardmäßigen MALZ-Benutzerrollen. Um sicherzustellen, dass Sie die benötigten Richtlinien festgelegt haben, führen Sie den AWS-Befehl aus [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)oder melden Sie sich bei der AWS-Management -> [IAM-Konsole](https://console.aws.amazon.com/iam/) an und wählen Sie im Navigationsbereich **Rollen** aus.
### Rollen der wichtigsten OU-Konten
Ein Kernkonto ist ein von Malz verwaltetes Infrastrukturkonto. AMS-Landingzone mit mehreren Konten Zu den Kernkonten gehören ein Verwaltungskonto und ein Netzwerkkonto.
**Core-OU-Konto: Allgemeine Rollen und Richtlinien**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/defaults-user-role.html)
**OU-Hauptkonto: Rollen und Richtlinien für Verwaltungskonten**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/defaults-user-role.html)
**OU-Hauptkonto: Rollen und Richtlinien für Netzwerkkonten**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/defaults-user-role.html)
### Rollen von Anwendungskonten
Anwendungskontorollen werden auf Ihre anwendungsspezifischen Konten angewendet.
**Anwendungskonto: Rollen und Richtlinien**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/defaults-user-role.html)
### Beispiele für Richtlinien
Für die meisten verwendeten Richtlinien werden Beispiele bereitgestellt. Um die ReadOnlyAccess Richtlinie einzusehen (die Seiten lang ist, da sie nur Lesezugriff auf alle AWS Services bietet), können Sie diesen Link verwenden, wenn Sie ein aktives AWS-Konto haben:. [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary) Außerdem ist hier eine komprimierte Version enthalten.
#### AMSBillingRichtlinie
`AMSBillingPolicy`
Die neue Rolle „Abrechnung“ kann von Ihrer Buchhaltungsabteilung verwendet werden, um Rechnungsinformationen oder Kontoeinstellungen im Verwaltungskonto einzusehen und zu ändern. Sie verwenden diese Rolle, um auf Informationen wie alternative Kontakte zuzugreifen, die Nutzung der Kontoressourcen einzusehen, Ihre Abrechnung im Auge zu behalten oder sogar Ihre Zahlungsmethoden zu ändern. Diese neue Rolle umfasst alle Berechtigungen, die auf der [Webseite AWS Billing IAM-Aktionen](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/billing-permissions-ref.html#example-billing-deny-modifyaccount) aufgeführt sind.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"aws-portal:ViewBilling",
"aws-portal:ModifyBilling"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToBilling"
},
{
"Action": [
"aws-portal:ViewAccount",
"aws-portal:ModifyAccount"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountSettings"
},
{
"Action": [
"budgets:ViewBudget",
"budgets:ModifyBudget"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToAccountBudget"
},
{
"Action": [
"aws-portal:ViewPaymentMethods",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPaymentMethods"
},
{
"Action": [
"aws-portal:ViewUsage"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToUsage"
},
{
"Action": [
"cur:DescribeReportDefinitions",
"cur:PutReportDefinition",
"cur:DeleteReportDefinition",
"cur:ModifyReportDefinition"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostAndUsageReport"
},
{
"Action": [
"pricing:DescribeServices",
"pricing:GetAttributeValues",
"pricing:GetProducts"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPricing"
},
{
"Action": [
"ce:*",
"compute-optimizer:*"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToCostExplorerComputeOptimizer"
},
{
"Action": [
"purchase-orders:ViewPurchaseOrders",
"purchase-orders:ModifyPurchaseOrders"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToPurchaseOrders"
},
{
"Action": [
"redshift:AcceptReservedNodeExchange",
"redshift:PurchaseReservedNodeOffering"
],
"Resource": "*",
"Effect": "Allow",
"Sid": "AllowAccessToRedshiftAction"
},
{
"Action": "savingsplans:*",
"Resource": "*",
"Effect": "Allow",
"Sid": "AWSSavingsPlansFullAccess"
}
]
}
```
------
#### AMSChangeManagementReadOnlyPolicy
`AMSChangeManagementReadOnlyPolicy`
Berechtigungen zum Einsehen aller AMS-Änderungstypen und des Verlaufs der angeforderten Änderungstypen.
#### AMSMasterAccountSpecificChangeManagementInfrastructurePolicy
`AMSMasterAccountSpecificChangeManagementInfrastructurePolicy`
Berechtigungen zum Anfordern des Änderungstyps Deployment \$1 Verwaltete landing zone \$1 Verwaltungskonto \$1 Anwendungskonto erstellen (mit VPC).
#### AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy
`AMSNetworkingAccountSpecificChangeManagementInfrastructurePolicy `
Berechtigungen zum Anfordern der Bereitstellung \$1 Verwaltete landing zone \$1 Netzwerkkonto \$1 Änderungstyp der Anwendungsroutentabelle erstellen.
#### AMSChangeManagementInfrastructurePolicy
`AMSChangeManagementInfrastructurePolicy`(für die Verwaltung \$1 Andere \$1 Andere CTs)
Berechtigungen zum Anfordern der Verwaltung \$1 Andere \$1 Andere \$1 Erstellung und Verwaltung \$1 Andere \$1 Andere \$1 Änderungstypen aktualisieren.
#### AMSSecretsManagerSharedPolicy
`AMSSecretsManagerSharedPolicy`
Berechtigungen zum Einsehen von passwords/hashes Geheimnissen, die von AMS geteilt wurden AWS Secrets Manager (z. B. Passwörter für die Infrastruktur zu Prüfungszwecken).
Berechtigungen zum Erstellen von password/hashes Geheimnissen zur Weitergabe an AMS. (zum Beispiel Lizenzschlüssel für Produkte, die bereitgestellt werden müssen).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyGetSecretOnCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowReadAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
#### AMSChangeManagementPolicy
`AMSChangeManagementPolicy`
Berechtigungen zum Anfordern und Anzeigen aller AMS-Änderungstypen sowie des Verlaufs der angeforderten Änderungstypen.
#### AMSReservedInstancesPolicy
`AMSReservedInstancesPolicy`
Berechtigungen zur Verwaltung von Amazon EC2 Reserved Instances; Preisinformationen finden Sie unter [Amazon EC2 Reserved Instances](https://aws.amazon.com/ec2/pricing/reserved-instances/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Sid": "AllowReservedInstancesManagement",
"Effect": "Allow",
"Action": [
"ec2:ModifyReservedInstances",
"ec2:PurchaseReservedInstancesOffering"
],
"Resource": [
"*"
]
}]
}
```
------
#### AMSS3Richtlinie
`AMSS3Policy`
Berechtigungen zum Erstellen und Löschen von Dateien aus vorhandenen Amazon S3 S3-Buckets.
**Anmerkung**
Diese Berechtigungen gewähren nicht die Möglichkeit, S3-Buckets zu erstellen. Dies muss mit dem Änderungstyp Deployment \$1 Erweiterte Stack-Komponenten \$1 S3-Speicher \$1 Create erfolgen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:AbortMultipartUpload",
"s3:DeleteObject",
"s3:PutObject"
],
"Resource": "*"
}
]
}
```
------
#### AWSSupportZugriff
`AWSSupportAccess`
Voller Zugriff auf Support. Weitere Informationen finden Sie unter [Erste Schritte mit Support](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html). Informationen zum Premium-Support finden Sie unter [Support](https://aws.amazon.com/premiumsupport/).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"support:*"
],
"Resource": "*"
}]
}
```
------
#### AWSMarketplaceManageSubscriptions
`AWSMarketplaceManageSubscriptions`(Öffentlich AWS verwaltete Richtlinie)
Berechtigungen zum Abonnieren, Abbestellen und Ansehen von AWS Marketplace Abonnements.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe",
"aws-marketplace:Unsubscribe"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### AWSCertificateManagerFullAccess
`AWSCertificateManagerFullAccess`
Voller Zugriff auf AWS Certificate Manager. Weitere Informationen finden Sie unter [AWS Certificate Manager](https://aws.amazon.com/certificate-manager/).
[https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy](https://docs.aws.amazon.com/acm/latest/userguide/authen-awsmanagedpolicies.html#acm-full-access-managed-policy)Informationen, (Öffentliche AWS-verwaltete Richtlinie).
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"acm:*"
],
"Resource": "*"
}]
}
```
------
#### AWSWAFFullZugriff
`AWSWAFFullAccess`
Voller Zugriff auf AWS WAF. Weitere Informationen finden Sie unter [AWS WAF - Web Application Firewall](https://aws.amazon.com/waf/).
[https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html](https://docs.aws.amazon.com/waf/latest/developerguide/access-control-identity-based.html)Informationen, (Öffentlich AWS verwaltete Richtlinie). Diese Richtlinie gewährt vollen Zugriff auf AWS WAF Ressourcen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [{
"Action": [
"waf:*",
"waf-regional:*",
"elasticloadbalancing:SetWebACL"
],
"Effect": "Allow",
"Resource": "*"
}]
}
```
------
#### ReadOnlyAccess
`ReadOnlyAccess`
Schreibgeschützter Zugriff auf alle AWS Dienste und Ressourcen auf der AWS Konsole. Wenn ein neuer Dienst AWS gestartet wird, aktualisiert AMS die ReadOnlyAccess Richtlinie, um Nur-Lese-Berechtigungen für den neuen Dienst hinzuzufügen. Die aktualisierten Berechtigungen werden auf alle Auftraggeber-Entitäten angewendet, an die die Richtlinie angefügt ist.
Dies gewährt nicht die Möglichkeit, sich bei EC2 Hosts oder Datenbank-Hosts anzumelden.
Wenn Sie eine aktive Richtlinie haben AWS-Konto, können Sie diesen Link verwenden [ReadOnlyAccess](https://console.aws.amazon.com/iam/home?region=us-east-1#/policies/arn:aws:iam::aws:policy/ReadOnlyAccess$serviceLevelSummary), um die gesamte ReadOnlyAccess Richtlinie einzusehen. Die gesamte ReadOnlyAccess Richtlinie ist sehr lang, da sie nur Lesezugriff für alle bietet. AWS-Services Das Folgende ist ein teilweiser Auszug der Richtlinie. ReadOnlyAccess
**Single-Account-Landingzone (SALZ)**: Die standardmäßigen, unangepassten Benutzerrollenrichtlinien für Single-Account-Landingzonen von AMS finden Sie unter [SALZ: Standard-IAM-Benutzerrolle](#json-default-role) Weiter.
## SALZ: Standard-IAM-Benutzerrolle
JSON-Richtlinienerklärungen für die standardmäßige AMS-Landingzone-Benutzerrolle mit einem Konto.
**Anmerkung**
Die SALZ-Standardbenutzerrolle ist anpassbar und kann je nach Konto unterschiedlich sein. Anweisungen zur Suche nach Ihrer Rolle finden Sie hier.
Im Folgenden finden Sie ein Beispiel für die standardmäßige SALZ-Benutzerrolle. Führen Sie den [https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)Befehl aus, um sicherzustellen, dass Sie die Richtlinien für Sie festgelegt haben. Oder melden Sie sich bei der AWS Identity and Access Management Konsole unter an [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)und wählen Sie dann **Rollen** aus.
Die Rolle „Nur Lesen“ für den Kunden ist eine Kombination aus mehreren Richtlinien. Es folgt eine Aufschlüsselung der Rolle (JSON).
Audit-Richtlinie für Managed Services:
ReadOnly IAM-Richtlinie für Managed Services
Benutzerrichtlinie für Managed Services
```
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowCustomerToListTheLogBucketLogs",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"aws/*",
"app/*",
"encrypted",
"encrypted/",
"encrypted/app/*"
]
}
}
},
{
"Sid": "BasicAccessRequiredByS3Console",
"Effect": "Allow",
"Action": [
"s3:ListAllMyBuckets",
"s3:GetBucketLocation"
],
"Resource": [
"arn:aws:s3:::*"
]
},
{
"Sid": "AllowCustomerToGetLogs",
"Effect": "Allow",
"Action": [
"s3:GetObject*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/aws/*",
"arn:aws:s3:::mc-a*-logs-*/encrypted/app/*"
]
},
{
"Sid": "AllowAccessToOtherObjects",
"Effect": "Allow",
"Action": [
"s3:DeleteObject*",
"s3:Get*",
"s3:List*",
"s3:PutObject*"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCustomerToListTheLogBucketRoot",
"Effect": "Allow",
"Action": [
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringEquals": {
"s3:prefix": [
"",
"/"
]
}
}
},
{
"Sid": "AllowCustomerCWLConsole",
"Effect": "Allow",
"Action": [
"logs:DescribeLogStreams",
"logs:DescribeLogGroups"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "AllowCustomerCWLAccessLogs",
"Effect": "Allow",
"Action": [
"logs:FilterLogEvents",
"logs:GetLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/*",
"arn:aws:logs:*:*:log-group:/infra/*",
"arn:aws:logs:*:*:log-group:/app/*",
"arn:aws:logs:*:*:log-group:RDSOSMetrics:*:*"
]
},
{
"Sid": "AWSManagedServicesFullAccess",
"Effect": "Allow",
"Action": [
"amscm:*",
"amsskms:*"
],
"Resource": [
"*"
]
},
{
"Sid": "ModifyAWSBillingPortal",
"Effect": "Allow",
"Action": [
"aws-portal:Modify*"
],
"Resource": [
"*"
]
},
{
"Sid": "DenyDeleteCWL",
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": [
"arn:aws:logs:*:*:log-group:*"
]
},
{
"Sid": "DenyMCCWL",
"Effect": "Deny",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:DescribeLogStreams",
"logs:FilterLogEvents",
"logs:GetLogEvents",
"logs:PutLogEvents"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/mc/*"
]
},
{
"Sid": "DenyS3MCNamespace",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/encrypted/mc/*",
"arn:aws:s3:::mc-a*-logs-*/mc/*",
"arn:aws:s3:::mc-a*-logs-*-audit/*",
"arn:aws:s3:::mc-a*-internal-*/*",
"arn:aws:s3:::mc-a*-internal-*"
]
},
{
"Sid": "ExplicitDenyS3CfnBucket",
"Effect": "Deny",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::cf-templates-*"
]
},
{
"Sid": "DenyListBucketS3LogsMC",
"Action": [
"s3:ListBucket"
],
"Effect": "Deny",
"Resource": [
"arn:aws:s3:::mc-a*-logs-*"
],
"Condition": {
"StringLike": {
"s3:prefix": [
"auditlog/*",
"encrypted/mc/*",
"mc/*"
]
}
}
},
{
"Sid": "DenyS3LogsDelete",
"Effect": "Deny",
"Action": [
"s3:Delete*",
"s3:Put*"
],
"Resource": [
"arn:aws:s3:::mc-a*-logs-*/*"
]
},
{
"Sid": "DenyAccessToKmsKeysStartingWithMC",
"Effect": "Deny",
"Action": [
"kms:*"
],
"Resource": [
"arn:aws:kms::*:key/mc-*",
"arn:aws:kms::*:alias/mc-*"
]
},
{
"Sid": "DenyListingOfStacksStartingWithMC",
"Effect": "Deny",
"Action": [
"cloudformation:*"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/mc-*"
]
},
{
"Sid": "AllowCreateCWMetricsAndManageDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "AllowCreateandDeleteCWDashboards",
"Effect": "Allow",
"Action": [
"cloudwatch:DeleteDashboards",
"cloudwatch:PutDashboard"
],
"Resource": [
"*"
]
}
]
}
```
Gemeinsame Richtlinie für Customer Secrets Manager
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowSecretsManagerListSecrets",
"Effect": "Allow",
"Action": "secretsmanager:listSecrets",
"Resource": "*"
},
{
"Sid": "AllowCustomerAdminAccessToSharedNameSpaces",
"Effect": "Allow",
"Action": "secretsmanager:*",
"Resource": [
"arn:aws:secretsmanager:*:*:secret:ams-shared/*",
"arn:aws:secretsmanager:*:*:secret:customer-shared/*"
]
},
{
"Sid": "DenyCustomerGetSecretCustomerNamespace",
"Effect": "Deny",
"Action": "secretsmanager:GetSecretValue",
"Resource": "arn:aws:secretsmanager:*:*:secret:customer-shared/*"
},
{
"Sid": "AllowCustomerReadOnlyAccessToAMSNameSpace",
"Effect": "Deny",
"NotAction": [
"secretsmanager:Describe*",
"secretsmanager:Get*",
"secretsmanager:List*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ams-shared/*"
}
]
}
```
------
Abonnementrichtlinie für Customer Marketplace
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowMarketPlaceSubscriptions",
"Effect": "Allow",
"Action": [
"aws-marketplace:ViewSubscriptions",
"aws-marketplace:Subscribe"
],
"Resource": [
"*"
]
}
]
}
```
------
# Protokollierung und Überwachung von Sicherheitsereignissen
AMS überwacht die verwaltete Umgebung kontinuierlich auf Sicherheitsbedrohungen. Sicherheitsereignisse können von AMS oder von Ihnen entdeckt werden. AMS aktualisiert seinen Automatisierungsprozess regelmäßig auf der Grundlage des Computer Security Incident Handling Guide des National Institute of Standards and Technology (NIST), um Sicherheitsbedrohungen besser erkennen zu können.
# Endpunktsicherheit (EPS)
Zu den Ressourcen, die Sie in Ihrer AMS Advanced-Umgebung bereitstellen, gehört automatisch die Installation eines Endpoint Security (EPS) -Überwachungsclients. Dieser Prozess stellt sicher, dass die von AMS Advanced verwalteten Ressourcen rund um die Uhr überwacht und unterstützt werden. Darüber hinaus überwacht AMS Advanced alle Agentenaktivitäten, und es wird ein Vorfall ausgelöst, wenn ein Sicherheitsereignis erkannt wird.
**Anmerkung**
Sicherheitsvorfälle werden als Vorfälle behandelt. Weitere Informationen finden Sie unter [Reaktion auf Vorfälle](https://docs.aws.amazon.com/managedservices/latest/userguide/sec-incident-response.html).
Endpoint Security bietet Anti-Malware-Schutz, insbesondere werden die folgenden Aktionen unterstützt:
+ EC2 Instanzen werden bei EPS registriert
+ EC2 Instanzen werden von EPS abgemeldet
+ EC2 Instanzen Anti-Malware-Schutz in Echtzeit
+ Vom EPS-Agenten initiierter Heartbeat
+ EPS stellt die Datei unter Quarantäne wieder her
+ EPS-Ereignisbenachrichtigung
+ EPS-Berichterstattung
AMS Advanced verwendet Trend Micro für Endpoint Security (EPS). Dies sind die EPS-Standardeinstellungen. Weitere Informationen über Trend Micro finden Sie im [Trend Micro Deep Security Help Center](https://help.deepsecurity.trendmicro.com/aws/welcome.html?redirected=true). Beachten Sie, dass Links, die nicht von Amazon stammen, sich ändern können, ohne uns darüber in Kenntnis zu setzen.
Die Standardeinstellungen für AMS Advanced Multi-Account landing zone (MALZ) werden in den folgenden Abschnitten beschrieben. Informationen zu den nicht standardmäßigen EPS-Einstellungen für AMS Multi-Accounts Landing Zone finden Sie unter [AMS Advanced Multi-Account Landing](https://docs.aws.amazon.com/managedservices/latest/userguide/security-mgmt.html#malz-eps-settings) Zone EPS-Standardeinstellungen.
**Anmerkung**
[Sie können Ihr eigenes EPS mitbringen. Weitere Informationen finden Sie unter AMS Bring your own EPS.](https://docs.aws.amazon.com/managedservices/latest/userguide/ams-byoeps.html)
## Allgemeine EPS-Einstellungen
Allgemeine Netzwerkeinstellungen für Endpoint Security.
**EPS-Standardeinstellungen**
| Einstellung | Standard |
| --- | --- |
| Firewall-Ports (Sicherheitsgruppe der Instanzen) | Bei EPS Deep Security Manager-Agenten (DSMs) muss Port 4120 für die Agent/Relay Kommunikation mit Manager und Port 4119 für die Manager-Konsole geöffnet sein. Bei EPS-Relays muss Port 4122 für die Kommunikation zu Relay geöffnet sein. Manager/Agent Für die eingehende Kommunikation zwischen Kundeninstanzen sollten keine spezifischen Ports geöffnet sein, da die Agenten alle Anfragen initiieren. |
| Richtung der Kommunikation | Agent/Appliance wurde initiiert |
| Taktintervall | Zehn Minuten |
| Anzahl der verpassten Herzschläge vor einer Warnung | Zwei |
| Maximal zulässige Abweichung (Differenz) zwischen Serverzeiten | Unbegrenzt |
| Löst Offlinefehler für inaktive (registrierte, aber nicht online) virtuelle Maschinen aus | Nein |
| Standardrichtlinie | Basisrichtlinie (im Folgenden beschrieben) |
| Aktivierung mehrerer Computer mit demselben Hostnamen | Ist erlaubt |
| Es werden Warnmeldungen für ausstehende Updates ausgelöst | Nach sieben Tagen |
| Zeitplan aktualisieren | AMS strebt einen monatlichen Veröffentlichungszyklus für die Software-Updates für Trend Micro Deep Security Manager (DSM) /Deep Security Agent (DSA) an. AMS hält jedoch kein SLA für Updates ein. Updates werden während einer Bereitstellung flottenweit von AMS-Entwicklerteams durchgeführt. DSA/DSA-Updates werden in Trend Micro DSM Systemereignissen protokolliert, die AMS standardmäßig 13 Wochen lang lokal speichert. Die Herstellerdokumentation finden Sie im Trend Micro Deep Security Help Center unter [Systemereignisse](https://help.deepsecurity.trendmicro.com/12_0/aws/Events-Alerts/ref-events-system.html). Protokolle werden auch in die Protokollgruppe/aws/ams/eps/var/log/DSM.log in Amazon CloudWatch exportiert. |
| Quelle aktualisieren | Trend Micro Update Server (https://ipv6-iaus.trendmicro.com/iau\$1server.dll/) |
| Löschen von Ereignis- oder Protokolldaten | Ereignisse und Protokolle werden nach sieben Tagen aus der DSM-Datenbank gelöscht. |
| Die Versionen der Agentensoftware werden gespeichert | Bis zu fünf |
| Die neuesten Regelaktualisierungen finden statt | Bis zu zehn |
| Speicherung von Protokollen | Standardmäßig werden Protokolldateien sicher in Amazon S3 gespeichert. Sie können sie jedoch auch in Amazon Glacier archivieren, um Audit- und Compliance-Anforderungen zu erfüllen. |
## Grundlegende Richtlinie
Standardeinstellungen der Basisrichtlinie für Endpoint Security.
**EPS-Basisrichtlinie**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/eps-defaults.html)
## Anti-Malware
Anti-Malware-Einstellungen für Endpoint Security.
**Standardeinstellungen für EPS-Anti-Malware**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/eps-defaults.html)
# Prozess zur Abwehr von Schadsoftware
AMS verwendet die Deep Security Platform (Anti-Malware-System) von Trend Micro, um Malware auf Ihren von AMS verwalteten Instances zu erkennen und darauf zu reagieren. Standardmäßig läuft der Trend Micro Detection Agent auf allen EC2 Amazon-Instances, einschließlich denen in den Shared Services und privaten Subnetzen, sowohl für Windows- als auch für Linux-Betriebssysteme. Das Anti-Malware-System ist mit der AMS-Überwachung verbunden, sodass bei jedem Malware-Fund ein Ereignis ausgelöst wird. Wenn es Auswirkungen auf den Kunden gibt, wird das Ereignis an den Incident-Management-Prozess weitergeleitet (weitere Informationen finden Sie unter[Reaktion auf AMS-Vorfälle](sec-incident-response.md)). Während AMS die Auswirkungen bewertet, werden Sie benachrichtigt und es wird versucht, die Auswirkungen zu mindern.
Die Definitionen von Trend Micro Anti-Malware werden automatisch aktualisiert, wenn Trend Micro Updates veröffentlicht.
Beim Onboarding der Anwendung geben Sie an, welche Aktion AMS ergreifen soll, wenn auf einer Instanz Malware gefunden wird:
+ Stellen Sie sicher, dass die Datei in Quarantäne auf der Zulassungsliste steht, entfernen Sie sie aus der Quarantäne und geben Sie sie wieder im Dateisystem frei.
+ Löschen Sie die Datei in Quarantäne und entfernen Sie sie aus der Instanz.
+ Unterbrechen Sie die Instanz und ersetzen Sie sie. Die gesperrte Instanz steht Ihnen dann zur Verfügung, um sie für forensische Untersuchungen bereitzustellen.
Nach dem Onboarding der Anwendung:
+ Wenn das Anti-Malware-System Malware auf einer Instance entdeckt, stellt AMS die Malware automatisch unter Quarantäne. Dies löst ein Ereignis und eine Folgeuntersuchung aus.
+ AMS benachrichtigt Sie mit einer Servicebenachricht über das Ereignis und beginnt mit der Ausführung der von Ihnen ausgewählten Standardmaßnahme zur Risikominderung.
+ Wenn Sie keine Standardaktion ausgewählt haben, fragt AMS Sie, welche Maßnahme zu ergreifen ist. Nach Erhalt Ihrer Anweisungen führt AMS die ausgewählte Aktion aus und benachrichtigt Sie. AMS benachrichtigt Sie erneut, nachdem die Aktion abgeschlossen ist, einschließlich der Einzelheiten, die für die forensische Analyse erforderlich sind, falls zutreffend.
# IDS und IPS in Trend Micro Deep Security aktivieren
Sie können verlangen, dass AMS die nicht standardmäßigen Funktionen Trend Micro Intrusion Detection System (IDS) und Intrusion Protection Systems (IPS) für Ihr Konto aktiviert.
Senden Sie dazu eine Aktualisierungsanfrage (Verwaltung \$1 Andere \$1 Andere \$1 Update) und fügen Sie eine Liste mit E-Mail-Adressen für den Empfang von IDS- und IPS-Benachrichtigungen bei. Diese Adressen werden zu einem SNS-Thema in Ihrem Konto hinzugefügt, das AMS für Sie erstellt.
**Anmerkung**
AMS kann keinen Trend Micro Service hinzufügen, der unsere Fähigkeit, andere AMS-Dienste anzubieten, beeinträchtigen könnte.
# Vollständige System-Malware-Scans
Der Payment Card Industry Data Security Standard (PCI DSS) erfordert vollständige System-Malware-Scans, die standardmäßig auf Ihrer von AMS verwalteten VPC aktiviert sind. Vollständige Systemscans sind so eingestellt, dass sie um 2 Uhr morgens (in der auf dem Server festgelegten Zeitzone) durchgeführt werden, da sie viel CPU verbrauchen. Vollständige Systemscans werden zusätzlich zu regulären Malware-Scans durchgeführt, die nicht viel CPU beanspruchen.
Es gibt einen neuen Management-Change-Typ (CT), **Malware-Scans deaktivieren**, mit dem Sie vollständige System-Malware-Scans deaktivieren können. Sie finden den CT unter Verwaltung \$1 Host-Sicherheit \$1 Vollständiger Systemscan \$1 Klassifizierung deaktivieren, ID ändern ct-1pybwg08h8qsz. Um Scans wieder zu aktivieren, verwenden Sie das CT Management \$1 Other \$1 Other \$1 Update. Durch die Deaktivierung vollständiger Systemscans werden Ihre regulären Malware-Scans nicht deaktiviert.
## Amazon Inspector-Sicherheit
Der Amazon Inspector-Service überwacht die Sicherheit Ihrer AMS-verwalteten Stacks. Amazon Inspector ist ein automatisierter Sicherheitsbewertungsservice, der dabei hilft, Sicherheits- und Compliance-Lücken in der bereitgestellten Infrastruktur zu identifizieren AWS. Mit den Sicherheitsbeurteilungen von Amazon Inspector können Sie Stacks automatisch auf Sicherheitslücken, Sicherheitslücken und Abweichungen von bewährten Methoden untersuchen, indem Sie Ihre EC2 Amazon-Instances auf unbeabsichtigten Netzwerkzugriff und Sicherheitslücken überprüfen. Nach der Durchführung einer Bewertung erstellt Amazon Inspector eine detaillierte Liste der Sicherheitsfeststellungen, die nach Schweregrad priorisiert sind. Amazon Inspector-Assessments werden als vordefinierte Regelpakete angeboten, die den gängigen bewährten Sicherheitsmethoden und Definitionen zugeordnet sind. Diese Regeln werden regelmäßig von AWS Sicherheitsforschern aktualisiert. Weitere Informationen zu Amazon Inspector finden Sie unter [Amazon Inspector](https://aws.amazon.com/inspector).
**AMS Amazon Inspector FAQs**
+ Ist Amazon Inspector standardmäßig auf meinen AMS-Konten installiert?
Nein. Amazon Inspector ist nicht Teil des standardmäßigen AMI-Builds oder der Workload-Erfassung.
+ Wie greife ich auf Amazon Inspector zu und installiere es?
Reichen Sie einen RFC (Management \$1 Other \$1 Other \$1 Create) ein, um den Kontozugriff und die Installation bei Inspector anzufordern. Das AMS-Betriebsteam ändert die ReadOnly Rolle Customer\$1 \$1Role, um Zugriff auf die Amazon Inspector Inspector-Konsole (ohne SSM-Zugriff) zu gewähren.
+ Muss der Amazon Inspector Agent auf allen EC2 Amazon-Instances installiert sein, die ich bewerten möchte?
Nein, Amazon Inspector-Assessments mit dem Regelpaket zur Netzwerkerreichbarkeit können ohne einen Agenten für alle EC2 Amazon-Instances ausgeführt werden. Der Agent ist für Regelpakete zur Hostbewertung erforderlich. Weitere Informationen zur Agenteninstallation finden Sie unter [Amazon Inspector Agents installieren](https://docs.aws.amazon.com/inspector/latest/userguide/inspector_installing-uninstalling-agents.html).
+ Fallen für diesen Service zusätzliche Kosten an?
Ja. Die Preise von Amazon Inspector finden Sie auf der [Preisseite von Amazon Inspector](https://aws.amazon.com/inspector/pricing/).
+ Was sind die Ergebnisse von Amazon Inspector?
Bei den Ergebnissen handelt es sich um potenzielle Sicherheitsprobleme, die bei der Bewertung des ausgewählten Bewertungsziels durch Amazon Inspector entdeckt wurden. Die Ergebnisse werden in der Amazon Inspector Inspector-Konsole oder in der API angezeigt und enthalten sowohl eine detaillierte Beschreibung der Sicherheitsprobleme als auch Empfehlungen zu deren Lösung.
+ Sind Berichte über die Bewertung durch Amazon Inspector verfügbar?
Ja. Ein Bewertungsbericht ist ein Dokument mit Details zu den Testobjekten des Bewertungslaufs und den entsprechenden Ergebnissen. Die Ergebnisse Ihrer Bewertung werden als Standardberichte ausgegeben, die Sie erstellen und an Ihr Team weiterleiten können, um Abhilfemaßnahmen zu initiieren, mehr Auditdaten zur Compliance abzurufen oder zu Referenzzwecken zu speichern. Ein Amazon Inspector-Assessmentbericht kann für einen Bewertungslauf generiert werden, sobald dieser erfolgreich abgeschlossen wurde.
+ Kann ich Tags verwenden, um die Stacks zu identifizieren, für die ich Amazon Inspector Inspector-Berichte ausführen möchte?
Ja.
+ Haben AMS Operations-Teams Zugriff auf die Bewertungsergebnisse von Amazon Inspector?
Ja. Jeder, der Zugriff auf die Amazon Inspector Inspector-Konsole in AWS hat, kann Ergebnisse und Bewertungsberichte einsehen.
+ Werden die AMS Operations-Teams auf der Grundlage der Ergebnisse der Amazon Inspector Inspector-Berichte Maßnahmen empfehlen oder Maßnahmen ergreifen?
Nein. Wenn Sie möchten, dass Änderungen auf der Grundlage der Ergebnisse des Amazon Inspector Inspector-Berichts vorgenommen werden, müssen Sie Änderungen über einen RFC (Management \$1 Other \$1 Other \$1 Update) beantragen.
+ Wird AMS benachrichtigt, wenn ich einen Amazon Inspector Inspector-Bericht erstelle?
Wenn Sie Zugriff auf Amazon Inspector anfordern, benachrichtigt der AMS-Operator, der den RFC ausführt, Ihren CSDM über die Anfrage.
Weitere Informationen finden Sie unter [Amazon Inspector FAQs](https://aws.amazon.com/inspector/faqs/).
# Reaktion auf AMS-Vorfälle
AMS verwendet traditionelle bewährte Verfahren für das IT-Servicemanagement (ITSM), um den Service bei Bedarf so schnell wie möglich wiederherzustellen.
Wir bieten rund um die Uhr follow-the-sun Support über mehrere Betriebszentren auf der ganzen Welt, wobei engagierte Mitarbeiter die Dashboards und Warteschlangen für Zwischenfälle aktiv überwachen.
Unsere Betriebstechniker verwenden interne Tools zur Vorfallverfolgung, um Vorfälle zu identifizieren, zu protokollieren, zu kategorisieren, zu priorisieren, zu diagnostizieren, zu lösen und zu schließen und Ihnen über die AMS-Konsole oder über die API Updates zu all diesen Aktivitäten zur Verfügung zu stellen. Support Unsere Mitarbeiter, von denen viele Zeit in verschiedenen Technologieprofilen und Rollen im AWS Premium Support verbracht haben, nutzen eine Vielzahl interner Support Tools, um sie bei all diesen Aktivitäten zu unterstützen. Diese Mitarbeiter sind mit den von AMS unterstützten Infrastrukturen bestens vertraut und verfügen über technische Fähigkeiten auf Expertenniveau, um alle identifizierten Support-Probleme zu lösen. In den seltenen Fällen, in denen unsere Mitarbeiter Unterstützung benötigen, stehen die Premium Support- und AWS Serviceteams bei Bedarf zur Verfügung.
In Fällen, in denen sich Vorfälle mit hoher Priorität auf Ihre kritischen Workloads auswirken, empfiehlt AMS eine Wiederherstellung der Infrastruktur. Oft besteht ein Kompromiss zwischen der Behebung eines Problems oder der Wiederherstellung anhand eines zweifelsfrei funktionierenden Backups. Dabei sind Kundenrisiken und Auswirkungen von Serviceausfällen ausschlaggebend. Wenn Sie Zeit haben, sich der Problembehebung zu widmen, hilft Ihnen AMS, aber wenn die Wiederherstellung dringend ist, können wir sofort eine Wiederherstellung einleiten.
**Anmerkung**
Kurzlebige Daten, die nicht Teil der Stack-Vorlage oder der Datenwiederherstellung sind, gehen verloren. AMS unternimmt angemessene Anstrengungen, um die Infrastruktur wiederherzustellen, solange keine AWS Serviceangebote verfügbar sind. Die Wiederherstellung der Infrastruktur ist abgeschlossen, sobald die AWS Serviceangebote verfügbar sind.
Wenn Sie eine Wiederherstellung der Infrastruktur nicht wie von AMS empfohlen autorisieren, haben Sie keinen Anspruch auf eine Servicegutschrift für die AMS-Serviceverpflichtung für die Zeit zur Behebung von Störungen.
# Compliance-Validierung
AMS implementiert und verwaltet eine Bibliothek mit AWS Config Regeln und Abhilfemaßnahmen zum Schutz vor Fehlkonfigurationen, die die Sicherheit und Betriebsintegrität Ihrer Konten beeinträchtigen könnten.
Wenn beispielsweise ein Amazon S3 S3-Bucket erstellt wird, AWS Config kann der Amazon S3 S3-Bucket anhand einer Regel bewertet werden, nach der Amazon S3 S3-Buckets den öffentlichen Lesezugriff verweigern müssen. Wenn die Amazon S3 S3-Bucket-Richtlinie oder die Bucket Access Control List (ACL) öffentlichen Lesezugriff zulässt, werden sowohl AWS Config der Bucket als auch die Regel als nicht konform gekennzeichnet. Diese AWS-Config-Regeln kennzeichnen Ressourcen auf der Grundlage des Ergebnisses ihrer Bewertung entweder als konform, nicht konform oder nicht zutreffend. Weitere Informationen zum AWS Config Service finden Sie im [AWS Config Entwicklerhandbuch](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html).
Sie können die AWS Config Konsole, AWS CLI oder AWS Config API verwenden, um die in Ihrem Konto bereitgestellten Regeln und den Konformitätsstatus Ihrer Regeln und Ressourcen einzusehen. Weitere Informationen finden Sie in der AWS Config Dokumentation: [Konfigurationskonformität anzeigen](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_view-compliance.html).
**Anmerkung**
Zusätzliche Informationen zu diesem Thema finden Sie in den AWS Artifact-Berichten. Weitere Informationen finden Sie unter [Herunterladen von Berichten in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Um auf AWS Artifact zuzugreifen, können Sie sich an Ihren CSDM wenden, um Anweisungen zu erhalten, oder gehen Sie zu [Erste Schritte mit AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Diese Informationen sind nicht in diesem Benutzerhandbuch enthalten, da sie sensible Sicherheitsinhalte enthalten.
# Die Landing Zone für mehrere Konten zeigt den Compliance-Status Ihres AWS-Config-Regeln
Die AMS-Landingzone für mehrere Konten nutzt den AWS Config Aggregator-Service, um eine zentrale Übersicht über die Einhaltung der Vorschriften für all Ihre Konten zu erstellen. Das bedeutet, dass Sie den Compliance-Status Ihrer AWS-Config-Regeln gesamten AMS-Landingzone-Umgebung mit mehreren Konten unter dem AWS Config Aggregator in Ihrem Sicherheitskonto einsehen können.
Im Folgenden finden Sie ein Beispiel für den AWS Config Aggregator, der den zentralen Compliance-Status aller Konten zeigt. AWS-Config-Regeln
![\[AWS Config dashboard showing compliant rules across regions and accounts.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/ams-malz-dd-agg-rules.png)
Weitere Informationen finden Sie in der AWS-Dokumentation für [Config Aggregator](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html).
+ Wie verwendet AMS die AWS Config-Regeln?
AMS erstellt AWS-Config-Regeln , um Einblick in die Konfiguration Ihrer AWS Ressourcen unter Berücksichtigung der in den Regeln festgelegten Bedingungen zu geben. Wenn eine Regel nicht konform ist, können Sie eine Änderung beantragen, und das AMS Ops-Team wird mit Ihnen zusammenarbeiten, um Abhilfemaßnahmen zu ergreifen.
+ In diesem Fall werden die folgenden Änderungen in Ihren AMS-Konten angezeigt:
+ AWS-Config-Regeln unter AWS Config > Regeln
+ Benutzerdefinierte Konfigurationsregeln mit ihren Lambda-Funktionen sind in Ihrem Konto vorhanden
+ Aggregator im Sicherheitskonto konfigurieren und Autorisierung konfigurieren in allen Konten (nur Landing Zone für mehrere Konten)
Im Folgenden finden Sie ein Beispiel AWS-Config-Regeln und die Ergebnisse der Konformitätsbewertung sind unten aufgeführt:
![\[AWS-Config-Regeln dashboard showing compliant status for multiple security-related rules.\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/images/ams-malz-dd-rules-2.png)
Weitere Informationen zu AWS Config finden Sie unter:
+ AWS Config: [Was ist Config?](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS Config Rules: [Ressourcen anhand von Regeln auswerten](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ AWS-Konfigurationsregeln: [Dynamische Konformitätsprüfung: AWS-Konfigurationsregeln — Dynamische Konformitätsprüfung für Cloud-Ressourcen](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config Aggregator: Datenaggregation [mit mehreren Konten und mehreren Regionen](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)
# Einschränkungen der Richtlinien für die Kontrolle des AMS-Landezonendienstes für mehrere Konten
Dieser Abschnitt wurde redigiert, da er sensible AMS-Sicherheitsinformationen enthält. **Diese Informationen sind in der AMS-Konsolendokumentation verfügbar.** Um auf AWS Artifact zuzugreifen, können Sie sich an Ihren CSDM wenden, um Anweisungen zu erhalten, oder gehen Sie zu [Erste Schritte mit AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
# Ausfallsicherheit
Die AWS globale Infrastruktur basiert auf AWS-Regionen Availability Zones. AWS-Regionen bieten mehrere physisch getrennte und isolierte Availability Zones, die über Netzwerke mit niedriger Latenz, hohem Durchsatz und hoher Redundanz miteinander verbunden sind. Mithilfe von Availability Zones können Sie Anwendungen und Datenbanken erstellen und ausführen, die automatisch Failover zwischen Zonen ausführen, ohne dass es zu Unterbrechungen kommt. Availability Zones sind besser verfügbar, fehlertoleranter und skalierbarer als herkömmliche Infrastrukturen mit einem oder mehreren Rechenzentren.
Weitere Informationen zu AWS Regionen und Availability Zones finden Sie unter [AWS Globale](https://aws.amazon.com/about-aws/global-infrastructure) Infrastruktur.
# Sicherheit der Infrastruktur
**Anmerkung**
Zusätzliche Informationen zu diesem Thema finden Sie in den AWS Artifact-Berichten. Weitere Informationen finden Sie unter [Herunterladen von Berichten in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Um auf AWS Artifact zuzugreifen, können Sie sich an Ihren CSDM wenden, um Anweisungen zu erhalten, oder gehen Sie zu [Erste Schritte mit AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Diese Informationen sind nicht in diesem Benutzerhandbuch enthalten, da sie sensible Sicherheitsinhalte enthalten.
# Sicherheitskontrolle für end-of-support Betriebssysteme
Betriebssysteme, die außerhalb des allgemeinen Supportzeitraums von "end-of-support" oder EOS des Betriebssystemherstellers liegen und keine Sicherheitsupdates erhalten, bergen ein erhöhtes Sicherheitsrisiko.
AWS bietet einige Dienste an, die bei der Handhabung des Betriebssystems helfen end-of-support. Informationen zu Windows end-of-support finden Sie unter [ End-of-SupportMigrationsprogramm für Windows Server](https://aws.amazon.com/emp-windows-server/).
**Anmerkung**
Zusätzliche Informationen zu diesem Thema finden Sie in den AWS Artifact-Berichten. Weitere Informationen finden Sie unter [Herunterladen von Berichten in AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/downloading-documents.html). Um auf AWS Artifact zuzugreifen, können Sie sich an Ihren CSDM wenden, um Anweisungen zu erhalten, oder gehen Sie zu [Erste Schritte mit AWS](https://aws.amazon.com/artifact/getting-started) Artifact. Diese Informationen sind nicht in diesem Benutzerhandbuch enthalten, da sie sensible Sicherheitsinhalte enthalten.
## Verwenden von Sicherheitsgruppen
Eine Sicherheitsgruppe agiert als virtuelle Firewall, die den Datenverkehr für eine oder mehrere Instances steuert. AMS-Sicherheitsgruppen ermöglichen es Ihnen, Regeln für eingehenden und ausgehenden Datenverkehr auf Instanzebene festzulegen. Sie können eine Sicherheitsgruppe erstellen und Ressourcen in Ihrem AMS-Konto, EC2 Amazon-Instances, Amazon RDS-DB-Instances, Load Balancers, Deep Security Manager (DSM) -Replikationsinstanzen, EFS-Mount-Zielen und ElastiCache Clustern angeben, die der Sicherheitsgruppe zugeordnet werden sollen. Nach der Zuordnung wird der Datenverkehr zu oder von diesen Instances durch die in der Sicherheitsgruppe festgelegten Regeln eingeschränkt.
Weitere Informationen zur allgemeinen AWS-Sicherheit finden Sie unter [Bewährte Methoden für Sicherheit, Identität und Compliance](https://aws.amazon.com/architecture/security-identity-compliance/) und [Amazon EC2 Security Groups für Linux-Instances](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-network-security.html).
AMS verfügt jetzt über eine Reihe von Änderungstypen für die Erstellung und Verwaltung von Sicherheitsgruppen:
+ Bereitstellung \$1 Erweiterte Stack-Komponenten \$1 Sicherheitsgruppe \$1 Erstellen (ct-1oxx2g2d7hc90)
+ Verwaltung \$1 Erweiterte Stack-Komponenten \$1 Sicherheitsgruppe \$1 Löschen (ct-3cp96z7r065e4)
+ Verwaltung \$1 Erweiterte Stack-Komponenten \$1 Sicherheitsgruppe \$1 Update (ct-3memthlcmvc1b)
Beispiele [finden](https://docs.aws.amazon.com/managedservices/latest/userguide/ex-sec-group-create-delete-update.html) Sie unter Sicherheitsgruppen.
# Sicherheitsgruppen
In AWS VPCs agieren AWS-Sicherheitsgruppen als virtuelle Firewalls und kontrollieren den Datenverkehr für einen oder mehrere Stacks (eine Instanz oder eine Reihe von Instances). Wenn ein Stack gestartet wird, wird er einer oder mehreren Sicherheitsgruppen zugeordnet, die festlegen, welcher Datenverkehr ihn erreichen darf:
+ Für Stacks in Ihren öffentlichen Subnetzen akzeptieren die Standardsicherheitsgruppen Traffic von HTTP (80) und HTTPS (443) von allen Standorten (dem Internet). Die Stacks akzeptieren auch internen SSH- und RDP-Verkehr aus Ihrem Unternehmensnetzwerk und AWS-Bastionen. Diese Stacks können dann über jeden beliebigen Port ins Internet gelangen. Sie können auch in Ihre privaten Subnetze und andere Stacks in Ihrem öffentlichen Subnetz gelangen.
+ Stacks in Ihren privaten Subnetzen können zu jedem anderen Stack in Ihrem privaten Subnetz austreten, und Instances innerhalb eines Stacks können vollständig über jedes Protokoll miteinander kommunizieren.
**Wichtig**
Die Standardsicherheitsgruppe für Stacks in privaten Subnetzen ermöglicht es allen Stacks in Ihrem privaten Subnetz, mit anderen Stacks in diesem privaten Subnetz zu kommunizieren. Wenn Sie die Kommunikation zwischen Stacks innerhalb eines privaten Subnetzes einschränken möchten, müssen Sie neue Sicherheitsgruppen erstellen, die die Einschränkung beschreiben. Wenn Sie beispielsweise die Kommunikation mit einem Datenbankserver einschränken möchten, sodass die Stacks in diesem privaten Subnetz nur von einem bestimmten Anwendungsserver über einen bestimmten Port kommunizieren können, fordern Sie eine spezielle Sicherheitsgruppe an. Wie das geht, wird in diesem Abschnitt beschrieben.
## Standardsicherheitsgruppen
------
#### [ MALZ ]
In der folgenden Tabelle werden die Standardeinstellungen für eingehende Sicherheitsgruppen (SG) für Ihre Stacks beschrieben. Die SG trägt den Namen „SentinelDefaultSecurityGroupPrivateOnly-VPC-ID“, wobei *ID* es sich um eine VPC-ID in Ihrem AMS-Landingzone-Konto mit mehreren Konten handelt. Der gesamte Datenverkehr darf über diese Sicherheitsgruppe nach "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" ausgehen (der gesamte lokale Verkehr innerhalb von Stack-Subnetzen ist zulässig).
Jeglicher Datenverkehr darf von einer zweiten Sicherheitsgruppe "" nach 0.0.0.0/0 ausgehen. SentinelDefaultSecurityGroupPrivateOnly
**Tipp**
Wenn Sie eine Sicherheitsgruppe für einen AMS-Änderungstyp wie EC2 Create oder OpenSearch Create Domain auswählen, würden Sie eine der hier beschriebenen Standardsicherheitsgruppen oder eine von Ihnen erstellte Sicherheitsgruppe verwenden. Sie finden die Liste der Sicherheitsgruppen pro VPC entweder in der EC2 AWS-Konsole oder in der VPC-Konsole.
Es gibt zusätzliche Standardsicherheitsgruppen, die für interne AMS-Zwecke verwendet werden.
**AMS-Standardsicherheitsgruppen (eingehender Verkehr)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/about-security-groups.html)
------
#### [ SALZ ]
In der folgenden Tabelle werden die Standardeinstellungen für eingehende Sicherheitsgruppen (Inbound Security Group, SG) für Ihre Stacks beschrieben. Die SG trägt den Namen "mc-initial-garden- SentinelDefaultSecurityGroupPrivateOnly -*ID*", wobei *ID* es sich um einen eindeutigen Bezeichner handelt. Der gesamte Datenverkehr darf über diese Sicherheitsgruppe nach "mc-initial-garden-SentinelDefaultSecurityGroupPrivateOnly" ausgehen (der gesamte lokale Verkehr innerhalb von Stack-Subnetzen ist zulässig).
Der gesamte Datenverkehr darf von einer zweiten Sicherheitsgruppe "- -“ nach 0.0.0.0/0 ausgesendet werden. mc-initial-garden SentinelDefaultSecurityGroupPrivateOnlyEgressAll *ID*
**Tipp**
Wenn Sie eine Sicherheitsgruppe für einen AMS-Änderungstyp wie EC2 Create oder OpenSearch Create Domain auswählen, würden Sie eine der hier beschriebenen Standardsicherheitsgruppen oder eine von Ihnen erstellte Sicherheitsgruppe verwenden. Sie finden die Liste der Sicherheitsgruppen pro VPC entweder in der EC2 AWS-Konsole oder in der VPC-Konsole.
Es gibt zusätzliche Standardsicherheitsgruppen, die für interne AMS-Zwecke verwendet werden.
**AMS-Standardsicherheitsgruppen (eingehender Verkehr)**
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/managedservices/latest/userguide/about-security-groups.html)
------
## Sicherheitsgruppen erstellen, ändern oder löschen
Sie können benutzerdefinierte Sicherheitsgruppen anfordern. In Fällen, in denen die Standardsicherheitsgruppen nicht den Anforderungen Ihrer Anwendungen oder Ihrer Organisation entsprechen, können Sie neue Sicherheitsgruppen ändern oder erstellen. Eine solche Anfrage würde als genehmigungspflichtig erachtet und vom AMS-Betriebsteam geprüft.
Um eine Sicherheitsgruppe außerhalb von Stacks zu erstellen und einen RFC mit dem `Deployment | Advanced stack components | Security group | Create (review required)` Änderungstyp ( VPCsct-1oxx2g2d7hc90) einzureichen.
Verwenden Sie für Änderungen an Active Directory (AD) -Sicherheitsgruppen die folgenden Änderungstypen:
+ Um einen Benutzer hinzuzufügen: Senden Sie einen RFC mit Management \$1 Directory Service \$1 Benutzer und Gruppen \$1 Benutzer zur Gruppe hinzufügen [ct-24pi85mjtza8k]
+ Um einen Benutzer zu entfernen: Senden Sie einen RFC mit Management \$1 Directory Service \$1 Benutzer und Gruppen \$1 Benutzer aus Gruppe entfernen [ct-2019s9y3nfml4]
**Anmerkung**
Wenn Sie „Überprüfung erforderlich“ verwenden CTs, empfiehlt AMS, die **ASAP-Scheduling-Option** zu verwenden (wählen Sie **ASAP** in der Konsole, lassen Sie Start- und Endzeit leer in der API/CLI), da diese einen AMS-Operator CTs erfordern, der den RFC überprüft und möglicherweise mit Ihnen kommuniziert, bevor er genehmigt und ausgeführt werden kann. Wenn Sie diese einplanen, achten Sie darauf RFCs, dass Sie mindestens 24 Stunden einplanen. Wenn die Genehmigung nicht vor der geplanten Startzeit erfolgt, wird der RFC automatisch abgelehnt.
## Suchen Sie nach Sicherheitsgruppen
Verwenden Sie die EC2 Konsole, um die Sicherheitsgruppen zu finden, die einem Stack oder einer Instance zugeordnet sind. Nachdem Sie den Stack oder die Instance gefunden haben, können Sie alle damit verbundenen Sicherheitsgruppen sehen.
Möglichkeiten, Sicherheitsgruppen in der Befehlszeile zu finden und die Ausgabe zu filtern, finden Sie unter [https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html](https://docs.aws.amazon.com/cli/latest/reference/ec2/describe-security-groups.html).
# AMS-Bibliothek für präventive und detektive Kontrollen
AWS Managed Services (AMS) bietet Ihnen eine Auswahl an bewährten Service-Kontrollrichtlinien (SCPs), die Sie nutzen können ConfigRules , um Ihre Sicherheitslage zu verbessern und Compliance-Lücken in Ihren AMS-Konten zu verringern. library/catalog
**Topics**
+ [Kuratierte Regeln SCPs und Konfigurationsregeln](scp-library-compliance.md)
+ [Benutzerdefinierte Benachrichtigung für Config-Regeln](scp-lib-custom-notice.md)
# Kuratierte Regeln SCPs und Konfigurationsregeln
Kuratierte Regeln SCPs und Konfigurationsregeln für AMS Advanced.
+ **Richtlinien zur Dienststeuerung (SCPs)**: Die bereitgestellten Richtlinien SCPs gelten zusätzlich zu den AMS-Standardrichtlinien.
Sie können diese Bibliothekssteuerungen zusammen mit den Standardsteuerungen verwenden, um bestimmte Sicherheitsanforderungen zu erfüllen.
+ **Konfigurationsregeln**: Als Basismaßnahme empfiehlt AMS, zusätzlich zu den standardmäßigen AMS-Konfigurationsregeln (Standardregeln unter AMS-Artefakte) [Conformance Packs](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html) (siehe Conformance Packs im AWS Config Handbuch) anzuwenden. Die Conformance Packs decken einen Großteil der Compliance-Anforderungen ab und werden von AWS regelmäßig aktualisiert.
Die hier aufgeführten Regeln können verwendet werden, um anwendungsfallspezifische Lücken zu schließen, die nicht durch Conformance Packs abgedeckt werden
**Anmerkung**
Da die AMS-Standardregeln und Konformitätspakete im Laufe der Zeit aktualisiert werden, werden Sie möglicherweise Duplikate dieser Regeln sehen.
AMS empfiehlt generell, doppelte Konfigurationsregeln regelmäßig zu bereinigen.
Für AMS Advanced sollten Config Rules keine automatischen Korrekturen verwenden (siehe [Behebung nicht konformer AWS-Ressourcen durch AWS-Konfigurationsregeln](https://docs.aws.amazon.com/config/latest/developerguide/remediation.html)), um Änderungen zu vermeiden. out-of-band
## SCP-AMS-001: Beschränken Sie die EBS-Erstellung
Verhindern Sie die Erstellung von EBS-Volumes, wenn Sie die Verschlüsselung nicht aktiviert haben.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:CreateVolume",
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-002: Schränkt den Start ein EC2
Verhindern Sie den Start einer EC2 Instance, wenn das EBS-Volume unverschlüsselt ist. Dazu gehört auch, dass ein unverschlüsselter EC2 Start verweigert wird, AMIs da dieser SCP auch für Root-Volumes gilt.
```
{
"Condition": {
"Bool": {
"ec2:Encrypted": "false"
}
},
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:volume/*",
"Effect": "Deny"
}
```
## SCP-ADV-001: RFC-Einreichungen einschränken
Schränken Sie die Übermittlung bestimmter automatisierter Funktionen RFCs wie **Create VPC oder **Delete VPC**** ein. Dies ist hilfreich, wenn Sie detailliertere Berechtigungen auf Ihre Verbundrollen anwenden möchten.
Sie möchten beispielsweise, dass standardmäßig `AWSManagedServicesChangeManagement Role` die meisten verfügbaren Daten übermittelt werden können, RFCs mit Ausnahme derjenigen, die das Erstellen und Löschen einer VPC, das Erstellen zusätzlicher Subnetze, das Offboarding eines Anwendungskontos, das Aktualisieren oder Löschen von SAML-Identitätsanbietern ermöglichen:
## SCP-AMS-003: Schränkt die Erstellung von RDS in AMS ein EC2
Verhindern Sie die Erstellung von Amazon EC2 - und RDS-Instances, die keine spezifischen Tags haben, und lassen Sie dies gleichzeitig der `AMS Backup IAM` AMS-Standardrolle zu. Dies ist für Disaster Recovery oder DR erforderlich.
```
{
"Sid": "DenyRunInstanceWithNoOrganizationTag",
"Effect": "Deny",
"Action": [
"ec2:RunInstances",
"rds:CreateDBInstance"
],
"Resource": [
"arn:aws:ec2:*:*:instance/*",
"arn:aws:ec2:*:*:volume/*",
"arn:aws:rds:*:*:db:*"
],
"Condition": {
"Null": {
"aws:RequestTag/organization": "true"
},
"StringNotLike": {
"aws:PrincipalArn": [
"arn:aws:iam:::role/ams-backup-iam-role"
]
}
}
}
```
## SCP-AMS-004: S3-Uploads einschränken
Verhindert das Hochladen unverschlüsselter S3-Objekte.
```
{
"Sid": "DenyUnencryptedS3Uploads",
"Effect": "Deny",
"Action": "s3:PutObject",
"Resource": "*",
"Condition": {
"StringNotLike": {
"s3:x-amz-server-side-encryption": ["aws:kms", "AES256"]
},
"Null": {
"s3:x-amz-server-side-encryption": "false"
}
}
}
]
}
```
## SCP-AMS-005: Beschränken Sie den API- und Konsolenzugriff
Verhindern Sie als Kunde den Zugriff auf AWS-Konsole und API für Anfragen, die von bekannten schlechten IP-Adressen kommen InfoSec.
## SCP-AMS-006: Verhindert, dass die IAM-Entität das Mitgliedskonto aus der Organisation entfernt
Verhindern Sie, dass eine AWS Identity and Access Management Entität Mitgliedskonten aus der Organisation entfernt.
```
{
"Effect": "Deny",
"Action": ["organizations:LeaveOrganization"],
"Resource": ["*"]
}
```
## SCP-AMS-007: Verhindern Sie die gemeinsame Nutzung von Ressourcen mit Konten außerhalb Ihrer Organisation
Verhindern Sie die gemeinsame Nutzung von Ressourcen mit externen Konten außerhalb Ihrer AWS Organisation
```
{
"Effect": "Deny",
"Action": [
"ram:*"
],
"Resource": [
"*"
],
"Condition": {
"Bool": {
"ram:AllowsExternalPrincipals": "true"
}
}
},
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:UpdateResourceShare"
],
"Resource": "*",
"Condition": {
"Bool": {
"ram:RequestedAllowsExternalPrincipals": "true"
}
}
}
```
## SCP-AMS-008: Verhindern Sie die gemeinsame Nutzung mit Organisationen oder Organisationseinheiten () OUs
Verhindern Sie die gemeinsame Nutzung von Ressourcen mit einer and/or Account-Organisationseinheit, die sich in einer Organisation befindet.
```
{
"Effect": "Deny",
"Action": [
"ram:CreateResourceShare",
"ram:AssociateResourceShare"
],
"Resource": "*",
"Condition": {
"ForAnyValue:StringLike": {
"ram:Principal": [
"arn:aws:organizations::*:account/o-${OrganizationId}/${AccountId}",
"arn:aws:organizations::*:ou/o-${OrganizationId}/ou-${OrganizationalUnitId}"
]
}
}
}
```
## SCP-AMS-009: Hindert Benutzer daran, Einladungen zur gemeinsamen Nutzung von Ressourcen anzunehmen
Verhindern Sie, dass Mitgliedskonten Einladungen AWS RAM zum Beitritt zu Resource Shares annehmen. Diese API unterstützt keine Bedingungen und verhindert, dass Inhalte nur von externen Konten geteilt werden.
```
{
"Effect": "Deny",
"Action": ["ram:AcceptResourceShareInvitation"],
"Resource": ["*"]
}
```
## SCP-AMS-010: Aktionen zur Aktivierung und Deaktivierung der Kontoregion verhindern
Verhindern Sie die Aktivierung oder Deaktivierung neuer AWS Regionen für Ihre AWS Konten.
```
{
"Effect": "Deny",
"Action": [
"account:EnableRegion",
"account:DisableRegion"
],
"Resource": "*"
}
```
## SCP-AMS-011: Aktionen zur Änderung der Abrechnung verhindern
Vermeiden Sie Änderungen an der Abrechnungs- und Zahlungskonfiguration.
```
{
"Effect": "Deny",
"Action": [
"aws-portal:ModifyBilling",
"aws-portal:ModifyAccount",
"aws-portal:ModifyPaymentMethods"
],
"Resource": "*"
}
```
## SCP-AMS-012: Verhindert das Löschen oder Ändern bestimmter CloudTrails
Verhindern Sie Änderungen an bestimmten AWS CloudTrail Pfaden.
```
{
"Effect": "Deny",
"Action": [
"cloudtrail:DeleteEventDataStore",
"cloudtrail:DeleteTrail",
"cloudtrail:PutEventSelectors",
"cloudtrail:PutInsightSelectors",
"cloudtrail:UpdateEventDataStore",
"cloudtrail:UpdateTrail",
"cloudtrail:StopLogging"
],
"Resource": [
"arn:${Partition}:cloudtrail:${Region}:${Account}:trail/${TrailName}"
]
}
```
## SCP-AMS-013: Verhindert die Deaktivierung der Standard-EBS-Verschlüsselung
Verhindern Sie die Deaktivierung der standardmäßigen Amazon EBS-Verschlüsselung.
```
{
"Effect": "Deny",
"Action": [
"ec2:DisableEbsEncryptionByDefault"
],
"Resource": "*"
}
```
## SCP-AMS-014: Das Erstellen einer Standard-VPC und eines Subnetzes verhindern
Verhindern Sie die Erstellung einer standardmäßigen Amazon-VPC und von Subnetzen.
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateDefaultSubnet",
"ec2:CreateDefaultVpc"
],
"Resource": "*"
}
```
## SCP-AMS-015: Verhindert das Deaktivieren und Ändern GuardDuty
Verhindern Sie, dass Amazon GuardDuty geändert oder deaktiviert wird.
```
{
"Effect": "Deny",
"Action": [
"guardduty:AcceptInvitation",
"guardduty:ArchiveFindings",
"guardduty:CreateDetector",
"guardduty:CreateFilter",
"guardduty:CreateIPSet",
"guardduty:CreateMembers",
"guardduty:CreatePublishingDestination",
"guardduty:CreateSampleFindings",
"guardduty:CreateThreatIntelSet",
"guardduty:DeclineInvitations",
"guardduty:DeleteDetector",
"guardduty:DeleteFilter",
"guardduty:DeleteInvitations",
"guardduty:DeleteIPSet",
"guardduty:DeleteMembers",
"guardduty:DeletePublishingDestination",
"guardduty:DeleteThreatIntelSet",
"guardduty:DisableOrganizationAdminAccount",
"guardduty:DisassociateFromMasterAccount",
"guardduty:DisassociateMembers",
"guardduty:InviteMembers",
"guardduty:StartMonitoringMembers",
"guardduty:StopMonitoringMembers",
"guardduty:TagResource",
"guardduty:UnarchiveFindings",
"guardduty:UntagResource",
"guardduty:UpdateDetector",
"guardduty:UpdateFilter",
"guardduty:UpdateFindingsFeedback",
"guardduty:UpdateIPSet",
"guardduty:UpdateMalwareScanSettings",
"guardduty:UpdateMemberDetectors",
"guardduty:UpdateOrganizationConfiguration",
"guardduty:UpdatePublishingDestination",
"guardduty:UpdateThreatIntelSet"
],
"Resource": "*"
}
```
## SCP-AMS-016: Root-Benutzeraktivitäten verhindern
Verhindern Sie, dass der Root-Benutzer eine Aktion ausführt.
```
{
"Action": "*",
"Resource": "*",
"Effect": "Deny",
"Condition": {
"StringLike": {
"aws:PrincipalArn": [
"arn:aws:iam::*:root"
]
}
}
}
```
## SCP-AMS-017: Verhindert die Erstellung von Zugriffsschlüsseln für den Root-Benutzer
Verhindern Sie die Erstellung von Zugriffsschlüsseln für den Root-Benutzer.
```
{
"Effect": "Deny",
"Action": "iam:CreateAccessKey",
"Resource": "arn:aws:iam::*:root"
}
```
## SCP-AMS-018: Verhindert die Deaktivierung der Sperrung des öffentlichen Zugriffs auf das S3-Konto
Verhindern Sie, dass der öffentliche Zugriff auf ein Amazon S3 S3-Konto gesperrt wird. Dadurch wird verhindert, dass ein Bucket im Konto veröffentlicht wird.
```
{
"Effect": "Deny",
"Action": "s3:PutAccountPublicAccessBlock",
"Resource": "*"
}
```
## SCP-AMS-019: Verhindern, dass AWS Config deaktiviert oder Config-Regeln geändert werden
Verhindern Sie das Deaktivieren oder Ändern von AWS Config Regeln.
```
{
"Effect": "Deny",
"Action": [
"config:DeleteConfigRule",
"config:DeleteConfigurationRecorder",
"config:DeleteDeliveryChannel",
"config:DeleteEvaluationResults",
"config:StopConfigurationRecorder"
],
"Resource": "*"
}
```
## SCP-AMS-020: Alle IAM-Aktionen verhindern
Alle IAM-Aktionen verhindern.
```
{
"Effect": "Deny",
"Action": [
"iam:*"
],
"Resource": "*"
}
```
## SCP-AMS-021: Verhindert das Löschen von Log-Gruppen und Streams CloudWatch
Verhindern Sie das Löschen von Amazon CloudWatch Logs-Gruppen und -Streams.
```
{
"Effect": "Deny",
"Action": [
"logs:DeleteLogGroup",
"logs:DeleteLogStream"
],
"Resource": "*"
}
```
## SCP-AMS-022: Das Löschen von Glacier verhindern
Verhindern Sie das Löschen von Amazon Glacier.
```
{
"Effect": "Deny",
"Action": [
"glacier:DeleteArchive",
"glacier:DeleteVault"
],
"Resource": "*"
}
```
## SCP-AMS-023: Das Löschen von IAM Access Analyzer verhindern
Verhindern Sie das Löschen von IAM Access Analyzer.
```
{
"Action": [
"access-analyzer:DeleteAnalyzer"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-024: Änderungen am Security Hub verhindern
Verhindern Sie das Löschen von AWS Security Hub CSPM.
```
{
"Action": [
"securityhub:DeleteInvitations",
"securityhub:DisableSecurityHub",
"securityhub:DisassociateFromMasterAccount",
"securityhub:DeleteMembers",
"securityhub:DisassociateMembers"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-025: Löschen unter Directory Service verhindern
Verhindern Sie das Löschen von Ressourcen unter Directory Service.
```
{
"Action": [
"ds:DeleteDirectory",
"ds:DeleteLogSubscription",
"ds:DeleteSnapshot",
"ds:DeleteTrust",
"ds:DeregisterCertificate",
"ds:DeregisterEventTopic",
"ds:DisableLDAPS",
"ds:DisableRadius",
"ds:DisableSso",
"ds:UnshareDirectory"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-026: Die Nutzung eines Dienstes auf der Denylist verhindern
Verhindern Sie die Nutzung von Diensten, die auf der Liste stehen.
**Anmerkung**
Ersetzen Sie *service1* und *service2* durch Ihre Dienstnamen. Beispiel *access-analyzer* oder*IAM*.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"]
}
```
## SCP-AMS-027: Verhindert die Nutzung von Diensten, die auf der Liste stehen, in bestimmten Regionen
Verhindern Sie die Nutzung von Diensten, die auf der Liste stehen, in bestimmten Regionen. AWS
**Anmerkung**
Ersetzen Sie *service1* und *service2* durch Ihre Dienstnamen. Beispiel *access-analyzer* oder*IAM*.
Ersetzen Sie *region1* und *region2* durch Ihre Dienstnamen. Beispiel *us-west-2* oder*use-east-1*.
```
{
"Effect": "Deny",
"Resource": "*",
"Action": ["service1:*", "service2:*"],
"Condition": {
"StringEquals": {
"aws:RequestedRegion": [
"region1",
"region2"
]
}
}
}
```
## SCP-AMS-028: Verhindert, dass Tags geändert werden, außer durch autorisierte Principals
Verhindern Sie, dass Tag-Änderungen durch alle Benutzer außer den autorisierten Hauptbenutzern vorgenommen werden. Verwenden Sie Autorisierungs-Tags, um Principals zu autorisieren. Autorisierungs-Tags müssen Ressourcen und Prinzipalen zugeordnet sein. A user/role gilt nur dann als autorisiert, wenn das Tag sowohl auf der Ressource als auch auf dem Prinzipal übereinstimmt. Weitere Informationen finden Sie in den folgenden Ressourcen:
+ [Sicherung von Ressourcen-Tags, die für die Autorisierung verwendet werden, mithilfe einer Dienststeuerungsrichtlinie in AWS Organizations](https://aws.amazon.com/blogs/security/securing-resource-tags-used-for-authorization-using-service-control-policy-in-aws-organizations/)
+ [Verhindern Sie, dass Tags nur von autorisierten Prinzipalen geändert werden](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples_tagging.html#example-require-restrict-tag-mods-to-admin)
```
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"ec2:ResourceTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"ec2:ResourceTag/access-project": false
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:RequestTag/access-project": "${aws:PrincipalTag/access-project}",
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"ForAnyValue:StringEquals": {
"aws:TagKeys": [
"access-project"
]
}
}
},
{
"Effect": "Deny",
"Action": [
"ec2:CreateTags",
"ec2:DeleteTags"
],
"Resource": [
"*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalArn": "arn:aws:iam::{ACCOUNT_ID}:{RESOURCE_TYPE}/{RESOURCE_NAME}"
},
"Null": {
"aws:PrincipalTag/access-project": true
}
}
}
```
## SCP-AMS-029: Benutzer daran hindern, Amazon VPC Flow Logs zu löschen
Verhindern Sie das Löschen von Amazon VPC Flow Logs.
```
{
"Action": [
"ec2:DeleteFlowLogs",
"logs:DeleteLogGroup",
"logs:DeleteLogStream",
"s3:DeleteBucket",
"s3:DeleteObject",
"s3:DeleteObjectVersion",
"s3:PutLifecycleConfiguration",
"firehose:DeleteDeliveryStream"
],
"Resource": "*",
"Effect": "Deny"
}
```
## SCP-AMS-030: Die gemeinsame Nutzung des VPC-Subnetzes mit einem anderen Konto als dem Netzwerkkonto verhindern
Vermeiden Sie die gemeinsame Nutzung von Amazon VPC-Subnetzen mit anderen Konten als dem Netzwerkkonto.
**Anmerkung**
Ersetzen Sie es *NETWORK\$1ACCOUNT\$1ID* durch Ihre Netzwerkkonto-ID.
```
{
"Effect": "Deny",
"Action": [
"ram:AssociateResourceShare",
"ram:CreateResourceShare"
],
"Resource": "*",
"Condition": {
"StringNotEquals": {
"ram:Principal": "NETWORK_ACCOUNT_ID"
},
"StringEquals": {
"ram:RequestedResourceType": "ec2:Subnet"
}
}
}
```
## SCP-AMS-031: Verhindert das Starten von Instances mit verbotenen Instanztypen
Verhindern Sie das Starten verbotener EC2 Amazon-Instance-Typen.
**Anmerkung**
Ersetzen Sie *instance\$1type1* und *instance\$1type2* durch die Instance-Typen, die Sie einschränken möchten, z. B. *t2.micro* oder durch eine Platzhalterzeichenfolge wie. *\$1.nano*
```
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": [
"arn:aws:ec2:*:*:instance/*"
],
"Condition": {
"ForAnyValue:StringLike": {
"ec2:InstanceType": [
"instance_type1",
"instance_type2"
]
}
}
}
```
## SCP-AMS-032: Verhindert das Starten von Instanzen ohne IMDSv2
Vermeiden Sie EC2 Amazon-Instances ohne IMDSv2.
```
[
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"StringNotEquals": {
"ec2:MetadataHttpTokens": "required"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:RunInstances",
"Resource": "arn:aws:ec2:*:*:instance/*",
"Condition": {
"NumericGreaterThan": {
"ec2:MetadataHttpPutResponseHopLimit": "3"
}
}
},
{
"Effect": "Deny",
"Action": "*",
"Resource": "*",
"Condition": {
"NumericLessThan": {
"ec2:RoleDelivery": "2.0"
}
}
},
{
"Effect": "Deny",
"Action": "ec2:ModifyInstanceMetadataOptions",
"Resource": "*"
}
]
```
## SCP-AMS-033: Verhindert Änderungen an einer bestimmten IAM-Rolle
Verhindern Sie Änderungen an bestimmten IAM-Rollen.
```
{
"Action": [
"iam:AttachRolePolicy",
"iam:DeleteRole",
"iam:DeleteRolePermissionsBoundary",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:TagRole",
"iam:UntagRole",
"iam:UpdateAssumeRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## SCP-AMS-034: Verhindert Änderungen an bestimmten IAM-Rollen AssumeRolePolicy
Verhindert Änderungen an den vier AssumeRolePolicy angegebenen IAM-Rollen.
```
{
"Action": [
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::{ACCOUNT_ID}:role/{RESOURCE_NAME}"
],
"Effect": "Deny"
}
```
## ConfigRule: Erforderliche Tags
Prüfen Sie, ob EC2 Instanzen über benutzerdefinierte Tags verfügen, die Sie benötigt haben. Darüber hinaus ist dies auch nützlich für Ihr Kostenmanagement InfoSec
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the required tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
```
## ConfigRule: Zugriffstaste gedreht
Vergewissern Sie sich, dass die Zugriffsschlüssel innerhalb des angegebenen Zeitraums rotiert werden. In der Regel sind dies 90 Tage gemäß den typischen Compliance-Anforderungen.
```
ConfigRuleName: access-keys-rotated
Description: >-
A config rule that checks whether the active access keys are rotated
within the number of days specified in maxAccessKeyAge. The rule is
NON_COMPLIANT if the access keys have not been rotated for more than
maxAccessKeyAge number of days.
InputParameters:
maxAccessKeyAge: '90'
Source:
Owner: AWS
SourceIdentifier: ACCESS_KEYS_ROTATED
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: IAM-Root-Zugriffsschlüssel in AMS
Stellen Sie sicher, dass in einem Konto kein Root-Zugriffsschlüssel vorhanden ist. Bei AMS Advanced-Konten wird davon ausgegangen, dass dies konform ist out-of-the-box.
```
ConfigRuleName: iam-root-access-key-check
Description: >-
A config rule that checks whether the root user access key is available. The rule is COMPLIANT if the user access key does not exist.
Source:
Owner: AWS
SourceIdentifier: IAM_ROOT_ACCESS_KEY_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: SSM verwaltet EC2
Vergewissern Sie EC2s sich, dass Sie von SSM Systems Manager verwaltet werden.
```
ConfigRuleName: ec2-instance-managed-by-systems-manager
Description: >-
A Config rule that checks whether the EC2 instances in the
account are managed by AWS Systems Manager.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
- 'AWS::SSM::ManagedInstanceInventory'
Source:
Owner: AWS
SourceIdentifier: EC2_INSTANCE_MANAGED_BY_SSM
```
## ConfigRule: Ungenutzter IAM-Benutzer in AMS
Sucht nach IAM-Benutzeranmeldedaten, die für einen bestimmten Zeitraum nicht verwendet wurden. Wie bei der Schlüsselrotationsprüfung werden auch hier in der Regel 90 Tage für typische Compliance-Anforderungen vorgegeben.
```
ConfigRuleName: iam-user-unused-credentials-check
Description: >-
A config rule that checks whether IAM users have passwords
or active access keys that have not been used within the
specified number of days provided.
InputParameters:
maxCredentialUsageAge: '90'
Source:
Owner: AWS
SourceIdentifier: IAM_USER_UNUSED_CREDENTIALS_CHECK
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: S3-Bucket-Protokollierung
Vergewissern Sie sich, dass die Protokollierung für S3-Buckets im Konto aktiviert wurde.
```
ConfigRuleName: s3-bucket-logging-enabled
Description: >-
A Config rule that checks whether logging is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_LOGGING_ENABLED
```
## ConfigRule: Versionierung von S3-Buckets
Vergewissern Sie sich, dass Versionierung und MFA-Delete (optional) für alle S3-Buckets aktiviert sind
```
ConfigRuleName: s3-bucket-versioning-enabled
Description: >-
A Config rule that checks whether versioning is enabled for S3
buckets. Optionally, the rule checks if MFA delete is enabled for S3 buckets.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::Bucket'
Source:
Owner: AWS
SourceIdentifier: S3_BUCKET_VERSIONING_ENABLED
```
## ConfigRule: Öffentlicher S3-Zugriff
Vergewissern Sie sich, dass die Einstellungen für den öffentlichen Zugriff (Public ACL, Public Policy, Public Buckets) für das gesamte Konto eingeschränkt sind
```
ConfigRuleName: s3-account-level-public-access-blocks
Description: >-
A Config rule that checks whether the required public access block
settings are configured from account level. The rule is only
NON_COMPLIANT when the fields set below do not match the corresponding
fields in the configuration item.
Scope:
ComplianceResourceTypes:
- 'AWS::S3::AccountPublicAccessBlock'
InputParameters:
IgnorePublicAcls: 'True'
BlockPublicPolicy: 'True'
BlockPublicAcls: 'True'
RestrictPublicBuckets: 'True'
Source:
Owner: AWS
SourceIdentifier: S3_ACCOUNT_LEVEL_PUBLIC_ACCESS_BLOCKS
```
## ConfigRule: Nicht archivierte Ergebnisse GuardDuty
Suchen Sie nach nicht archivierten GuardDuty Ergebnissen, die älter als die angegebene Dauer sind. Die Standarddauer beträgt 30 Tage für Befunde mit niedriger Geschwindigkeit, 7 Tage für Ergebnisse mit mittlerer Geschwindigkeit und 1 Tag für Ergebnisse mit hoher Geschwindigkeit.
```
ConfigRuleName: guardduty-non-archived-findings
Description: >-
A Config rule that checks whether the Amazon GuardDuty has findings that
are non archived. The rule is NON_COMPLIANT if GuardDuty has non
archived low/medium/high severity findings older than the specified number.
InputParameters:
daysLowSev: '30'
daysMediumSev: '7'
daysHighSev: '1'
Source:
Owner: AWS
SourceIdentifier: GUARDDUTY_NON_ARCHIVED_FINDINGS
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: CMK-Löschung
Suchen Sie nach AWS Key Management Service benutzerdefinierten Hauptschlüsseln (CMKs), deren Löschung geplant ist (auch bekannt als ausstehend). Dies ist von entscheidender Bedeutung, da Unwissenheit über das Löschen von CMK dazu führen kann, dass Daten nicht wiederhergestellt werden können
```
ConfigRuleName: kms-cmk-not-scheduled-for-deletion
Description: >-
A config rule that checks whether customer master keys (CMKs) are not
scheduled for deletion in AWS Key Management Service (AWS KMS). The rule is
NON_COMPLIANT if CMKs are scheduled for deletion.
Source:
Owner: AWS
SourceIdentifier: KMS_CMK_NOT_SCHEDULED_FOR_DELETION
MaximumExecutionFrequency: TwentyFour_Hours
```
## ConfigRule: CMK-Rotation
Vergewissern Sie sich, dass die automatische Rotation für jeden CMK im Konto aktiviert ist
```
ConfigRuleName: cmk-backing-key-rotation-enabled
Description: >-
A config rule that checks that key rotation is enabled for each customer
master key (CMK). The rule is COMPLIANT, if the key rotation is enabled
for specific key object. The rule is not applicable to CMKs that have
imported key material.
Source:
Owner: AWS
SourceIdentifier: CMK_BACKING_KEY_ROTATION_ENABLED
MaximumExecutionFrequency: TwentyFour_Hours
```
# Benutzerdefinierte Benachrichtigung für Config-Regeln
Es kann vorkommen, dass kritische Konfigurationsregeln nicht eingehalten werden, sodass Sie Ihr Team InfoSec und das Führungsteam entsprechend sensibilisieren müssen. Für solche Szenarien empfiehlt AMS, eine benutzerdefinierte Benachrichtigung über Verstöße zu konfigurieren, die ereignisgesteuert werden.
Beispiel:
```
ConfigRuleName: required-tags
Description: >-
A Config rule that checks whether EC2 instances have the mandated tags.
Scope:
ComplianceResourceTypes:
- 'AWS::EC2::Instance'
InputParameters:
tag1Key: COST_CENTER
tag2Key: APP_ID
Source:
Owner: AWS
SourceIdentifier: REQUIRED_TAGS
NotificationEventRule:
Type: 'AWS::Events::Rule'
Properties:
Name: CWEventForrequired-tags
Description: >-
SNS Notification for Non-Compliant Events of Config Rule:
required-tags
State: ENABLED
EventPattern:
detail-type:
- Config Rules Compliance Change
source:
- aws.config
detail:
newEvaluationResult:
complianceType:
- NON_COMPLIANT
configRuleARN:
- 'Fn::GetAtt':
- RequiredEC2Tags
- Arn
Targets:
- Id: RemediationNotification
Arn:
Ref: SnsTopic
InputTransformer:
InputTemplate: >-
"EC2 Instance is non-compliant. Please add required tags: COST_CENTER, APP_ID, Name, and Backup."
InputPathsMap:
instance_id: $.detail.resourceId
SnsTopic:
Type: 'AWS::SNS::Topic'
Properties:
Subscription:
- Endpoint: Cloud_Ops_Leaders@customer.com
Protocol: email
TopicName: noncompliant-instance-notification
SnsTopicPolicy:
Type: 'AWS::SNS::TopicPolicy'
Properties:
PolicyDocument:
Statement:
- Sid: __default_statement_ID
Effect: Allow
Principal:
AWS: '*'
Action:
- 'SNS:GetTopicAttributes'
- 'SNS:SetTopicAttributes'
- 'SNS:AddPermission'
- 'SNS:RemovePermission'
- 'SNS:DeleteTopic'
- 'SNS:Subscribe'
- 'SNS:ListSubscriptionsByTopic'
- 'SNS:Publish'
- 'SNS:Receive'
Resource:
Ref: SnsTopic
Condition:
StringEquals:
'AWS:SourceOwner':
Ref: 'AWS::AccountId'
- Sid: TrustCWEToPublishEventsToMyTopic
Effect: Allow
Principal:
Service: events.amazonaws.com
Action: 'sns:Publish'
Resource:
Ref: SnsTopic
Topics:
- Ref: SnsTopic
```
# Mit dem Amazon EventBridge Rule Service verknüpfte Rolle für AMS Advanced
AMS Advanced verwendet die serviceverknüpfte Rolle (SLR) mit dem Namen **AWSServiceRoleForManagedServices\$1Events**— Diese Rolle vertraut darauf, dass einer der AWS Managed Services Service Principals (events.managedservices.amazonaws.com) die Rolle für Sie übernimmt. Der Service EventBridge verwendet die Rolle, um eine verwaltete Regel zu erstellen. Diese Regel ist die Infrastruktur, die in Ihrem AWS Konto erforderlich ist, um Informationen zur Änderung des Alarmstatus von Ihrem Konto an AWS Managed Services zu übermitteln.
## Berechtigungen für EventBridge SLR für AMS Advanced
Die serviceverknüpfte Rolle **AWSServiceRoleForManagedServices\$1Events** vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ events.managedservices.amazonaws.com
Dieser Rolle ist die **AWSManagedServices\$1EventsServiceRolePolicy** AWS verwaltete Richtlinie beigefügt (siehe [verwaltete AWS-Richtlinie: AWSManagedServices\$1EventsServiceRolePolicy](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html#EventsServiceRolePolicy)). Der Dienst verwendet die Rolle, um Informationen zur Änderung des Alarmstatus von Ihrem Konto an AWS Managed Services zu übermitteln. Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Service-Linked Role Permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *AWS Identity and Access Management-Benutzerhandbuch*.
Sie können die JSON-Datei **AWSManagedServices\$1EventsServiceRolePolicy**in dieser ZIP-Datei herunterladen: [EventsServiceRolePolicy.zip](https://docs.aws.amazon.com/managedservices/latest/accelerate-guide/samples/EventsServiceRolePolicy.zip).
## Eine EventBridge Spiegelreflexkamera für AMS Advanced erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie in der AWS Management Console, der oder der AWS CLI AWS API bei AMS einsteigen, erstellt AMS Advanced die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie den AMS Advanced-Service vor dem 7. Februar 2023 genutzt haben. Als er begann, serviceverknüpfte Rollen zu unterstützen, hat AMS Accelerate die AWSServiceRoleForManagedServices\$1Events Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter [In meinem IAM-Konto wird eine neue Rolle angezeigt](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie bei AMS einsteigen, erstellt AMS Advanced die dienstbezogene Rolle erneut für Sie.
## Eine EventBridge Spiegelreflexkamera für AMS Advanced bearbeiten
AMS Advanced erlaubt es Ihnen nicht, die AWSServiceRoleForManagedServices\$1Events serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer EventBridge Spiegelreflexkamera für AMS Advanced
Sie müssen die Rolle AWSServiceRoleForManagedServices\$1Events nicht manuell löschen. Wenn Sie in der AWS Management Console, der AWS CLI oder der AWS API ein Offboard von AMS ausführen, bereinigt AMS Advanced die Ressourcen und löscht die mit dem Service verknüpfte Rolle für Sie.
Sie können die IAM-Konsole, die AWS CLI oder die AWS API auch verwenden, um die serviceverknüpfte Rolle manuell zu löschen. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen, bevor Sie diese manuell löschen können.
**Anmerkung**
Wenn der AMS Advanced-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**Um AMS Advanced-Ressourcen zu löschen, **die von der AWSServiceRoleForManagedServices\$1Events serviceverknüpften Rolle verwendet werden****
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForManagedServices\$1Events serviceverknüpfte Rolle zu löschen.
Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.
# Bewährte Methoden für die Gewährleistung der Sicherheit
Dieser Abschnitt wurde redigiert, da er sensible AMS-Sicherheitsinformationen enthält. **Diese Informationen sind in der AMS-Konsolendokumentation verfügbar.** Um auf AWS Artifact zuzugreifen, können Sie sich an Ihren CSDM wenden, um Anweisungen zu erhalten, oder gehen Sie zu [Erste Schritte mit AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## Nicht standardmäßige EPS-Einstellungen für die AMS-Landingzone mit mehreren Konten
Dieser Abschnitt wurde redigiert, da er vertrauliche AMS-Sicherheitsinformationen enthält. **Diese Informationen sind in der AMS-Konsolendokumentation verfügbar.** Um auf AWS Artifact zuzugreifen, können Sie sich an Ihren CSDM wenden, um Anweisungen zu erhalten, oder gehen Sie zu [Erste Schritte mit AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## AMS-Leitplanken
Bei einer Guardrail handelt es sich um eine Regel auf hoher Ebene, die eine kontinuierliche Steuerung Ihrer gesamten AMS-Umgebung gewährleistet.
Dieser Abschnitt wurde redigiert, da er sensible AMS-Sicherheitsinformationen enthält. **Diese Informationen sind in der AMS-Konsolendokumentation verfügbar.** Um auf AWS Artifact zuzugreifen, können Sie sich an Ihren CSDM wenden, um Anweisungen zu erhalten, oder gehen Sie zu [Erste Schritte mit AWS](https://aws.amazon.com/artifact/getting-started) Artifact.
## Richtlinien zur Steuerung des MALZ-Service
Dieser Abschnitt wurde redigiert, da er sensible sicherheitsrelevante AMS-Informationen enthält. **Diese Informationen sind in der AMS-Konsolendokumentation verfügbar.** Um auf AWS Artifact zuzugreifen, können Sie sich an Ihren CSDM wenden, um Anweisungen zu erhalten, oder gehen Sie zu [Erste Schritte mit AWS](https://aws.amazon.com/artifact/getting-started) Artifact.