View a markdown version of this page

Steuerung des Konsolenzugriffs mit ressourcenbasierten Richtlinien und Richtlinien zur Ressourcensteuerung - AWS Sign-In

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Steuerung des Konsolenzugriffs mit ressourcenbasierten Richtlinien und Richtlinien zur Ressourcensteuerung

Wichtig

Der Anmeldezugriff auf die Konsole ist standardmäßig aktiviert. AWS Sign-In ermöglicht zunächst uneingeschränkten Konsolenzugriff. Um Einschränkungen hinzuzufügen, aktivieren Sie die Konfiguration der Konsolenautorisierung für Ihr Konto oder Ihre Organisation. Die von Ihnen erstellten Ressourcenberechtigungsanweisungen haben keine Wirkung, bis Sie die Konsolenautorisierung aktivieren. Siehe Erste Schritte mit der Konsolenzugriffskontrolle mithilfe von Ressourcenrichtlinien.

AWS Sign-In unterstützt ressourcenbasierte Richtlinien und Ressourcenkontrollrichtlinien (RCPs) zur Steuerung des Zugriffs auf. AWS Sign-In Verwenden Sie diese Richtlinien, um die Benutzeridentität und den Netzwerkstandort während des gesamten AWS-Managementkonsole Zugriffs zu überprüfen — vor, während und nach der Authentifizierung. Für Root-Benutzer überprüfen diese Richtlinien den Netzwerkstandort und die Benutzeridentität, bevor mit der Erfassung der Anmeldeinformationen begonnen wird. Anmeldeinformationen können nur eingegeben werden, wenn der Zugriff über erwartete Netzwerke erfolgt.

AWS Sign-In ressourcenbasierte Richtlinien:

  • Gilt für einzelne Konten AWS .

  • Erlauben Sie Kontoadministratoren, den Konsolenzugriff auf Grundlage von Netzwerkparametern und Prinzidentitäten einzuschränken.

Richtlinien zur Ressourcenkontrolle (RCPs):

  • Bewerben Sie sich unternehmensweit über AWS Organizations.

  • Sorgen Sie für eine zentrale Verwaltung aller Mitgliedskonten.

Beide Richtlinientypen überprüfen den Zugriff vor der Authentifizierung. Dadurch wird verhindert, dass Principals von unerwarteten Netzwerken aus auf die Anmeldeseite zugreifen.

Diese Richtlinien ersetzen nicht die identitätsbasierten IAM-Richtlinien, die weiterhin gelten.

Anmerkung

Eine vollständige Dokumentation zu Ressourcenkontrollrichtlinien, einschließlich Konfiguration und Verwaltung auf Organisationsebene, finden Sie unter Resource Control Policies im AWS Organizations User Guide. Dieser Abschnitt konzentriert sich hauptsächlich auf AWS Sign-In ressourcenbasierte Richtlinien.

AWS Sign-In ressourcenbasierte Richtlinien und RCPs gelten für die folgenden Authentifizierungsmethoden:

  • AWS-Managementkonsole— Direkte Anmeldung über die Anmeldeseite der Konsole.

  • AWS IAM Identity Center — Konsolenanmeldung mit IAM Identity Center.

  • Verbundene Identitätsanbieter — Sign-in über SAML- oder OIDC-Verbund.

  • Integrierte Anwendungen AWS Sign-In — Amazon Connect, Amazon QuickSight, AWS Health Dashboard, Amazon AppStream, Amazon Lightsail, AWS IQ.

Diese Kontrollen gelten nicht für den programmatischen Zugriff mithilfe von Zugriffsschlüsseln (AWS SDKs oder API-Aufrufen, die mit Sigv4 signiert sind).

Wie AWS Sign-In bewertet ressourcenbasierte Richtlinien

AWS Sign-In bewertet die geltenden ressourcenbasierten Richtlinien oder Resource Control Policies (RCPs) zu zwei Zeitpunkten während des Konsolenzugriffs: vor der Authentifizierung (die Phase vor der Authentifizierung) und nach der erfolgreichen Authentifizierung (die Phase nach der Authentifizierung). Bei jeder Evaluierung werden die in Ihrer Richtlinie definierten Bedingungsschlüssel überprüft. Die verfügbaren Schlüssel hängen von der Phase und der Aktion ab. Details hierzu finden Sie unter Unterstützte Bedingungsschlüssel.

Anmerkung

Bei der Anmeldung als Root-Benutzer wird ein Zugriffsversuch von unerwarteten Netzwerken aus blockiert, bevor die Kennwortabfrage angezeigt wird. Dadurch wird die Übermittlung von Anmeldeinformationen aus unerwarteten Netzwerken verhindert.

Nach der Authentifizierung werden bei der Bewertung auch die identitätsbasierten Richtlinien des Auftraggebers berücksichtigt. Eine IAM-Richtlinie, die die entsprechende Anmeldeaktion verweigert, kann verhindern, dass die Konsolensitzung gewährt wird, selbst wenn die Netzwerkbedingungen erfüllt sind.

Unterstützte Aktionen

AWS Sign-In Ressourcenrichtlinien (ressourcenbasierte Richtlinien und RCPs) unterstützen die folgenden Aktionen:

signin:Authenticate

Dabei handelt es sich um eine reine Evaluierungsaktion (nicht aufrufbar), die bewertet wird, wenn eine Anmeldeanfrage eingeht. Dies ist eine Vorauthentifizierungsprüfung und erfolgt, wenn entweder der Principal Anmeldeinformationen auf der Anmeldeseite eingibt (Root-Benutzer, IAM-Benutzer) oder die Konsolenanmeldung mit Anmeldeinformationen von einem Identitätsanbieter oder AWS STS (Verbundbenutzer, Rolle) initiiert.

Unterstützte Bedingungsschlüssel:aws:SourceIp,,,,. aws:SourceVpc aws:SourceVpce aws:VpcSourceIp aws:RequestedRegion signin:PrincipalArn

Principal-based globale Bedingungsschlüssel (aws:PrincipalArn,aws:PrincipalAccount) sind für diese Aktion nicht verfügbar, da die Identität des Benutzers noch nicht bestätigt wurde.

signin:AuthorizeOAuth2Access

Wird für die Generierung von OAuth-Autorisierungscodes verwendet. Nach erfolgreicher Authentifizierung wird diese Aktion ausgelöst, wenn das System einen OAuth-Autorisierungscode generiert. Zu diesem Zeitpunkt ist der Benutzer authentifiziert und prinzipalbasierte Bedingungsschlüssel sind verfügbar.

Unterstützte Bedingungsschlüssel:aws:SourceIp,,aws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion. aws:PrincipalArn aws:PrincipalAccount

signin:CreateOAuth2Token

Diese Aktion nach der Authentifizierung wird für die Erstellung und den Austausch von OAuth-Token verwendet. Diese Aktion wird ausgelöst, wenn Autorisierungscodes für Zugriffstoken eingelöst, Token aktualisiert oder Token-Austauschvorgänge durchgeführt werden. Principal-based Bedingungsschlüssel sind in dieser Phase verfügbar.

Unterstützte Bedingungsschlüssel: aws:SourceIpaws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,,aws:RequestedRegion,aws:PrincipalArn,aws:PrincipalAccount.

Wichtig

Wenn Sie AWS Sign-In Richtlinien (ressourcenbasierte Richtlinien oder RCPs) erstellen, sollten Sie alle drei Aktionen in Ihrer Richtlinie berücksichtigen — signin:Authenticate in einer Erklärung vor der Authentifizierung signin:AuthorizeOAuth2Access und signin:CreateOAuth2Token in einer Erklärung nach der Authentifizierung. Bei der Konsolenanmeldung wird OAuth 2.0 verwendet, bei dem alle drei Aktionen nacheinander ausgeführt werden. Wenn Ihre Richtlinie eine Aktion auslässt, ist die entsprechende Phase nicht geschützt. Informationen zu VPC-Endpunkt-Richtlinienaktionensignin:CreateAccount, einschließlich, finden Sie unter AWS Management Console Private Access.

Unterstützte Bedingungsschlüssel

AWS Sign-In unterstützt die folgenden Bedingungsschlüssel in ressourcenbasierten Richtlinien und Ressourcenkontrollrichtlinien (RCPs). Verwenden Sie diese Tasten, um den Konsolenzugriff auf Grundlage des Netzwerkstandorts und der Prinzidentität zu steuern:

  • Network-based (alle Aktionen): aws:SourceIpaws:SourceVpc,aws:SourceVpce,aws:VpcSourceIp,aws:RequestedRegion.

  • Identity-based (Aktionen nach der Authentifizierung):aws:PrincipalArn,aws:PrincipalAccount.

  • Service-specific (nur Vorauthentifizierung):. signin:PrincipalArn

Ausführliche Nutzungsregeln, Operatorkompatibilität, Kombinationseinschränkungen und die Verfügbarkeitsmatrix nach Aktion finden Sie unterAWS Sign-In Referenz zu den Bedingungsschlüsseln.

Erste Schritte mit der Konsolenzugriffskontrolle mithilfe von Ressourcenrichtlinien

Voraussetzungen

Wichtig

Bevor Sie die Konsolenautorisierung in der Produktion aktivieren, AWS empfiehlt es sich, mindestens einen ausgeschlossenen Principal zu konfigurieren, um den Zugriff auf die Notfallwiederherstellung aufrechtzuerhalten. Alle Prinzipale, einschließlich Root-Benutzer, unterliegen der Richtlinie, sofern sie nicht ausdrücklich ausgeschlossen werden. Ausgeschlossene Hauptbenutzer sind optional, aber wenn sie weggelassen werden, erhöht sich das Risiko einer Kontosperrung, wenn sich die Netzwerkbedingungen unerwartet ändern.

Geben Sie dies --region us-east-1 für alle Schreibvorgänge an Richtlinien an. AWS Sign-In AWS repliziert weltweit Richtlinien aus dieser Region. Lesevorgänge können auf jede Region abzielen.

Schritt 1: Erstellen Sie Ressourcenberechtigungserklärungen

Erstellen Sie Berechtigungserklärungen, die Ihre Zugriffskontrollen definieren. Alle Schreibvorgänge erfordern --region us-east-1 (der AWS Sign-In Dienst akzeptiert Richtlinienänderungen nur in dieser Region). Die übrigen Parameter (--source-vpc,--source-ip,--requested-region,--excluded-principal) definieren die Bedingungen in Ihrer Richtlinie. --requested-region us-west-2Fügt beispielsweise eine Bedingung hinzu, die die Anmeldung auf den regionalen Anmeldeendpunkt us-west-2 einschränkt.

Beispiel — Beschränken Sie den Zugriff auf die Unternehmens-VPC:

aws signin put-resource-permission-statement \ --source-vpc vpc-0abc123def456789 \ --requested-region us-west-2 \ --excluded-principal "arn:aws:iam::123456789012:user/EmergencyAdmin" \ --client-token unique-request-id-12345 \ --region us-east-1

Beispiel — Beschränken Sie den Zugriff auf einen bestimmten IP-Bereich:

aws signin put-resource-permission-statement \ --source-ip "IP_ADDRESS" \ --excluded-principal "arn:aws:iam::123456789012:role/BreakGlassRole" \ --region us-east-1
Anmerkung

Der --excluded-principal Parameter bezeichnet einen ausgeschlossenen Prinzipal, der die Netzwerkeinschränkungen umgeht und so den Notfallzugriff beibehält, falls sich die Netzwerkbedingungen ändern.

Schritt 2: Aktivieren Sie die Konfiguration der Konsolenautorisierung

Der folgende Schritt aktiviert die Richtliniendurchsetzung für den Konsolenanmeldevorgang in Ihrem Konto oder Ihrer Organisation. Ressourcenberechtigungserklärungen können jederzeit erstellt werden, sie werden jedoch erst ausgewertet, wenn die Konsolenautorisierung aktiviert ist.

Warnung

Durch die Aktivierung der Konsolenautorisierung können Principals gesperrt werden, wenn Ihre Netzwerkbedingungen falsch konfiguriert sind oder wenn eine bestehende Service Control Policy (SCP) oder Resource Control Policy (RCP) die Aktionen verweigert. AWS Sign-In Bevor Sie die Konsolenautorisierung aktivieren, überprüfen Sie, ob Ihre Berechtigungsanweisungen korrekt sind, und entfernen oder korrigieren Sie alle SCP oder RCP, die,, oder verweigern. signin:Authenticate signin:AuthorizeOAuth2Access signin:CreateOAuth2Token

Für eigenständige Konten:

aws signin put-console-authorization-configuration \ --target-id <your-aws-account-id> \ --region us-east-1

Für AWS Organizations:

aws signin put-console-authorization-configuration \ --target-id <your-aws-organization-id> \ --region us-east-1

Überprüfen Sie die Konfiguration:

aws signin get-console-authorization-configuration \ --target-id <your-target-id> \ --region <your-region>

Löschen Sie die Autorisierungskonfiguration für die Konsole:

aws signin delete-console-authorization-configuration \ --target-id <your-target-id> \ --region us-east-1

Schritt 3: Überprüfen Sie Ihre Richtlinie

Alle Genehmigungserklärungen auflisten:

aws signin list-resource-permission-statements \ --max-results 50 \ --region <your-region>

Rufen Sie die vollständige konsolidierte Richtlinie ab:

aws signin get-resource-policy \ --region <your-region>

Der get-resource-policy Befehl gibt die vollständige ressourcenbasierte Richtlinie zurück, die sich aus all Ihren Berechtigungsanweisungen zusammensetzt. Überprüfen Sie diese Richtlinie, um sicherzustellen, dass sie Ihren beabsichtigten Zugriffskontrollen entspricht, bevor Sie den Konsolenzugriff testen.

Regionale Verfügbarkeit

APIs zur Konsolenautorisierung sind in allen AWS kommerziellen Regionen verfügbar. Sie können diese APIs von jeder Region aus aufrufen, in der Sie tätig sind.

Wichtig

Schreibvorgänge (put-console-authorization-configuration,put-resource-permission-statement,delete-console-authorization-configuration,delete-resource-permission-statement) müssen in der us-east-1 Region ausgeführt werden. In erstellte Richtlinien us-east-1 werden automatisch global repliziert. Lesevorgänge (get-console-authorization-configuration,list-resource-permission-statements,get-resource-policy) können von jeder Region aus ausgeführt werden.

Die Richtlinienstruktur verstehen

AWS Sign-In Richtlinien enthalten zwei Aussagen, die verschiedene Phasen des Anmeldevorgangs auf der Konsole schützen:

  • Pre-authentication Anweisung (Aktion:signin:Authenticate): Wird ausgewertet, wenn die Anmeldeanforderung empfangen wird, bevor die Authentifizierung abgeschlossen ist. Der globale Schlüssel aws:PrincipalArn ist in dieser Phase nicht verfügbar, da die Identität des Prinzipals nicht bestätigt wurde. In dieser Phase signin:PrincipalArn ist es möglich, bestimmte Prinzipale von Netzwerkeinschränkungen auszunehmen. Network-based In dieser Phase stehen Bedingungsschlüssel zur Evaluierung zur Verfügung.

  • Post-authentication Anweisung (Aktion:signin:AuthorizeOAuth2Access,signin:CreateOAuth2Token): Wird nach der Authentifizierung während des OAuth-Token-Austauschs ausgewertet. Wird verwendetaws:PrincipalArn, um bestimmte Prinzipale auszunehmen. In dieser Phase stehen alle netzwerkbasierten und identitätsbasierten Bedingungsschlüssel zur Evaluierung zur Verfügung.

Beide Anweisungen sind erforderlich, da bei der Konsolenanmeldung OAuth 2.0 verwendet wird, bei dem alle drei Aktionen nacheinander ausgeführt werden. Eine Richtlinie mit nur einer Anweisung lässt die andere Phase ungeschützt. signin:PrincipalArnunterstützt Root-Benutzer-, IAM-Benutzer- und Rollenprinzipaltypen. aws:PrincipalArnunterstützt alle Prinzipaltypen (Root-Benutzer, IAM-Benutzer, Verbundbenutzer, Rolle).

Beispiele für Richtlinien

Beispiel 1: RCP mit Netzwerkperimeter und ausgeschlossenen Principals

Die folgende Resource Control Policy (RCP) verweigert allen Konten in Ihrer Organisation die AWS-Managementkonsole Anmeldung von außerhalb Ihres Unternehmensnetzwerks. Bestimmte ausgeschlossene Hauptbenutzer sind vom Notfallzugriff ausgenommen. Da VPC-IDs nur innerhalb einer Region eindeutig sind, beinhaltet die Richtlinie eine dritte Aussage, die den VPC-based Zugriff auf die erwartete Region festlegt.

Die EnforceNetworkPerimeterPreAuth Erklärung dient signin:PrincipalArn dazu, ausgeschlossene Principals in der Phase vor der Authentifizierung auszunehmen. EnforceNetworkPerimeterPostAuthIn der Erklärung werden ausgeschlossene Hauptbenutzer aws:PrincipalArn nach der Authentifizierung ausgenommen. Die EnforceSourceVPCRegion Anweisung stellt sicher, dass die Anforderungsregion mit der VPC-Region übereinstimmt, wodurch der Zugriff auf die erwartete Region für die angegebene VPC eingeschränkt wird.

{ "Version": "2012-10-17", "Statement": [ { "Sid": "EnforceNetworkPerimeterPreAuth", "Effect": "Deny", "Principal": "*", "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::777788889999:user/EmergencyUser", "arn:aws:iam::777788889999:role/OrgBreakGlassRole" ] }, "NotIpAddressIfExists": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringNotEquals": { "aws:SourceVpc": "<my-vpc>" } } }, { "Sid": "EnforceNetworkPerimeterPostAuth", "Effect": "Deny", "Principal": "*", "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": [ "arn:aws:iam::111122223333:root", "arn:aws:iam::444455556666:root", "arn:aws:iam::777788889999:user/EmergencyUser", "arn:aws:iam::777788889999:role/OrgBreakGlassRole" ] }, "NotIpAddressIfExists": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringNotEquals": { "aws:SourceVpc": "<my-vpc>" } } }, { "Sid": "EnforceSourceVPCRegion", "Effect": "Deny", "Principal": "*", "Action": [ "signin:Authenticate", "signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access" ], "Resource": "*", "Condition": { "StringEquals": { "aws:SourceVpc": "<my-vpc>" }, "StringNotEqualsIfExists": { "aws:RequestedRegion": "<my-vpc-region>" } } } ] }

Diese Richtlinie:

  • Verweigert den Zugriff auf die Anmeldeseite, es sei denn, die Anfrage stammt aus dem Unternehmens-IP-Bereich oder der Unternehmens-VPC. Ausgeschlossene Root-Konten und IAM-Benutzer werden per (Vorauthentifizierung) ausgenommen. signin:PrincipalArn

  • Verweigert den Austausch von OAuth-Tokens, sofern es sich nicht um den IP-Bereich des Unternehmens oder die VPC handelt. Ausgeschlossene Root-Konten, IAM-Benutzer und Rollen werden per aws:PrincipalArn (globaler Schlüssel nach der Authentifizierung) ausgenommen.

  • Wenn eine Anfrage von der angegebenen VPC kommt, die Region jedoch nicht übereinstimmt, wird der Zugriff verweigert. AWS VPC-IDs sind innerhalb einer Region eindeutig, und dieselbe VPC-ID kann in verschiedenen Regionen existieren.

  • Gilt global für Ihre gesamte AWS-Organisation, wenn es als RCP konfiguriert ist.

Beispiel 2: Resource-based Richtlinie für den IP-based Zugriff mit ausgeschlossenem Hauptbenutzer

Die folgende ressourcenbasierte Richtlinie verweigert allen Prinzipalen, die Anfragen von außerhalb des angegebenen IP-Bereichs stellen, den Konsolenzugriff, wobei ein ausgeschlossener Prinzipal ausgenommen ist. Die Richtlinie enthält zwei Anweisungen: eine Anweisung vor der Authentifizierung, die den dienstspezifischen signin:PrincipalArn Schlüssel verwendet, und eine Anweisung nach der Authentifizierung, die den globalen Schlüssel verwendet. aws:PrincipalArn

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:Authenticate"], "Resource": "*", "Condition": { "ArnNotEquals": { "signin:PrincipalArn": "<excluded-principal-arn>" }, "NotIpAddress": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringEquals": { "aws:ResourceAccount": "<my-aws-account-id>" } } }, { "Effect": "Deny", "Principal": { "AWS": "*" }, "Action": ["signin:CreateOAuth2Token", "signin:AuthorizeOAuth2Access"], "Resource": "*", "Condition": { "ArnNotEquals": { "aws:PrincipalArn": "<excluded-principal-arn>" }, "NotIpAddress": { "aws:SourceIp": "<my-corporate-cidr>" }, "StringEquals": { "aws:ResourceAccount": "<my-aws-account-id>" } } } ] }

Diese Richtlinie:

  • Verweigert allen Principals den Zugriff, es sei denn, sie stellen eine Verbindung über den IP-Bereich her. <my-corporate-cidr>

  • Schließt den ausgeschlossenen Prinzipal mithilfe von signin:PrincipalArn (Vorauthentifizierung) und aws:PrincipalArn (Nachauthentifizierung) von Netzwerkeinschränkungen aus.

  • Gilt nur für das spezifische Konto, für das die ressourcenbasierte Richtlinie konfiguriert ist (identifiziert durch). <my-aws-account-id>

Best Practices

Konfigurieren Sie ausgeschlossene Principals für den Zugriff auf die Notfallwiederherstellung

AWS empfiehlt, mindestens einen ausgeschlossenen Benutzer zu konfigurieren, bevor Autorisierungsrichtlinien für die Konsole in der Produktion durchgesetzt werden. In der Phase vor der Authentifizierung schließt der signin:PrincipalArn Bedingungsschlüssel Root-Benutzer, IAM-Benutzer und Rollenprinzipale aus. In der Phase nach der Authentifizierung schließt der aws:PrincipalArn Bedingungsschlüssel alle Prinzipaltypen (Root-Benutzer, IAM-Benutzer, Verbundbenutzer, Rolle) aus.

Ausgeschlossene Prinzipale sind optional, aber wenn sie weggelassen werden, erhöht sich das Risiko einer Kontosperrung, wenn sich die Netzwerkbedingungen unerwartet ändern oder wenn Richtlinien falsch konfiguriert sind.

Empfohlene Konfigurationsschritte für ausgeschlossene Prinzipale:

  1. Erstellen Sie eine ausgeschlossene IAM-Rolle (z. B.). BreakGlassRole

  2. Für ausgeschlossene Rollen ist MFA in der Rollenvertrauensrichtlinie erforderlich.

  3. Gewähren Sie der ausgeschlossenen Identität nur die Mindestberechtigungen, die für die Notfallwiederherstellung erforderlich sind.

  4. Nehmen Sie den ausgeschlossenen Prinzipal-ARN sowohl in die Richtlinienanweisungen vor der Authentifizierung (signin:PrincipalArn) als auch nach der Authentifizierung (aws:PrincipalArn) auf.

  5. Dokumentieren Sie das Wiederherstellungsverfahren und bewahren Sie es sicher draußen auf. AWS

  6. Testen Sie den ausgeschlossenen Hauptzugriff regelmäßig, um sicherzustellen, dass er bei Bedarf funktioniert.

Pflegen Sie die Zugangswege für die Wiederherstellung

Stellen Sie zusätzlich zu dem oben beschriebenen ausgeschlossenen Hauptbenutzer sicher, dass alternative Zugriffsmethoden verfügbar sind, falls die Autorisierungsrichtlinien der Konsole die Anmeldung unerwartet blockieren:

  • Role-based Programmatischer Zugriff: Die Autorisierungsrichtlinien für die Konsole gelten nur für die interaktive Konsolenanmeldung. Sie gelten nicht für API-Anfragen, die mit Sigv4 signiert wurden. Wenn Sie programmgesteuerten Zugriff haben (z. B. vorhandene Zugriffsschlüssel, eine kontoübergreifende Rolle), verwenden Sie diesen, um die einschränkende Richtlinie aufzurufen signin:DeleteConsoleAuthorizationConfiguration und zu entfernen. Die Anmeldeinformationen müssen signin:DeleteConsoleAuthorizationConfiguration Berechtigungen enthalten (in der AWSSignInResourcePolicyManagement verwalteten Richtlinie enthalten). AWS empfiehlt temporäre Anmeldeinformationen gegenüber langfristigen IAM-Benutzerzugriffsschlüsseln. Bei Mitgliedskonten können Administratoren des Verwaltungskontos davon ausgehen, dass sie diese temporären Anmeldeinformationen OrganizationAccountAccessRole im Mitgliedskonto (aws sts assume-role) abrufen.

  • AWS Support-Wiederherstellung: Halten Sie die E-Mail-Adresse und Telefonnummer Ihres Root-Benutzerkontos auf dem neuesten Stand. Wenn sowohl der ausgeschlossene Hauptzugriff als auch der programmatische Zugriff nicht verfügbar sind, kann der AWS Support nach der Identitätsprüfung einen Link zum Wiederherstellungsportal bereitstellen. Den vollständigen Nach der Aktivierung der Konsolenautorisierung wurde mein Konto gesperrt Wiederherstellungsprozess finden Sie unter.

Testen Sie vor der Bereitstellung in der Produktion

AWS empfiehlt, restriktive RCPs nicht an das Stammverzeichnis Ihrer Organisation anzuhängen, ohne die Auswirkungen der Richtlinie auf Konten gründlich zu testen. Erstellen Sie stattdessen eine Organisationseinheit, in die Sie Ihre Konten einzeln oder zumindest in geringer Anzahl verschieben können, um sicherzustellen, dass Sie Benutzer nicht versehentlich von wichtigen Konten ausschließen.

Arbeitsablauf testen:

  1. Erstellen Sie eine einzige Berechtigungserklärung mit Ihren primären Netzwerkeinschränkungen.

  2. Aktivieren Sie die Konsolenautorisierung für ein Konto, das nicht zur Produktion verwendet wird.

  3. Testen Sie den Konsolenzugriff sowohl von erlaubten als auch von verweigerten Netzwerken aus.

  4. Überprüfen Sie die CloudTrail Amazon-Protokolle, um das Verhalten bei der Bewertung von Richtlinien zu bestätigen.

  5. Testen Sie den Zugriff mit Ihrem ausgeschlossenen Hauptbenutzer.

  6. Erweitern Sie schrittweise auf weitere Netzwerke und Konten.

  7. Überwachen Sie das System, bevor Sie es in Produktionskonten durchsetzen.

Entwerfen Sie mit tiefgehendem Schutz

Verwenden Sie AWS Sign-In ressourcenbasierte Richtlinien und Richtlinien zur Ressourcenkontrolle als eine Ebene innerhalb einer umfassenderen Sicherheitsstrategie. AWS Sign-In Richtlinien schränken den Konsolenzugriff je nach Netzwerkstandort und Prinzidentität ein. Kombinieren Sie sie mit anderen Richtlinientypen, um umfassende Zugriffskontrollen zu erstellen:

  • AWS Sign-In Richtlinien (ressourcenbasierte Richtlinien und RCPs): Beschränken Sie den Konsolenzugriff auf Grundlage des Netzwerkstandorts und der Prinzidentität vor, während und nach der Authentifizierung.

  • IAM-Richtlinien: Steuern Sie, welche Aktionen Benutzer nach der Anmeldung ausführen können.

  • Service Control Policies (SCPs): Wenden Sie unternehmensweite Genehmigungsrichtlinien für alle Principals an.

  • VPC-Endpunktrichtlinien: Steuern Sie, auf welche Dienste und Konten über VPC-Endpunkte zugegriffen werden kann.

Kontinuierliche Überwachung und Prüfung

AWS CloudTrail zeichnet automatisch alle AWS Sign-In Richtlinienbewertungen und Konfigurationsänderungen auf. Sie können sich diese Ereignisse bis zu 90 Tage lang im CloudTrail Ereignisverlauf anzeigen lassen. Für eine längere Aufbewahrung können Sie Ereignisse an Amazon S3 weiterleiten, indem Sie einen Trail erstellen (siehe Erstellen eines Trails). Für Benachrichtigungen in Echtzeit können Sie EventBridge Amazon-Regeln erstellen, die AWS Sign-In Ereignissen entsprechen, Ihren Trail so konfigurieren, dass er an eine CloudWatch Logs-Protokollgruppe für metrische filterbasierte Alarme gesendet wird, oder Ereignisse an Ihre bestehende SIEM-Lösung weiterleiten.

Anwendungsfälle

Durchsetzung der Netzwerkgrenzen

Beschränken Sie den Konsolenzugriff auf Unternehmens-VPCs oder zugelassene IP-Bereiche. Verwenden Sie ressourcenbasierte Richtlinien für einzelne Konten oder Ressourcenkontrollrichtlinien (RCPs) für die unternehmensweite Durchsetzung, um sicherzustellen, dass sich Benutzer nur von vertrauenswürdigen Netzwerkstandorten aus anmelden können, um unbefugten Zugriff von öffentlichen oder nicht vertrauenswürdigen Netzwerken aus zu verhindern.

Beispielszenario: Ein Unternehmen verlangt, dass der gesamte Konsolenzugriff über sein Unternehmensnetzwerk oder über zugelassene VPCs erfolgt. AWS Sie konfigurieren eine ressourcenbasierte Richtlinie für ein einzelnes Konto oder ein RCP in ihrer gesamten Organisation, die den Zugriff von allen anderen Netzwerken aus verweigert und gleichzeitig den Notfalladministratoren den Zugriff auf die Notfallwiederherstellung gewährt.

Anforderungen zur Einhaltung der Vorschriften

Erfüllen Sie die gesetzlichen Anforderungen für netzwerkbasierte Zugriffskontrollen. In vielen Compliance-Frameworks müssen Unternehmen den Zugriff auf sensible Systeme je nach Netzwerkstandort einschränken. AWS Sign-In Richtlinien bieten überprüfbare und durchsetzbare Kontrollen, mit denen die Einhaltung dieser Anforderungen nachgewiesen werden kann.

Beispielszenario: Ein Finanzdienstleistungsunternehmen muss Vorschriften einhalten, die den Konsolenzugriff nur über zugelassene Netzwerke vorschreiben. Sie verwenden RCPs, um unternehmensweite Netzwerkbeschränkungen durchzusetzen und AWS CloudTrail Protokolle als Nachweis für die Einhaltung der Vorschriften zu führen.

Multi-account Unternehmensführung

Implementieren Sie konsistente Richtlinien für den Konsolenzugriff in allen AWS Organizations. Verwenden Sie RCPs, um standardmäßige Netzwerkeinschränkungen für alle Mitgliedskonten durchzusetzen und so eine konsistente Sicherheitslage zu gewährleisten, ohne dass eine individuelle Konfiguration auf Kontoebene erforderlich ist.

Beispielszenario: Ein Unternehmen mit mehr als 100 AWS Konten verwendet RCPs, um eine Richtlinie durchzusetzen, nach der der gesamte Konsolenzugriff von VPC-Endpunkten innerhalb seines Unternehmens ausgehen muss, wodurch konsistente Netzwerkkontrollen für alle Konten bestätigt werden.

Third-party Zugriffskontrolle

Gewähren Sie Partnern oder Auftragnehmern aus bestimmten Netzwerken temporären Konsolenzugriff. Organizations können einen zeitlich begrenzten, netzwerkbeschränkten Konsolenzugriff für externe Parteien einrichten, ohne die allgemeine Sicherheitslage zu gefährden.

Beispielszenario: Ein Unternehmen muss einem Beratungsunternehmen temporären Konsolenzugriff gewähren. Sie erstellen eine ressourcenbasierte Richtlinie, die den Zugriff nur über die bekannten IP-Bereiche des Beratungsunternehmens und nur für die den Beratern zugewiesenen IAM-Rollen ermöglicht.

Beschränken Sie den Konsolenzugriff auf bestimmte Prinzipale

Erlauben Sie nur einer bestimmten Gruppe von Prinzipalen, sich bei dem anzumelden AWS-Managementkonsole, und verweigern Sie allen anderen, unabhängig vom Netzwerkstandort. Dies ist nützlich für Kunden, die keine VPC-Endpoints verwenden und identitätsbasierte Konsoleneinschränkungen wünschen. Principals, denen die Konsolenanmeldung verweigert wird, behalten ihren programmatischen Zugriff. AWS Sign-In Richtlinien regeln nur die Konsolenanmeldung, und nur die Principals, die Sie ausgenommen haben, können sich anmelden.

Beispielszenario: Ein Unternehmen möchte, dass nur seine Administratoren die Konsole verwenden. Sie konfigurieren ein RCP, das die Konsolenanmeldung für alle Prinzipale mit Ausnahme der Administratorprinzipal-ARNs verweigert. Eine Amazon EC2 EC2-Instance-Rolle mit gültigen Anmeldeinformationen kann sich nicht bei der Konsole anmelden, da es sich nicht um einen ausgenommenen Principal handelt, obwohl sie ihre programmatischen Berechtigungen behält. Dies behebt den häufigen Fall, dass Anmeldeinformationen für Instance-Rollen für die Konsolenanmeldung verwendet werden.

Problembehandlung bei der Konsolenzugriffskontrolle

Ich kann mich aufgrund von Netzwerkproblemen in Sign-in ressourcenbasierten Richtlinien nicht anmelden

Möglicherweise wird eine der folgenden Fehlermeldungen angezeigt, wenn der Zugriff durch eine AWS Sign-In Richtlinie verweigert wird:

  • „Ihre Authentifizierungsinformationen sind falsch. Bitte versuchen Sie es erneut.“ (Ablehnung vor der Authentifizierung durch eine ressourcenbasierte Richtlinie)

  • „Authentifizierung fehlgeschlagen Ungültige Anfrage“ (Ablehnung vor der Authentifizierung durch RCP)

  • „Authentifizierung fehlgeschlagen: Um auf dieses Konto zuzugreifen, melden Sie sich von einem anderen Netzwerk aus an oder wenden Sie sich an Ihren Administrator, um weitere Informationen zu erhalten“ (Ablehnung nach der Authentifizierung)

Wenn Sie einen dieser Fehler sehen und der Meinung sind, dass Ihr Zugriff erlaubt sein sollte, wenden Sie sich an Ihren AWS Administrator. Sie können die CloudTrail Protokolle auf ConsoleLogin Ereignisse mit der Angabe errorMessage „Autorisierung aufgrund einer ressourcenbasierten Richtlinie verweigert“ oder „Autorisierung aufgrund einer Ressourcenkontrollrichtlinie verweigert“ überprüfen, um festzustellen, welche Richtlinienaussage den Zugriff verweigert hat.

Mögliche Ursachen:

  • Ihre Quell-IP-Adresse liegt nicht im zulässigen CIDR-Bereich.

  • Sie sind nicht mit der erforderlichen VPC oder dem VPC-Endpunkt verbunden.

  • Sie greifen auf einen regionalen Anmeldeendpunkt zu, der nicht der erwarteten Region in der Richtlinie entspricht.

  • Ihr Haupt-ARN ist in den ausgeschlossenen Prinzipalen der Richtlinie nicht korrekt aufgeführt.

  • Die Richtlinie wurde kürzlich aktualisiert, und die Änderung wurde noch nicht global repliziert.

Auflösung

  • Stellen Sie sicher, dass Sie mit Ihrem Unternehmensnetzwerk oder VPN verbunden sind.

  • Vergewissern Sie sich, dass Sie über den richtigen VPC-Endpunkt zugreifen, wenn VPC-Endpunktbeschränkungen konfiguriert sind.

  • Wenden Sie sich an Ihren AWS Administrator, um die Richtlinienkonfiguration zu überprüfen und zu bestätigen, welche Netzwerke autorisiert sind.

  • Wenn Sie als ausgeschlossener Prinzipal konfiguriert sind, stellen Sie sicher, dass Ihr Prinzipal-ARN in der Liste der ausgeschlossenen Prinzipale korrekt konfiguriert ist.

  • Wenn kürzlich Richtlinienänderungen vorgenommen wurden, warten Sie einige Minuten, bis die globale Replikation abgeschlossen ist.

Für Administratoren, die dieses Problem diagnostizieren:

  • Überprüfen Sie die AWS CloudTrail Protokolle auf Ereignisse zur Richtlinienbewertung, um festzustellen, welche Richtlinienerklärung den Zugriff verweigert hat.

  • Wird verwendetaws signin get-resource-policy, um die aktuelle Richtlinienkonfiguration zu überprüfen.

  • Stellen Sie sicher, dass der Netzwerkstandort des Benutzers den Bedingungen der Richtlinie entspricht.

  • Vergewissern Sie sich, dass ausgeschlossene Prinzipale korrekt konfiguriert sind, falls der Benutzer von Netzwerkeinschränkungen ausgenommen werden soll.

Nach der Aktivierung der Konsolenautorisierung wurde mein Konto gesperrt

Wenn Sie die Konsolenautorisierung konfiguriert haben und nicht mehr auf Ihr Konto zugreifen können, haben Sie möglicherweise keine ausgeschlossenen Principals konfiguriert, bevor Sie die Richtlinie durchgesetzt haben.

Abhängig von Ihrem Kontotyp und den verfügbaren Anmeldeinformationen gibt es mehrere Wege, um den Zugriff wiederherzustellen.

Option 1: Verwenden Sie den programmatischen Zugriff (AWS CLI oder SDK)

Autorisierungsrichtlinien für Konsolen gelten nur für die interaktive Konsolenanmeldung. Sie gelten nicht für API-Anfragen, die mit Sigv4 signiert wurden. Wenn Sie programmgesteuerten Zugriff haben (z. B. vorhandene Zugriffsschlüssel, eine kontoübergreifende Rolle), verwenden Sie diesen, um die einschränkende Richtlinie aufzurufen signin:DeleteConsoleAuthorizationConfiguration und zu entfernen. Die von Ihnen verwendeten Anmeldeinformationen müssen über eine Anrufberechtigung verfügen. signin:DeleteConsoleAuthorizationConfiguration Die AWSSignInResourcePolicyManagement verwaltete Richtlinie beinhaltet diese Berechtigung. AWS empfiehlt temporäre Anmeldeinformationen gegenüber langfristigen IAM-Benutzerzugriffsschlüsseln. Bei Mitgliedskonten können Administratoren des Verwaltungskontos davon ausgehenOrganizationAccountAccessRole, dass sie temporäre Anmeldeinformationen für das Mitgliedskonto erhalten. Diese Rolle wird nicht automatisch für Konten erstellt, die eingeladen wurden, der Organisation beizutreten.

aws signin delete-console-authorization-configuration \ --target-id <your-aws-account-id> \ --region us-east-1

Oder löschen Sie bestimmte Berechtigungserklärungen:

# First, list statements to get the statement ID aws signin list-resource-permission-statements \ --region us-east-1 # Then delete the problematic statement aws signin delete-resource-permission-statement \ --statement-id <statement-id> \ --region us-east-1

Option 2: AWS Support kontaktieren

Wenn Sie keinen programmatischen Zugriff haben und den OrganizationAccountAccessRole für den Kontozugriff nicht verwenden können, wenden Sie sich an den AWS Support, um den Lockout-Wiederherstellungsprozess einzuleiten.

Der Wiederherstellungsprozess funktioniert wie folgt:

  1. Wenn Sie das Problem mit den oben genannten Optionen nicht lösen können, öffnen Sie eine Support-Anfrage im AWS Support Center. AWS Der Support überprüft Ihre Identität, bevor er Ihr Konto überprüft. Zu den Überprüfungsmethoden können die Bestätigung der E-Mail-Adresse des Root-Benutzerkontos, die Beantwortung eines Telefonanrufs zur Bestätigung oder die Beantwortung von Fragen zur Kontosicherheit gehören.

  2. AWS Der Support bestätigt, dass das Problem mit dem Konsolenzugriff auf eine ressourcenbasierte Richtliniensperrung zurückzuführen ist.

  3. AWS Der Support teilt einen Link zum Wiederherstellungsportal. Verwenden Sie diesen Link, um sich mit einem IAM-Prinzipal in dem Konto anzumelden, das über die entsprechenden signin:DeleteConsoleAuthorizationConfiguration Berechtigungen verfügt. Diese Berechtigung ermöglicht es dem Principal, die Autorisierungskonfiguration für die Konsole zu löschen, die die Sperrung verursacht hat.

Wichtig

Das Wiederherstellungsportal entfernt die gesamte Konsolenautorisierungskonfiguration für das Konto, einschließlich aller Ressourcenberechtigungserklärungen. Das Wiederherstellungsportal erlaubt keine Neukonfiguration AWS Sign-In ressourcenbasierter Richtlinien.

Der Link zum Wiederherstellungsportal läuft 72 Stunden ab, nachdem der AWS Support ihn freigegeben hat. Wenn Sie die Wiederherstellung in diesem Fenster nicht abschließen, wenden Sie sich an den AWS Support, um den Vorgang neu zu starten.

Nach Wiedererlangung des Zugriffs:

  • Überprüfen und aktualisieren Sie Ihre Ressourcenberechtigungserklärungen, sodass sie korrekt konfigurierte ausgeschlossene Prinzipale einbeziehen.

  • Testen Sie den Konsolenzugriff von den erwarteten Netzwerken aus, bevor Sie die Konsolenautorisierung erneut aktivieren.

  • Dokumentieren Sie Ihre Wiederherstellungsverfahren zum future Nachschlagen.

Änderungen, die ich vornehme, sind nicht immer direkt sichtbar

Richtlinienänderungen werden global repliziert, die Replikation kann jedoch einige Minuten dauern.

Auflösung

  • Warten Sie nach den Richtlinienänderungen einige Minuten, bis die globale Replikation abgeschlossen ist.

  • Überprüfen Sie Ihre Änderungen mit dem get-resource-policy folgenden Befehl:

aws signin get-resource-policy --region <your-region>
  • Überprüfen Sie die AWS CloudTrail Protokolle auf Ereignisse zur Richtlinienbewertung, um sicherzustellen, dass die neue Richtlinie bewertet wird.

  • Vergewissern Sie sich, dass Sie die richtige Region für Ihre Operationen verwenden (Schreibvorgänge müssen verwendet werdenus-east-1).

  • Wenn Sie VPC-Endpunktbedingungen verwenden, stellen Sie sicher, dass die VPC-Endpunktrichtlinien ebenfalls korrekt konfiguriert sind.

Häufige Probleme bei der Richtlinienreplikation:

  • Anmeldeseite im Cache: Browser können die Anmeldeseite zwischenspeichern. Leeren Sie Ihren Browser-Cache oder verwenden Sie ein Inkognito-Fenster, um Richtlinienänderungen zu testen.

  • Widersprüchliche Aussagen: Wenn Sie mehrere Genehmigungserklärungen haben, vergewissern Sie sich, dass diese nicht miteinander in Konflikt stehen. Dient get-resource-policy zur Überprüfung der konsolidierten Richtlinie.

  • VPC-Endpunktrichtlinien: AWS Sign-In Richtlinien funktionieren in Verbindung mit VPC-Endpunktrichtlinien. Beide müssen den gewünschten Zugriff ermöglichen.