# Identity and Access Management
<a name="a-identity-and-access-management"></a>

**Topics**
+ [SICH 2  Was ist bei der Verwaltung der Authentifizierung für Personen und Rechner zu beachten?](w2aac19b7b7b5.md)
+ [SICH 3  Wie verwalten Sie Berechtigungen für Personen und Maschinen?](w2aac19b7b7b7.md)

# SICH 2  Was ist bei der Verwaltung der Authentifizierung für Personen und Rechner zu beachten?
<a name="w2aac19b7b7b5"></a>

 Es gibt zwei Arten von Identitäten, die Sie beim Betrieb sicherer AWS-Workloads verwalten müssen. Wenn Sie wissen, welche Art von Identität Sie verwalten und wie Sie Zugriff gewähren müssen, können Sie sicherstellen, dass die richtigen Identitäten unter den richtigen Bedingungen Zugriff auf die richtigen Ressourcen haben. 

Menschliche Identitäten: Ihre Administratoren, Entwickler, Bediener und Endbenutzer benötigen eine Identität für den Zugriff auf Ihre AWS-Umgebungen und -Anwendungen. Dies sind Mitglieder Ihrer Organisation oder externe Benutzer, mit denen Sie zusammenarbeiten, und die mit Ihren AWS-Ressourcen über einen Webbrowser, eine Client-Anwendung oder interaktive Befehlszeilen-Tools interagieren. 

Maschinenidentitäten: Ihre Service-Anwendungen, betrieblichen Tools und Workloads benötigen eine Identität, um Anforderungen an AWS-Services zu stellen, z. B. um Daten zu lesen. Zu diesen Identitäten gehören Maschinen, die in Ihrer AWS-Umgebung ausgeführt werden, z. B. Amazon EC2-Instances oder AWS-Funktionen. Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Darüber hinaus verfügen Sie möglicherweise auch über Maschinen außerhalb von AWS, die Zugriff auf Ihre AWS-Umgebung benötigen. 

**Topics**
+ [SEC02-BP01 Verwenden von starken Anmeldemechanismen](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](sec_identities_unique.md)
+ [SEC02-BP03 Sicheres Speichern und Verwenden von Secrets](sec_identities_secrets.md)
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md)
+ [SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen](sec_identities_audit.md)
+ [SEC02-BP06 Nutzen von Benutzergruppen und Attributen](sec_identities_groups_attributes.md)

# SEC02-BP01 Verwenden von starken Anmeldemechanismen
<a name="sec_identities_enforce_mechanisms"></a>

 Erzwingen Sie die Mindestlänge des Passworts und informieren Sie Benutzer, dass sie gängige oder wiederverwendete Passwörter vermeiden sollen. Erzwingen Sie die Multi-Factor Authentication (MFA) mit Software- oder Hardwaremechanismen und stellen Sie so eine zusätzliche Verifizierungsstufe bereit. Wenn Sie beispielsweise IAM Identity Center als Identitätsquelle verwenden, konfigurieren Sie die MFA-Einstellung „context-aware“ oder „always-on“ und erlauben Sie Benutzern, ihre eigenen MFA-Geräte zu registrieren, um die Akzeptanz zu beschleunigen. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, konfigurieren Sie Ihren Identitätsanbieter für MFA. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Erstellen Sie eine AWS Identity and Access Management-Richtlinie (IAM), um die MFA-Anmeldung zu erzwingen: Erstellen Sie eine vom Kunden verwaltete IAM-Richtlinie, die alle IAM-Aktionen untersagt, außer die, mit denen die Benutzer Rollen annehmen, ihre eigenen Anmeldeinformationen ändern und ihre MFA-Geräte verwalten können (auf der [Seite „My Security Credentials“)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1). 
+  Aktivieren Sie MFA beim Identitätsanbieter: Aktivieren Sie [MFA](https:/aws.amazon.com/iam/details/mfa) bei dem Identitätsanbieter oder Single Sign-on-Service, den Sie verwenden, z. B. [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html). 
+  Konfigurieren Sie eine sichere Passwortrichtlinie: Konfigurieren Sie eine sichere [Passwortrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) in IAM- und Identitätsverbundsystemen, um sich vor Brute-Force-Angriffen zu schützen. 
+  [Regelmäßiges Ändern von Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials): Sorgen Sie dafür, dass Administratoren Ihres Workloads die eigenen Passwörter und ggf. Zugriffsschlüssel regelmäßig ändern. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected) 
+  [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected) 
+   [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected) 
+  [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Relevante Videos:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit IAM Identity Center)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP02 Verwenden von temporären Anmeldeinformationen
<a name="sec_identities_unique"></a>

 Erzwingen Sie, dass Identitäten [temporäre Anmeldeinformationen dynamisch](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). Verwenden Sie für Identitäten von Arbeitskräften AWS IAM Identity Center oder einen Verbund mit AWS Identity and Access Management-Rollen (IAM), um auf AWS-Konten zuzugreifen. Für Maschinenidentitäten, wie Amazon Elastic Compute Cloud-Instances (Amazon EC2) oder AWS Lambda-Funktionen, fordern Sie die Verwendung von IAM-Rollen anstelle von IAM-Benutzern mit langfristigen Zugriffsschlüsseln. 

Für Identitäten von Personen, die die AWS-Managementkonsole verwenden, müssen Benutzer temporäre Anmeldeinformationen anfordern und einen Verbund mit AWS erstellen. Dies kann über das AWS IAM Identity Center-Benutzerportal erfolgen. Für Benutzer, die CLI-Zugriff benötigen, stellen Sie sicher, dass sie die [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/)verwenden, die die direkte Integration mit IAM Identity Center unterstützt. Benutzer können CLI-Profile erstellen, die mit IAM-Identity-Center-Konten und -Rollen verknüpft sind. Die CLI ruft automatisch AWS-Anmeldeinformationen aus IAM Identity Center ab und aktualisiert sie in Ihrem Namen. Dadurch müssen temporäre AWS-Anmeldeinformationen nicht mehr aus der IAM Identity Center-Konsole kopiert und eingefügt werden. Für SDK sollten sich Benutzer zur Übernahme von Rollen auf AWS -Security-Token-Service (AWS STS) verlassen, um temporäre Anmeldeinformationen zu erhalten. In bestimmten Fällen sind temporäre Anmeldeinformationen möglicherweise nicht praktisch. Sie sollten sich der Risiken bewusst sein, die durch das Speichern von Zugriffsschlüsseln entstehen, diese häufig ändern und wenn möglich eine Multi-Faktor-Authentifizierung (MFA) verlangen. Bestimmen Sie anhand der Informationen zum letzten Zugriff, wann Zugriffsschlüssel rotiert oder entfernt werden sollten.

Wenn Sie Konsumenten Zugriff auf Ihre AWS-Ressourcen gewähren müssen, verwenden Sie [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) -Identitäten-Pools und weisen Sie ihnen temporäre Anmeldeinformationen mit eingeschränkten Berechtigungen für den Zugriff auf Ihre AWS-Ressourcen zu. Die Berechtigungen für jeden Benutzer werden über [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) gesteuert, die Sie erstellen. Sie können Regeln definieren, um die Rolle für jeden Benutzer basierend auf Ansprüchen im ID-Token des Benutzers auszuwählen. Sie können eine Standardrolle für authentifizierte Benutzer definieren. Sie können auch eine separate IAM-Rolle mit eingeschränkten Berechtigungen für Gastbenutzer definieren, die nicht authentifiziert sind.

Für Maschinenidentitäten sollten Sie sich auf IAM-Rollen verlassen, um Zugriff auf AWS zu gewähren. Für Amazon Elastic Compute Cloud-Instances (Amazon EC2) können Sie [Rollen für Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)verwenden. Sie können Ihrer Amazon EC2-Instance eine IAM-Rolle zuweisen, damit Ihre in Amazon EC2 ausgeführten Anwendungen temporäre Sicherheitsanmeldeinformationen verwenden können, die AWS über den Instance Metadata Service (IMDS) automatisch erstellt, verteilt und regelmäßig ändert. Die [aktuelle Version](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) von IMDS schützt vor Schwachstellen, die die temporären Anmeldeinformation offenlegen, und sollten implementiert werden. Für den Zugriff auf Amazon EC2-Instances mithilfe von Schlüsseln oder Passwörtern ist [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) eine sicherere Möglichkeit, auf Ihre Instances zuzugreifen und diese mit einem vorinstallierten Agent ohne das gespeicherte Secret zu verwalten. Darüber hinaus ermöglichen Ihnen andere AWS-Services wie AWS Lambda die Konfiguration einer IAM-Servicerolle, um dem Service Berechtigungen zum Ausführen von AWS-Aktionen unter Verwendung temporärer Anmeldeinformationen zu erteilen. In Situationen, in denen Sie keine temporären Anmeldeinformationen verwenden können, arbeiten Sie mit programmgesteuerten Tools wie [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), um die Rotation und Verwaltung von Anmeldeinformation zu automatisieren.

**Regelmäßiges Überprüfen und Ändern von Anmeldeinformationen: **Eine regelmäßige Validierung, vorzugsweise durch ein automatisiertes Tool, ist erforderlich, um zu überprüfen, ob die richtigen Kontrollen angewendet werden. Für Personenidentitäten sollten Sie festlegen, dass Benutzer ihre Passwörter regelmäßig ändern und anstelle von Zugriffsschlüsseln temporäre Anmeldeinformationen verwenden. Bei der Umstellung von IAM-Benutzern zu zentralisierten Identitäten können Sie [einen Bericht zu Anmeldeinformationen generieren ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html), um Ihre IAM-Benutzer zu überprüfen. Wir empfehlen außerdem, dass Sie die MFA-Einstellungen in Ihrem Identitätsanbieter erzwingen. Sie können [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) einrichten, um diese Einstellungen zu überwachen. Für Maschinenidentitäten sollten Sie sich auf temporäre Anmeldeinformationen mit IAM-Rollen verlassen. In Situationen, in denen dies nicht möglich ist, ist eine häufige Prüfung und Änderung von Zugriffsschlüsseln erforderlich.

**Sicheres Speichern und Verwenden von geheimen Schlüsseln:** Verwenden Sie für Anmeldeinformationen, die nicht IAM-bezogen sind und für die keine temporären Anmeldeinformationen genutzt werden können, z. B. Datenbankanmeldungen, einen Service, der für die Verwaltung von Secrets entwickelt wurde, z. B. [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager vereinfacht die Verwaltung, Änderung und sichere Speicherung verschlüsselter Secrets mit [unterstützten Diensten](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Aufrufe für den Zugriff auf die Secrets werden zu Prüfungszwecken in AWS CloudTrail protokolliert und IAM-Berechtigungen können Zugriff auf sie mit den geringsten Rechten gewähren.

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Implementieren Sie Richtlinien zur geringsten Berechtigung: Weisen Sie IAM-Gruppen und -Rollen Zugriffsrichtlinien zu, die in ihrem Umfang möglichst gering und an den Tätigkeitsbereich der Benutzer angepasst sind. 
  +  [Gewähren von geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  Entfernen Sie unnötige Berechtigungen: Implementieren Sie das Prinzip der geringsten Berechtigung, indem Sie unnötige Berechtigungen zurücknehmen. 
  +  [Reduzieren des Richtlinienbereichs durch Anzeigen der Benutzeraktivität](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
  +  [Anzeigen des Rollenzugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites) 
+  Eine Berechtigungsgrenze ist eine erweiterte Funktion für eine verwaltete Richtlinie. Sie legt die maximalen Berechtigungen fest, die mit einer identitätsbasierten Richtlinie einer IAM-Entität erteilt werden kann. Eine Berechtigungsgrenze erlaubt einer Entität nur die Ausführung jener Aktionen, die sowohl nach ihren identitätsbasierten Richtlinien als auch nach ihren Berechtigungsgrenzen zulässig sind. 
  +  [Übung: IAM-Berechtigungsgrenzen – Übertragung der Rollenerstellung](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 
+  Erwägen Sie die Verwendung von Ressourcen-Tags für Berechtigungen: Mit Tags können Sie den Zugriff auf die AWS-Ressourcen steuern, die das Tagging unterstützen. Sie können IAM-Benutzer und -Rollen auch taggen, um zu steuern, worauf sie zugreifen können. 
  +  [Übung: IAM Tag-basierte Zugriffskontrolle für EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 
  +  [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Relevante Videos:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP03 Sicheres Speichern und Verwenden von Secrets
<a name="sec_identities_secrets"></a>

 Speichern Sie Arbeitskräfte- und Maschinenidentitäten, die Secrets wie Passwörter für Drittanbieter-Anwendungen erfordern, mit automatischer Rotation unter Verwendung der neuesten Branchenstandards in einem spezialisierten Service. Für Anmeldeinformationen, die nicht IAM-bezogen sind und für die keine temporären Anmeldeinformation verwendet werden können, z. B. Datenbankanmeldungen, nutzen Sie einen Service, der für die Verwaltung von Secrets entwickelt wurde, z. B. AWS Secrets Manager. Mit Secrets Manager können Sie bequem verschlüsselte Secrets mit unterstützten Services verwalten, rotieren und sicher speichern. Aufrufe für den Zugriff auf die Secrets werden zu Prüfungszwecken in AWS CloudTrail protokolliert und IAM-Berechtigungen können Zugriff auf sie mit den geringsten Rechten gewähren. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Verwenden Sie AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) ist ein AWS-Service für die einfache Verwaltung von Secrets. Geheime Schlüssel können Datenbank-Anmeldeinformationen, Passwörter, API-Schlüssel von Dritten und sogar beliebiger Text sein. 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 

 **Ähnliche Videos:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4) 

# SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter
<a name="sec_identities_identity_provider"></a>

 Verlassen Sie sich bei Identitäten von Arbeitskräften auf einen Identitätsanbieter, mit dem Sie Identitäten zentral verwalten können. Dadurch ist es einfacher, den Zugriff über mehrere Anwendungen und Services hinweg zu verwalten, da Sie den Zugriff von einem einzigen Standort aus erstellen, verwalten und widerrufen. Wenn beispielsweise jemand Ihr Unternehmen verlässt, können Sie den Zugriff für alle Anwendungen und Services (einschließlich AWS) an einem Standort widerrufen. Dies reduziert die Notwendigkeit mehrerer Anmeldeinformationen und bietet die Möglichkeit der Integration in bereits vorhandene HR-Prozesse. 

Für den Verbund mit einzelnen AWS-Konten können Sie zentrale Identitäten für AWS mit einem SAML 2.0-basierten Anbieter mit AWS Identity and Access Management verwenden. Sie können jeden Anbieter verwenden, der von Ihnen in AWS oder außerhalb von AWS gehostet oder vom AWS Partner bereitgestellt wird und mit dem [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) -Protokoll kompatibel ist. Sie können einen Verbund zwischen Ihrem AWS-Konto und dem von Ihnen gewählten Anbieter verwenden, um einem Benutzer oder einer Anwendung Zugriff zum Aufrufen von AWS-API-Vorgängen zu gewähren, indem Sie über eine SAML-Zusicherung temporäre Sicherheitsanmeldeinformationen abrufen. Webbasiertes SSO wird ebenfalls unterstützt, sodass sich Benutzer über Ihre Website bei der AWS-Managementkonsole anmelden können.

Für den Verbund mit mehreren Konten in Ihrer AWS Organizations können Sie Ihre Identitätsquelle in [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)konfigurieren und angeben, wo Ihre Benutzer und Gruppen gespeichert werden. Nach der Konfiguration ist Ihr Identitätsanbieter Ihre Quelle der Wahrheit. Informationen können mithilfe des SCIM-Protokolls (System for Cross-Domain Identity Management) v2.0 [synchronisiert](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) werden. Anschließend können Sie Benutzer oder Gruppen abrufen und ihnen IAM Identity Center-Zugriff auf AWS-Konten, Cloud-Anwendungen oder beides gewähren.

IAM Identity Center ist in AWS Organizations integriert, sodass Sie Ihren Identitätsanbieter einmal konfigurieren und dann [Zugriff auf vorhandene und neue Konten gewähren](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) können, die in Ihrem Unternehmen verwaltet werden. IAM Identity Center bietet Ihnen einen Standardspeicher, den Sie verwenden können, um Ihre Benutzer und Gruppen zu verwalten. Wenn Sie sich für die Verwendung des IAM Identity Center-Speichers entscheiden, erstellen Sie Ihre Benutzer und Gruppen und weisen deren Zugriffsebene Ihren AWS-Konten und -Anwendungen zu. Beachten Sie dabei die bewährte Methode der geringsten Berechtigung. Alternativ können Sie eine [Verbindung zu Ihrem externen Identitätsanbieter ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)über SAML 2.0 oder eine [Verbindung zu Ihrem Microsoft AD-Verzeichnis](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) über AWS Directory Service herstellen. Nach der Konfiguration können Sie sich bei der AWS-Managementkonsole oder der mobilen AWS-App anmelden, indem Sie sich über Ihren zentralen Identitätsanbieter authentifizieren.

Für die Verwaltung von Endbenutzern oder Verbrauchern Ihrer Workloads, z. B. einer mobilen App, können Sie [Amazon Cognito](http://aws.amazon.com/cognito/). Es bietet Authentifizierung, Autorisierung und Benutzerverwaltung für Ihre Web- und mobilen Anwendungen. Ihre Benutzer können sich direkt mit einem Benutzernamen und Passwort oder über einen Drittanbieter wie Amazon, Apple, Facebook oder Google anmelden.

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Zentralisieren Sie den administrativen Zugriff: Erstellen Sie im IAM-Identitätsanbieter (Identity and Access Management) eine Entität, um eine Vertrauensstellung zwischen Ihrem AWS-Konto und dem Identitätsanbieter (IDP) herzustellen. IAM unterstützt Identitätsanbieter, die mit OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) kompatibel sind. 
  +  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  Zentralisieren Sie den Anwendungszugriff: Erwägen Sie, Amazon Cognito zum Zentralisieren des Anwendungszugriffs zu verwenden. Damit können Sie Ihren Webanwendungen und mobilen Apps auf schnelle und einfache Weise die Benutzerregistrierung und -anmeldung sowie die Zugriffskontrolle hinzufügen. [Amazon Cognito](https://aws.amazon.com/cognito/) lässt sich auf Millionen von Benutzern hochskalieren. Es unterstützt die Anmeldung mit Social-Identity-Anbietern wie Facebook, Google und Amazon sowie mit Unternehmens-Identitätsanbietern über SAML 2.0. 
+  Entfernen Sie alte IAM-Benutzer und -Gruppen: Sobald Sie einen Identitätsanbieter (IDP) verwenden, sollten Sie nicht mehr benötigte IAM-Benutzer und -Gruppen entfernen. 
  +  [Suchen nach ungenutzten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) 
  +  [Löschen einer IAM-Benutzergruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 
+  [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Ähnliche Videos:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen
<a name="sec_identities_audit"></a>

 Wenn Sie sich nicht auf temporäre Anmeldeinformationen verlassen können und langfristige Anmeldeinformationen benötigen, prüfen Sie die Anmeldeinformationen, um sicherzustellen, dass die definierten Kontrollen (z. B. Multi-Faktor-Authentifizierung, MFA) erzwungen und regelmäßig rotiert werden sowie über die entsprechende Zugriffsebene verfügen. Eine regelmäßige Validierung, vorzugsweise durch ein automatisiertes Tool, ist erforderlich, um zu überprüfen, ob die richtigen Kontrollen angewendet werden. Für Personenidentitäten sollten Sie festlegen, dass Benutzer ihre Passwörter regelmäßig ändern und anstelle von Zugriffsschlüsseln temporäre Anmeldeinformationen verwenden. Bei der Umstellung von AWS Identity and Access Management-Benutzern (IAM) zu zentralisierten Identitäten können Sie [einen Bericht zu Anmeldeinformationen generieren ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html), um Ihre IAM-Benutzer zu überprüfen. Wir empfehlen außerdem, dass Sie die MFA-Einstellungen in Ihrem Identitätsanbieter erzwingen. Sie können [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) einrichten, um diese Einstellungen zu überwachen. Für Maschinenidentitäten sollten Sie sich auf temporäre Anmeldeinformationen mit IAM-Rollen verlassen. In Situationen, in denen dies nicht möglich ist, ist eine häufige Prüfung und Änderung von Zugriffsschlüsseln erforderlich. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Prüfen Sie Anmeldeinformationen regelmäßig: Verwenden Sie Berichte zu Anmeldeinformationen und Identify and Access Management (IAM) Access Analyzer, um IAM-Anmeldeinformationen und -Berechtigungen zu prüfen. 
  +  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
  +  [Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 
  +  [Übung: Automated IAM user cleanup (Automatisierte Bereinigung von IAM-Benutzern)](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool) 
+  Verwenden Sie Zugriffsebenen, um IAM-Berechtigungen zu prüfen: Um die Sicherheit Ihres AWS-Konto-Kontos zu erhöhen, sollten Sie Ihre IAM-Richtlinien regelmäßig überprüfen und überwachen. Sorgen Sie dafür, dass mit den Richtlinien Zugriffsrechte nur in dem Umfang erteilt werden, wie sie für die jeweiligen Aktionen erforderlich sind. 
  +  [Überprüfen von IAM-Berechtigungen mithilfe von Zugriffsebenen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions) 
+  Erwägen Sie, die Erstellung und Aktualisierung von IAM-Ressourcen zu automatisieren: Mit AWS CloudFormation kann die Bereitstellung von IAM-Ressourcen einschließlich Rollen und Richtlinien automatisiert werden. So lässt sich die Zahl menschlicher Fehler verringern, da die Vorlagen verifiziert und ihre Versionen kontrolliert werden können. 
  +  [Übung: Automated deployment of IAM groups and roles (Automatisierte Bereitstellung von IAM-Gruppen und -Rollen)](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 

 **Relevante Videos:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

# SEC02-BP06 Nutzen von Benutzergruppen und Attributen
<a name="sec_identities_groups_attributes"></a>

 Wenn die Anzahl der von Ihnen verwalteten Benutzer zunimmt, müssen Sie diese so organisieren, dass Sie sie im erforderlichen Umfang verwalten können. Platzieren Sie Benutzer mit allgemeinen Sicherheitsanforderungen in Gruppen, die von Ihrem Identitätsanbieter definiert wurden, und implementieren Sie Mechanismen, um sicherzustellen, dass Benutzerattribute, die für die Zugriffskontrolle verwendet werden können (zum Beispiel Abteilung oder Standort), korrekt und auf dem neuesten Stand sind. Verwenden Sie diese Gruppen und Attribute anstelle einzelner Benutzer, um den Zugriff zu steuern. Auf diese Weise können Sie den Zugriff zentral verwalten, indem Sie die Gruppenmitgliedschaft oder Attribute eines Benutzers einmal mit einem [Berechtigungssatz](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html)ändern, anstatt viele einzelne Richtlinien zu aktualisieren, wenn sich die Zugriffsanforderungen eines Benutzers ändern. Sie können AWS IAM Identity Center (IAM Identity Center) verwenden, um Benutzergruppen und Attribute zu verwalten. IAM Identity Center unterstützt die am häufigsten verwendeten Attribute unabhängig davon, ob sie manuell während der Benutzererstellung eingegeben oder automatisch mithilfe einer Synchronisierungs-Engine bereitgestellt werden, wie in der Spezifikation „System for Cross-Domain Identity Management (SCIM)“ definiert. 

Platzieren Sie Benutzer mit allgemeinen Sicherheitsanforderungen in Gruppen, die von Ihrem Identitätsanbieter definiert wurden, und implementieren Sie Mechanismen, um sicherzustellen, dass Benutzerattribute, die für die Zugriffskontrolle verwendet werden können (zum Beispiel Abteilung oder Standort), korrekt und auf dem neuesten Stand sind. Verwenden Sie diese Gruppen und Attribute anstelle einzelner Benutzer, um den Zugriff zu steuern. Auf diese Weise können Sie den Zugriff zentral verwalten, indem Sie die Gruppenmitgliedschaft oder Attribute eines Benutzers einmal ändern, anstatt viele einzelne Richtlinien zu aktualisieren, wenn sich die Zugriffsanforderungen eines Benutzers ändern.

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Konfigurieren Sie Gruppen, wenn Sie AWS IAM Identity Center (IAM Identity Center) verwenden: IAM Identity Center bietet Ihnen die Möglichkeit, Benutzergruppen zu konfigurieren und Gruppen die gewünschte Berechtigungsstufe zuzuweisen. 
  +  [AWS Single Sign-On – Verwalten von Identitäten](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) 
+  Informieren Sie sich über die attributbasierte Zugriffskontrolle (ABAC): ABAC (Attribute-based Access Control) ist eine Autorisierungsstrategie, die Berechtigungen basierend auf Attributen definiert. 
  +  [Was ist ABAC für AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
  +  [Übung: IAM Tag-basierte Zugriffskontrolle für EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Ähnliche Videos:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

 **Ähnliche Beispiele:** 
+  [Übung: IAM Tag-basierte Zugriffskontrolle für EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

# SICH 3  Wie verwalten Sie Berechtigungen für Personen und Maschinen?
<a name="w2aac19b7b7b7"></a>

 Verwalten Sie Berechtigungen zum Steuern des Zugriffs auf Personen- und Maschinenidentitäten, die Zugriff auf AWS und Ihren Workload benötigen. Berechtigungen steuern, wer worauf und unter welchen Bedingungen zugreifen kann. 

**Topics**
+ [SEC03-BP01 Definieren von Zugriffsanforderungen](sec_permissions_define.md)
+ [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Einrichtung eines Notfallzugriffprozesses](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen](sec_permissions_share_securely.md)

# SEC03-BP01 Definieren von Zugriffsanforderungen
<a name="sec_permissions_define"></a>

Administratoren, Endbenutzer oder andere Komponenten müssen auf jede Komponente oder Ressource Ihres Workloads zugreifen. Sie müssen eine klare Definition davon haben, wer oder was Zugriff auf die einzelnen Komponenten haben soll. Anschließend wählen Sie den entsprechenden Identitätstyp und die entsprechende Authentifizierungs- und Autorisierungsmethode aus.

 **Typische Anti-Muster:** 
+ Hartkodierung oder Speicherung von geheimen Daten in Ihrer Anwendung 
+ Gewähren individueller Berechtigungen für alle Nutzer 
+ Verwendung langlebiger Anmeldeinformationen 

 **Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Administratoren, Endbenutzer oder andere Komponenten müssen auf jede Komponente oder Ressource Ihres Workloads zugreifen. Sie müssen eine klare Definition davon haben, wer oder was Zugriff auf die einzelnen Komponenten haben soll. Anschließend wählen Sie den entsprechenden Identitätstyp und die entsprechende Authentifizierungs- und Autorisierungsmethode aus.

Regulärer Zugriff auf AWS-Konten in der Organisation sollte per [Verbundzugriff](https://aws.amazon.com/identity/federation/) oder einen zentralen Identitätsanbieter bereitgestellt werden. Sie sollten auch Ihr Identitätsmanagement zentralisieren und sicherstellen, dass es ein etabliertes Verfahren zur Integration des AWS-Zugriffs in den Zugriffslebenszyklus der Mitarbeiter gibt Wenn beispielsweise ein Mitarbeiter in eine Rolle mit einer anderen Zugriffsstufe wechselt, sollte sich auch dessen Gruppenmitgliedschaft so ändern, dass die neuen Zugriffsanforderungen berücksichtigt werden.

 Legen Sie bei der Definition der Zugriffsanforderungen für nicht menschliche Identitäten fest, welche Anwendungen und Komponenten Zugriff benötigen und wie die Berechtigungen gewährt werden. Eine empfohlene Vorgehensweise ist die Verwendung von nach dem Modell der geringsten Berechtigung entwickelten IAM-Rollen. [AWS-verwaltete Richtlinien](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) bieten vordefinierte IAM-Richtlinien für die meisten typischen Anwendungsfälle.

AWS-Services wie beispielsweise [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) und [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)können dabei helfen, Secrets in sicherer Weise von Anwendungen oder Workloads zu trennen, wenn es nicht möglich ist, IAM-Rollen zu verwenden. In Secrets Manager können Sie die automatische Rotation Ihrer Anmeldeinformationen einrichten. Mit Systems Manager können Sie auf Parameter in Ihren Skripts, Befehlen, SSM-Dokumenten, Konfigurations- und Automatisierungsworkflows verweisen, indem Sie den bei der Erstellung des Parameters angegebenen eindeutigen Namen verwenden.

Sie können AWS Identity and Access Management Roles Anywhere verwenden, um [temporäre Sicherheitsanmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) für Workloads zu erhalten, die außerhalb von AWS ausgeführt werden. Ihre Workloads können dieselben [IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) und [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) verwenden, die Sie für AWS-Anwendungen zum Zugriff auf AWS-Ressourcen nutzen. 

 Verwenden Sie nach Möglichkeit kurzfristige temporäre anstelle langfristiger statischer Anmeldeinformationen. Verwenden Sie für Szenarien, in denen Sie IAM-Nutzer mit programmatischem Zugriff und langfristigen Anmeldeinformationen benötigen, [Informationen über die letzte Nutzung von Zugriffsschlüsseln,](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) um Zugriffsschlüssel zu entfernen und zu rotieren. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/) 
+  [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) 
+  [AWS-verwaltete Richtlinien für IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) 
+  [AWS-IAM-Richtlinienbedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) 
+  [IAM-Anwendungsfälle](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html) 
+  [Entfernen von nicht benötigten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 
+  [Steuerung des Zugriffs auf AWS-Ressourcen auf der Grundlage von AWS-Konto, OU oder Organisation](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/) 
+  [Identifizieren, Arrangieren und Verwalten von geheimen Daten mithilfe der erweiterten Suche in AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) 

 **Zugehörige Videos:** 
+  [Become an IAM Policy Master in 60 Minutes or Less (Experte für IAM-Richtlinien in unter 60 Minuten)](https://youtu.be/YQsK4MtsELU) 
+  [Separation of Duties, Least Privilege, Delegation, and CI/CD (Trennung von Pflichten, geringste Berechtigung, Delegierung und CI/CD)](https://youtu.be/3H0i7VyTu70) 
+  [Streamlining identity and access management for innovation (Optimieren des Identitäts- und Zugriffsmanagements für Innovation)](https://www.youtube.com/watch?v=3qK0b1UkaE8) 

# SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen
<a name="sec_permissions_least_privileges"></a>

Gewähren Sie nur den Zugriff, den Identitäten wirklich benötigen, indem Sie den Zugriff auf bestimmte Aktionen auf bestimmten AWS-Ressourcen unter bestimmten Bedingungen erlauben. Nutzen Sie Gruppen und Identitätsattribute, um Berechtigungen dynamisch in großem Umfang festzulegen, anstatt Berechtigungen für einzelne Benutzer zu definieren. Sie können beispielsweise einer Gruppe von Entwicklern den Zugriff erlauben, nur die Ressourcen für ihr Projekt zu verwalten. Wenn ein Entwickler aus der Gruppe entfernt wird, wird der Zugriff für den Entwickler überall widerrufen, wo die Gruppe für die Zugriffskontrolle verwendet wurde, ohne dass Änderungen an den Zugriffsrichtlinien erforderlich sind.

 **Typische Anti-Muster:** 
+ Standardmäßige Gewährung von Administratorberechtigungen für Benutzer 
+ Verwendung des Root-Kontos für alltägliche Aktivitäten 

 **Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

Durch die Einführung des Prinzips der [Minimal erforderlichen Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) stellen Sie sicher, dass Identitäten zum Erledigen einer Aufgabe nur die minimal erforderlichen Funktionen ausführen dürfen. Dabei wird ein ausgewogenes Verhältnis zwischen Nutzbarkeit und Effizienz geschaffen. Wenn Sie nach diesem Prinzip arbeiten, schränken Sie den unbeabsichtigten Zugriff ein und stellen sicher, dass Sie überprüfen können, wer Zugriff auf welche Ressourcen hat. In AWS haben Identitäten standardmäßig keine Berechtigungen, mit Ausnahme des Root-Benutzers. Die Anmeldeinformationen für den Root-Benutzer müssen eng kontrolliert und dürfen nur für einige wenige [bestimmte Aufgaben verwendet werden](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). 

Sie verwenden Richtlinien, um explizit Berechtigungen zu erteilen, die IAM- oder Ressourcen-Entitäten angefügt sind, z. B. eine IAM-Rolle, die von Verbundidentitäten oder -maschinen verwendet wird, oder Ressourcen (z. B. S3-Buckets). Wenn Sie eine Richtlinie erstellen und anfügen, können Sie die Serviceaktionen, Ressourcen und Bedingungen angeben, die erfüllt sein müssen, damit AWS den Zugriff erlauben kann. AWS unterstützt eine Vielzahl von Bedingungen, mit denen Sie den Zugriff einschränken können. Wenn Sie beispielsweise den `Bedingungsschlüssel` [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)verwenden, wird die Kennung von AWS Organizations überprüft, sodass der Zugriff innerhalb Ihrer AWS-Organisation gewährt werden kann.

Sie können auch Anforderungen kontrollieren, die AWS-Services in Ihrem Namen stellen, wie das Erstellen einer AWS CloudFormation-Funktion durch AWS Lambda. Dazu verwenden Sie den `CalledVia` -Bedingungsschlüssel. Sie sollten unterschiedliche Richtlinientypen in Ebenen organisieren, um die Berechtigungen in einem Konto insgesamt effektiv zu begrenzen. So können Sie beispielsweise Ihren Anwendungsteams gestatten, ihre eigenen IAM-Richtlinien zu erstellen. Verwenden Sie aber eine [Berechtigungsgrenze](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) zur Begrenzung der maximalen Berechtigungen, die das Team gewähren kann. 

Es gibt verschiedene AWS-Funktionen, die Ihnen bei der Skalierung des Berechtigungsmanagements und der Einhaltung des Prinzips der geringsten Berechtigungen helfen. [Auf Attributen basierende Zugriffssteuerung](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) ermöglicht die Begrenzung der Berechtigungen auf der Grundlage des *[Tags](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* einer Ressource, um Autorisierungsentscheidungen je nach den der Ressource zugewiesenen Tags und dem aufrufenden IAM-Prinzipal zu treffen. Dadurch können Sie Ihre Tagging- und Ihre Berechtigungsrichtlinie kombinieren, um detailliert gesteuerte Ressourcenzugriffe zu ermöglichen, ohne dass dazu viele spezielle Richtlinien erforderlich sind.

Eine andere Möglichkeit zur Erstellung einer Richtlinie mit geringsten Berechtigungen besteht darin, sie nach der Ausführung einer Aktivität auf CloudTrail-Berechtigungen zu basieren. [IAM Access Analyzer kann automatisch IAM-Richtlinien auf der Grundlage einer Aktivität generieren](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). Sie können auch IAM Access Advisor auf der Ebene der Organisation oder einzelner Konten verwenden, um [die für eine bestimmte Richtlinie zuletzt verwendeten Informationen nachzuverfolgen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).

Richten Sie regelmäßige Prüfungen dieser Details und einen Plan zum Entfernen nicht benötigter Berechtigungen ein. Sie sollten Integritätsschutz für Berechtigungen in Ihrer AWS-Organisation einrichten, um die Höchstzahl der Berechtigungen innerhalb eines Mitgliedskontos zu begrenzen. Services wie beispielsweise [AWS Control Tower bieten präskriptive und verwaltete präventive Steuerungen](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) und ermöglichen Ihnen die Definition Ihrer eigenen Steuerungen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) 
+  [Techniken zum Erstellen von IAM-Richtlinien mit geringsten Berechtigungen](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/) 
+  [IAM Access Analyzer erleichtert die Implementierung geringster Berechtigungen durch die Generierung von IAM-Richtlinien auf der Grundlage der Zugriffsaktivitäten](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/) 
+  [Verfeinern der Berechtigungen mithilfe der zuletzt genutzten Informationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) 
+  [IAM-Richtlinienarten und wann sie verwendet werden sollten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) 
+  [Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html) 
+  [Integritätsschutz in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) 
+  [Zero-Trust-Architekturen: Eine AWS-Perspektive](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/) 
+  [Implementieren des Prinzips der geringsten Berechtigung mit CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/) 

 **Zugehörige Videos:** 
+  [Next-generation permissions management (Berechtigungsmanagement der nächsten Generation)](https://www.youtube.com/watch?v=8vsD_aTtuTo) 
+  [Zero Trust: An AWS perspective (Zero Trust: Eine AWS-Perspektive)](https://www.youtube.com/watch?v=1p5G1-4s1r0) 
+  [How can I use permissions boundaries to limit IAM users and roles to prevent privilege escalation? (Wie kann ich mit Berechtigungsgrenzen IAM-Benutzer und -Rollen einschränken, um die Eskalation von Berechtigungen zu vermeiden?)](https://www.youtube.com/watch?v=omwq3r7poek) 

 **Zugehörige Beispiele:** 
+  [Übung: IAM-Berechtigungsgrenzen – Übertragung der Rollenerstellung](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html) 

# SEC03-BP03 Einrichtung eines Notfallzugriffprozesses
<a name="sec_permissions_emergency_process"></a>

 Ein Prozess, der den Notfallzugriff auf Ihren Workload im unwahrscheinlichen Fall eines automatisierten Prozesses oder eines Pipeline-Problems ermöglicht. Auf diese Weise können Sie den Zugriff mit der geringsten Berechtigung nutzen, aber sicherstellen, dass Benutzer bei Bedarf die richtige Zugriffsebene erhalten. Richten Sie beispielsweise einen Prozess ein, mit dem Administratoren die Anfrage prüfen und genehmigen, z. B. eine kontoübergreifende AWS-Rolle für den Zugriff im Notfall. Alternativ können Sie ein spezifisches Verfahren festlegen, das Administratoren zur Validierung und Genehmigung einer Notfallanfrage befolgen müssen. 

 **Typische Anti-Muster:** 
+ Fehlen eines Notfallprozesses für die Wiederherstellung nach einem Ausfall mit Ihrer vorhandenen Identitätskonfiguration
+ Gewähren langfristiger erhöhter Berechtigungen für Fehlerbehebungs- oder Wiederherstellungszwecke

 **Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Die Einrichtung eines Notfallzugriffs kann verschiedene Formen haben, auf die Sie vorbereitet sein sollten. Die erste davon ist der Ausfall Ihres primären Identitätsanbieters. Für diesen Fall benötigen Sie ein zweites Zugriffsverfahren mit den für die Wiederherstellung erforderlichen Berechtigungen. Dieses Verfahren kann ein weiterer Identitätsanbieter oder ein IAM-Benutzer sein. Dieses zweite Verfahren muss [eng kontrolliert und überwacht werden und](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) bei Verwendung eine Benachrichtigung ausgeben. Die Identität für den Notfallzugriff sollte von einem Konto stammen, das speziell diesem Zweck dient, und nur über die Berechtigungen verfügen, die erforderlich sind, um eine Rolle für die Wiederherstellung anzunehmen. 

 Weiterhin sollten Sie auf den Notfallzugriff vorbereitet sein, wo erhöhte administrative Zugriffsberechtigungen erforderlich sind. Ein typisches Szenario besteht darin, Änderungsberechtigungen auf einen automatisierten Prozess für die Bereitstellung von Änderungen zu beschränken. Wenn bei diesem Prozess ein Problem auftritt, müssen Nutzer möglicherweise erhöhte Berechtigungen anfragen, um die Funktionalität wiederherstellen zu können. Richten Sie dafür einen Prozess ein, bei dem Nutzer erhöhte Zugriffsberechtigungen anfragen und Administratoren diese prüfen und genehmigen können. Die Implementierungspläne, die die bewährten Methoden für die Vorab-Bereitstellung von Zugriff und die Einrichtung von Notfall-, *„Break Glass“-*Rollen enthalten, werden bereitgestellt im Rahmen von [SEC10-BP05 Vorab bereitgestellter Zugriff](sec_incident_response_pre_provision_access.md). 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [Überwachen und Benachrichtigen auf AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity) 
+ [Verwalten vorübergehend erhöhter Zugriffsberechtigungen](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/) 

 **Zugehöriges Video:** 
+  [Become an IAM Policy Master in 60 Minutes or Less (Experte für IAM-Richtlinien in unter 60 Minuten)](https://youtu.be/YQsK4MtsELU) 

# SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen
<a name="sec_permissions_continuous_reduction"></a>

 Wenn Teams und Workloads bestimmen, welchen Zugriff sie benötigen, entfernen Sie Berechtigungen, die sie nicht mehr verwenden, und erstellen Sie Überprüfungsprozesse, um Berechtigungen mit den geringsten Berechtigungen zu erzielen. Überwachen und reduzieren Sie kontinuierlich ungenutzte Identitäten und Berechtigungen. 

Wenn Teams erst mit der Zusammenarbeit begonnen haben und Projekte gerade erst starten, können Sie sich entscheiden, einen umfassenden Zugang (in einer Entwicklungs- oder Testumgebung) zu gewähren, um Innovation und Agilität zu fördern. Dabei sollten Sie den Zugriff ständig überprüfen und, insbesondere bei Produktionsumgebungen, den Zugriff auf die erforderlichen Berechtigungen einschränken und das Prinzip der geringsten Berechtigungen einhalten. AWS bietet Zugriffsanalysefunktionen, mit denen Sie ungenutzte Zugriffe identifizieren können. Um Sie dabei zu unterstützen, ungenutzte Benutzer, Rollen, Berechtigungen und Anmeldeinformationen zu identifizieren, analysiert AWS die Zugriffsaktivitäten und stellt Informationen zu Zugriffsschlüsseln und zuletzt verwendeten Rollen bereit. Sie können den [Zeitstempel des letzten Zugriffs verwenden,](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) um [ungenutzte Benutzer und Rollen zu identifizieren](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)und sie zu entfernen. Darüber hinaus können Sie die Informationen zum letzten Service- und Aktionszugriff überprüfen, [um Berechtigungen für bestimmte Benutzer und Rollen zu identifizieren und enger zu fassen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Sie können beispielsweise Informationen zum letzten Zugriff verwenden, um die spezifischen Amazon Simple Storage Service-Aktionen (Amazon S3) zu identifizieren, die Ihre Anwendungsrolle erfordert, und den Zugriff auf diese beschränken. Diese Funktion ist in der AWS-Managementkonsole und programmgesteuert verfügbar, damit Sie sie in Ihre Infrastruktur-Workflows und automatisierten Tools integrieren können.

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Konfigurieren Sie AWS Identify and Access Management (IAM) Access Analyzer: AWS IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und Ihren Konten zu identifizieren, z. B. Amazon Simple Storage Service-Buckets (Amazon S3) oder IAM-Rollen, die mit einer externen Entität geteilt werden. 
  + [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Gewähren von geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [Entfernen von nicht benötigten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **Relevante Videos:** 
+  [Become an IAM Policy Master in 60 Minutes or Less (Experte für IAM-Richtlinien in unter 60 Minuten)](https://youtu.be/YQsK4MtsELU) 
+  [Separation of Duties, Least Privilege, Delegation, and CI/CD (Trennung von Pflichten, geringste Berechtigung, Delegierung und CI/CD)](https://youtu.be/3H0i7VyTu70) 

# SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation
<a name="sec_permissions_define_guardrails"></a>

 Richten Sie allgemeine Kontrollen ein, die den Zugriff auf alle Identitäten in Ihrer Organisation einschränken. Sie können beispielsweise den Zugriff auf bestimmte AWS-Regionen einschränken oder verhindern, dass Ihre Bediener gemeinsame Ressourcen löschen, z. B. eine IAM-Rolle, die für Ihr zentrales Sicherheitsteam verwendet wird. 

 **Typische Anti-Muster:** 
+ Ausführen von Workloads in Ihrem Organisationsadministrator-Konto 
+ Ausführen von Produktions- und Nicht-Produktionsworkloads im selben Konto 

 **Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Wenn Sie im Zuge Ihres Wachstums zusätzliche Workloads in AWS verwalten, sollten Sie diese Workloads mithilfe von Konten trennen und die Konten mit AWS Organizations verwalten. Wir empfehlen, allgemeinen Integritätsschutz für Berechtigungen einzurichten, der den Zugriff auf alle Identitäten in Ihrer Organisation einschränkt. Sie können beispielsweise den Zugriff auf bestimmte AWS-Regionen einschränken oder verhindern, dass Mitglieder Ihres Teams gemeinsame Ressourcen löschen, z. B. eine IAM-Rolle, die vom zentralen Sicherheitsteam verwendet wird. 

 Sie können beginnen, indem Sie Beispiel-Servicekontrollrichtlinien implementieren, die beispielsweise verhindern, dass Benutzer wichtige Services deaktivieren. SCPs verwenden die IAM-Richtliniensprache und ermöglichen Ihnen, Kontrollen einzurichten, die alle IAM-Prinzipale (Benutzer und Rollen) einhalten müssen. Sie können den Zugriff auf bestimmte Serviceaktionen und Ressourcen oder basierend auf bestimmten Bedingungen einschränken, um die Zugriffskontrollanforderungen Ihrer Organisation zu erfüllen. Falls erforderlich, können Sie Ausnahmen zum Integritätsschutz definieren. Sie können beispielsweise Serviceaktionen für alle IAM-Entitäten im Konto mit Ausnahme einer bestimmten Administratorrolle einschränken. 

 Wir empfehlen, die Ausführung von Workloads in Ihrem Veraltungskonto zu vermeiden. Das Verwaltungskonto sollte für den Einsatz und die Bereitstellung von Integritätsschutz für die Sicherheit verwendet werden, der sich auf Mitgliedskonten auswirkt. Manche AWS-Services unterstützen die Verwendung eines delegierten Administratorkontos. Wenn ein solches delegiertes Konto verfügbar ist, sollten Sie es anstelle des Verwaltungskontos verwenden. Sie sollten den Zugriff auf das Organisationsadministratorkonto strengstens einschränken. 

Die Verwendung einer Mehrkonten-Strategie ermöglicht größere Flexibilität bei der Anwendung von Integritätsschutz auf Ihre Workloads. Die AWS Security Reference Architecture bietet präskriptive Anleitungen zur Gestaltung Ihrer Kontenstruktur. AWS-Services wie AWS Control Tower bieten Funktionen für die zentrale Verwaltung präventiver und erkennender Kontrollen in ihrer Organisation. Definieren Sie für jedes Konto bzw. jede OU in Ihrer Organisation einen klaren Zweck und schränken Sie die Steuerungen entsprechend diesem Zweck ein. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [AWS Organizations](https://aws.amazon.com/organizations/) 
+ [Service-Kontrollrichtlinien (SCPs),](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) 
+ [Bessere Nutzung von Servicekontrollrichtlinien in einer Mehrkontenumgebung](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/) 
+ [AWS Security Reference Architecture (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) 

 **Zugehörige Videos:** 
+ [Enforce Preventive Guardrails using Service Control Policies (Durchsetzung von präventivem Integritätsschutz mit Servicekontrollrichtlinien)](https://www.youtube.com/watch?v=mEO05mmbSms) 
+  [Building governance at scale with AWS Control Tower (Governance in großem Umfang mit AWS Control Tower)](https://www.youtube.com/watch?v=Zxrs6YXMidk) 
+  [AWS Identity and Access Management deep dive (Tiefer Einblick in AWS Identity and Access Management)](https://www.youtube.com/watch?v=YMj33ToS8cI) 

# SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus
<a name="sec_permissions_lifecycle"></a>

 Integrieren Sie Zugriffskontrollen in den Operator- und Anwendungslebenszyklus sowie Ihren zentralen Verbundanbieter. Entfernen Sie beispielsweise den Zugriff eines Benutzers, wenn er die Organisation verlässt oder eine andere Rolle übernimmt. 

Wenn Sie Workloads mit separaten Konten verwalten, müssen Sie Ressourcen für diese Konten freigeben. Wir empfehlen, dass Sie Ressourcen mit [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Mit diesem Service können Sie AWS-Ressourcen einfach und sicher innerhalb Ihrer AWS Organizations-Organisation und -Organisationseinheiten freigeben. Mithilfe von AWS RAM wird der Zugriff auf gemeinsam genutzte Ressourcen automatisch gewährt oder widerrufen, wenn Konten in die Organisation oder Organisationseinheit verschoben werden, für die sie freigegeben sind. Auf diese Weise können Sie sicherstellen, dass Ressourcen nur für die Konten freigegeben werden, die Sie beabsichtigen.

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Verwenden eines Lebenszyklus für den Benutzerzugriff: Implementieren Sie eine Lebenszyklusrichtlinie für den Benutzerzugriff für neue Benutzer, Änderungen von Zuständigkeiten und das Ausscheiden von Benutzern, um sicherzustellen, dass nur aktuelle Benutzer Zugriff haben. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
+  [Gewähren von geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) 
+  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
+  [Entfernen von nicht benötigten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials) 
+  [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html) 

 **Relevante Videos:** 
+  [Become an IAM Policy Master in 60 Minutes or Less (Experte für IAM-Richtlinien in unter 60 Minuten)](https://youtu.be/YQsK4MtsELU) 
+  [Separation of Duties, Least Privilege, Delegation, and CI/CD (Trennung von Pflichten, geringste Berechtigung, Delegierung und CI/CD)](https://youtu.be/3H0i7VyTu70) 

# SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs
<a name="sec_permissions_analyze_cross_account"></a>

Überwachen Sie kontinuierlich Ergebnisse, die den öffentlichen und kontoübergreifenden Zugriff betreffen. Beschränken Sie den öffentlichen und kontoübergreifenden Zugriff ausschließlich auf Ressourcen, die diese Art von Zugriff benötigen. 

 **Typische Anti-Muster:** 
+  Fehlen eines Prozesses für die Kontrolle des kontoübergreifenden und öffentlichen Zugriffs auf Ressourcen 

 **Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

In AWS können Sie Zugriff auf Ressourcen in einem anderen Konto gewähren. Sie gewähren direkten kontoübergreifenden Zugriff über an Ressourcen angefügte Richtlinien (zum Beispiel [Amazon Simple Storage Service (Amazon S3)-Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) oder indem Sie zulassen, dass eine Identität eine IAM-Rolle in einem anderen Konto annimmt. Prüfen Sie bei der Verwendung von Ressourcenrichtlinien, dass der Zugriff Identitäten in Ihrer Organisation gewährt wird und dass Sie die Ressourcen wirklich öffentlich machen wollen. Definieren Sie einen Prozess für die Genehmigung aller Ressourcen, die öffentlich verfügbar sein müssen. 

 [IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) verwendet [nachweisbare Sicherheit](https://aws.amazon.com/security/provable-security/) , um alle Zugriffspfade zu einer Ressource von außerhalb ihres Kontos zu identifizieren. Dieser Service überprüft Ressourcenrichtlinien kontinuierlich und meldet Ergebnisse des öffentlichen und kontoübergreifenden Zugriffs, um Ihnen die Analyse potenziell umfassender Zugriffe zu erleichtern. Ziehen Sie die Konfiguration von IAM Access Analyzer mit AWS Organizations in Betracht, um Transparenz für alle Ihre Konten zu gewährleisten. IAM Access Analyzer ermöglicht Ihnen auch die [Voranzeige von Access-Analyzer-Ergebnissen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html), bevor Sie Ressourcenberechtigungen bereitstellen. So können Sie sicherstellen, dass mit den Richtlinienänderungen nur der beabsichtigte öffentliche und kontoübergreifende Zugriff auf Ihre Ressourcen gewährt wird. Bei der Arbeit für den Mehrkonten-Zugriff können Sie [Vertrauensrichtlinien verwenden, um zu steuern, in welchen Fällen eine Rolle angenommen werden kann](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). So könnten Sie beispielsweise die Annahme von Rollen auf einen bestimmten Quell-IP-Bereich einschränken. 

 Sie können auch [AWS Config verwenden, um Ressourcen](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) für versehentliche Konfigurationen mit öffentlichem Zugriff durch AWS Config-Richtlinienprüfungen zu melden und zu korrigieren. Services wie [AWS Control Tower](https://aws.amazon.com/controltower) und [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) vereinfachen die Bereitstellung von Prüfungen und Integritätsschutz über eine AWS Organizations hinweg, um öffentlich zugängliche Ressourcen zu identifizieren und zu korrigieren. Beispielsweise verfügt AWS Control Tower über verwalteten Integritätsschutz, der erkennen kann, ob [Amazon EBS-Snapshots von allen AWS-Konten wiederhergestellt werden können](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Verwendung von AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+  [Integritätsschutz in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Foundational Security Best Practices Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+  [AWS Config Managed Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) 
+  [AWS Trusted Advisor-Prüfungsreferenz](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html) 

 **Zugehörige Videos:** 
+ [Best Practices for securing your multi-account environment (Bewährte Methoden für den Schutz Ihrer Mehrkonten-Umgebung)](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer (Tiefer Einblick in IAM Access Analyzer)](https://www.youtube.com/watch?v=i5apYXya2m0)

# SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen
<a name="sec_permissions_share_securely"></a>

 Steuern Sie die Nutzung gemeinsam genutzter Ressourcen über Konten oder innerhalb Ihrer AWS Organizations. Überwachen Sie gemeinsam genutzte Ressourcen und überprüfen Sie den Zugriff auf gemeinsame Ressourcen. 

 **Typische Anti-Muster:** 
+  Verwendung der standardmäßigen IAM-Vertrauensrichtlinie bei der Gewährung kontoübergreifenden Zugriffs für Drittparteien 

 **Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Wenn Sie Ihre Workloads mit mehreren AWS-Konten verwalten, müssen Sie möglicherweise Ressourcen von mehreren Konten verwenden lassen. Dies beinhaltet oft die kontoübergreifende Kontofreigabe innerhalb eines AWS Organizations. Verschiedene AWS-Services wie etwa [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)und [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) verfügen über in Organizations integrierte kontoübergreifende Funktionen. Sie können [AWS Resource Access Manager](https://aws.amazon.com/ram/) verwenden, um übliche Ressourcen gemeinsam zu nutzen, wie beispielsweise [VPC-Subnetze oder Transit-Gateway-Anhänge](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)oder [Amazon SageMaker Runtime-Pipelines](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Wenn Sie sicherstellen möchten, dass Ihr Konto nur innerhalb Ihrer Organizations Ressourcen teilt, empfehlen wir die Verwendung von [Service-Kontrollrichtlinien (SCPs),](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) um den Zugriff auf externe Prinzipale zu verhindern.

 Wenn Sie Ihre Ressourcen teilen, sollten Sie Maßnahmen treffen, um sie gegen unbeabsichtigte Zugriffe zu schützen. Wir empfehlen die Kombination von identitätsbasierten Kontrollen und Netzwerkkontrollen zur [Erstellung eines Datenperimeters für Ihre Organisation.](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Diese Kontrollen müssen streng begrenzen, welche Ressourcen gemeinsam genutzt werden, und die gemeinsame Nutzung oder Offenlegung aller anderen Ressourcen verhindern. Sie könnten beispielsweise als Teil Ihres Datenperimeters VPC-Endpunktrichtlinien und die Bedingung `aws:PrincipalOrgId` verwenden, um sicherzustellen, dass die Identitäten, die auf Ihre Amazon S3-Buckets zugreifen, zu Ihrer Organisation gehören. 

 In manchen Fällen kann es vorkommen, dass Sie Ressourcen außerhalb Ihrer Organizations freigeben oder Drittparteien den Zugriff auf Ihr Konto gewähren möchten. So könnte etwa ein Partner eine Überwachungslösung bereitstellen, die auf Ressourcen in Ihrem Konto zugreifen muss. In solchen Fällen können Sie eine kontoübergreifende IAM-Rolle erstellen, die nur über die von der Drittpartei benötigten Berechtigungen verfügt. Sie sollten auch mithilfe der [externen ID-Bedingung eine Vertrauensrichtlinie erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Wenn Sie eine externe ID verwenden, sollten Sie für jede Drittpartei eine eindeutige ID erstellen. Die eindeutige ID sollte nicht von der Drittpartei bereitgestellt oder kontrolliert werden. Wenn die Drittpartei den Zugriff auf Ihre Umgebung nicht mehr benötigt, sollten Sie die Rolle entfernen. Sie sollten darüber hinaus unter allen Umständen die Bereitstellung langfristiger IAM-Anmeldeinformationen für Drittparteien vermeiden. Achten Sie auf andere AWS-Services, die die gemeinsame Nutzung in nativer Weise unterstützen. Beispielsweise ermöglicht das AWS Well-Architected Tool [die gemeinsame Nutzung von Workloads](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) mit anderen AWS-Konten. 

 Bei Verwendung von Services wie Amazon S3 wird empfohlen, [ACLs für Ihren Amazon S3-Bucket zu deaktivieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) und IAM-Richtlinien zur Festlegung der Zugriffskontrolle zu verwenden. [Zur Einschränkung des Zugriffs auf einen Amazon S3-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) von [Amazon CloudFront](https://aws.amazon.com/cloudfront/)aus migrieren Sie von der Ursprungszugriffsidentität (OAI) zur Ursprungszugriffssteuerung (OAC), die zusätzliche Funktionen wie beispielsweise die serverseitige Verschlüsselung mit [AWS KMS](https://aws.amazon.com/kms/).

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+ [Bucket-Besitzer gewährt kontoübergreifende Berechtigung für Objekte, die er nicht besitzt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [Verwendung von Vertrauensrichtlinien mit IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Erstellen von Datenperimetern auf AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [Verwenden einer externen ID, um Dritten Zugriff auf Ihre AWS-Ressourcen zu gewähren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)

 **Zugehörige Videos:** 
+ [Granular Access with AWS Resource Access Manager (Granulärer Zugriff mit AWS Resource Access Manager)](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints (Schutz Ihres Datenperimeters mit VPC-Endpunkten)](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS (Einrichten eines Datenperimeters auf AWS) ](https://www.youtube.com/watch?v=SMi5OBjp1fI)