# SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs
<a name="sec_permissions_analyze_cross_account"></a>

Überwachen Sie kontinuierlich Ergebnisse, die den öffentlichen und kontoübergreifenden Zugriff betreffen. Beschränken Sie den öffentlichen und kontoübergreifenden Zugriff ausschließlich auf Ressourcen, die diese Art von Zugriff benötigen. 

 **Typische Anti-Muster:** 
+  Fehlen eines Prozesses für die Kontrolle des kontoübergreifenden und öffentlichen Zugriffs auf Ressourcen 

 **Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

In AWS können Sie Zugriff auf Ressourcen in einem anderen Konto gewähren. Sie gewähren direkten kontoübergreifenden Zugriff über an Ressourcen angefügte Richtlinien (zum Beispiel [Amazon Simple Storage Service (Amazon S3)-Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) oder indem Sie zulassen, dass eine Identität eine IAM-Rolle in einem anderen Konto annimmt. Prüfen Sie bei der Verwendung von Ressourcenrichtlinien, dass der Zugriff Identitäten in Ihrer Organisation gewährt wird und dass Sie die Ressourcen wirklich öffentlich machen wollen. Definieren Sie einen Prozess für die Genehmigung aller Ressourcen, die öffentlich verfügbar sein müssen. 

 [IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) verwendet [nachweisbare Sicherheit](https://aws.amazon.com/security/provable-security/) , um alle Zugriffspfade zu einer Ressource von außerhalb ihres Kontos zu identifizieren. Dieser Service überprüft Ressourcenrichtlinien kontinuierlich und meldet Ergebnisse des öffentlichen und kontoübergreifenden Zugriffs, um Ihnen die Analyse potenziell umfassender Zugriffe zu erleichtern. Ziehen Sie die Konfiguration von IAM Access Analyzer mit AWS Organizations in Betracht, um Transparenz für alle Ihre Konten zu gewährleisten. IAM Access Analyzer ermöglicht Ihnen auch die [Voranzeige von Access-Analyzer-Ergebnissen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html), bevor Sie Ressourcenberechtigungen bereitstellen. So können Sie sicherstellen, dass mit den Richtlinienänderungen nur der beabsichtigte öffentliche und kontoübergreifende Zugriff auf Ihre Ressourcen gewährt wird. Bei der Arbeit für den Mehrkonten-Zugriff können Sie [Vertrauensrichtlinien verwenden, um zu steuern, in welchen Fällen eine Rolle angenommen werden kann](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). So könnten Sie beispielsweise die Annahme von Rollen auf einen bestimmten Quell-IP-Bereich einschränken. 

 Sie können auch [AWS Config verwenden, um Ressourcen](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) für versehentliche Konfigurationen mit öffentlichem Zugriff durch AWS Config-Richtlinienprüfungen zu melden und zu korrigieren. Services wie [AWS Control Tower](https://aws.amazon.com/controltower) und [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) vereinfachen die Bereitstellung von Prüfungen und Integritätsschutz über eine AWS Organizations hinweg, um öffentlich zugängliche Ressourcen zu identifizieren und zu korrigieren. Beispielsweise verfügt AWS Control Tower über verwalteten Integritätsschutz, der erkennen kann, ob [Amazon EBS-Snapshots von allen AWS-Konten wiederhergestellt werden können](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Verwendung von AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+  [Integritätsschutz in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Foundational Security Best Practices Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+  [AWS Config Managed Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) 
+  [AWS Trusted Advisor-Prüfungsreferenz](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html) 

 **Zugehörige Videos:** 
+ [Best Practices for securing your multi-account environment (Bewährte Methoden für den Schutz Ihrer Mehrkonten-Umgebung)](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer (Tiefer Einblick in IAM Access Analyzer)](https://www.youtube.com/watch?v=i5apYXya2m0)