# SEC08-BP04 Durchsetzen der Zugriffskontrolle
<a name="sec_protect_data_rest_access_control"></a>

Erzwingen Sie eine Zugriffskontrolle mit minimal erforderlichen Berechtigungen und Mechanismen, einschließlich Datensicherungen, Isolierung und Versionsverwaltung, zum Schutz Ihrer ruhenden Daten. Verhindern Sie, dass Operatoren öffentlichen Zugriff auf Ihre Daten gewähren. 

 Verschiedene Kontrollen z. B. für den Zugriff (mit dem Prinzip der geringsten Berechtigung), Backups (siehe [Whitepaper zur Zuverlässigkeit](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/welcome.html)), Isolierung und Versionsverwaltung können helfen, Ihre Daten im Ruhezustand zu schützen. Der Zugriff auf Ihre Daten sollte mit den zuvor in diesem Whitepaper behandelten Erkennungsmechanismen überprüft werden, einschließlich CloudTrail und Service Level-Protokoll, z. B. Amazon Simple Storage Service (Amazon S3)-Zugriffsprotokolle. Sie sollten inventarisieren, welche Daten öffentlich zugänglich sind, und planen, wie Sie die verfügbare Datenmenge im Laufe der Zeit reduzieren können. Amazon Glacier Vault Lock und Amazon S3 Object Lock sind Funktionen, die eine obligatorische Zugriffskontrolle ermöglichen. Sobald eine Tresorrichtlinie mit der Compliance-Option gesperrt ist, kann sie nicht einmal der Root-Benutzer ändern, bis die Sperre abläuft. Der Mechanismus erfüllt die Anforderungen an die Aufzeichnungs- und Datenverwaltung der SEC, CFTC und FINRA. Weitere Informationen finden Sie in [diesem Whitepaper](https://d1.awsstatic.com/whitepapers/Amazon-GlacierVaultLock_CohassetAssessmentReport.pdf). 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Erzwingen der Zugriffskontrolle: Erzwingen Sie die Zugriffskontrolle nach dem Prinzip der geringsten Berechtigung, einschließlich des Zugriffs auf Verschlüsselungsschlüssel. 
  +  [Einführung in die Verwaltung von Zugriffsberechtigungen für Ihre Amazon S3-Ressourcen](https://docs.aws.amazon.com/AmazonS3/latest/dev/intro-managing-access-s3-resources.html) 
+  Trennen von Daten anhand unterschiedlicher Klassifizierungsstufen: Verwenden Sie unterschiedliche AWS-Konten für die von AWS Organizations verwalteten Datenklassifizierungsstufen. 
  +  [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) 
+  Überprüfen von AWS KMS-Richtlinien: Überprüfen Sie die gewährte Zugriffsebene in den AWS KMS-Richtlinien. 
  +  [Übersicht über die Verwaltung des Zugriffs auf Ihre AWS KMS-Ressourcen](https://docs.aws.amazon.com/kms/latest/developerguide/control-access-overview.html) 
+  Überprüfen der Berechtigungen für Amazon S3-Buckets und -Objekte: Überprüfen Sie regelmäßig den in Amazon S3-Bucket-Richtlinien gewährten Zugriff. Als Best Practice gilt, keine öffentlich lesbaren oder schreibbaren Buckets zu haben. Erwägen Sie, AWS Config zur Erkennung von öffentlich verfügbaren Buckets und Amazon CloudFront für die Bereitstellung von Inhalten aus Amazon S3 zu verwenden. 
  +  [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/managed-rules-by-aws-config.html) 
  +  [Amazon S3 \$1 Amazon CloudFront: Die perfekte Kombination in der Cloud](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-s3-amazon-cloudfront-a-match-made-in-the-cloud/) 
+  Aktivieren Sie die Amazon S3-Versionsverwaltung und Objektsperre. 
  +  [Verwenden von Versioning](https://docs.aws.amazon.com/AmazonS3/latest/dev/Versioning.html) 
  +  [Sperren von Objekten mit der Amazon S3-Objektsperre](https://docs.aws.amazon.com/AmazonS3/latest/dev/object-lock.html) 
+  Verwenden von Amazon S3 Inventory: Amazon S3 Inventory ist eines der Tools, mit denen Sie den Replikations- und Verschlüsselungsstatus Ihrer Objekte prüfen und melden können. 
  +  [Amazon S3 Inventory](https://docs.aws.amazon.com/AmazonS3/latest/dev/storage-inventory.html) 
+  Überprüfen von Amazon EBS- und AMI-Freigabeberechtigungen: Mit Freigabeberechtigungen können Images und Volumes für AWS-Konten außerhalb Ihrer Workload freigegeben werden. 
  +  [Teilen eines Amazon EBS-Snapshots](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html) 
  +  [Gemeinsame AMIs](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharing-amis.html) 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [AWS KMS Cryptographic Details Whitepaper (Whitepaper mit kryptografischen Details zu AWS KMS)](https://docs.aws.amazon.com/kms/latest/cryptographic-details/intro.html) 

 **Ähnliche Videos:** 
+  [Securing Your Block Storage on AWS (Sichern Ihres Blockspeichers in AWS)](https://youtu.be/Y1hE1Nkcxs8)