# SICH 2 Was ist bei der Verwaltung der Authentifizierung für Personen und Rechner zu beachten?
Es gibt zwei Arten von Identitäten, die Sie beim Betrieb sicherer AWS-Workloads verwalten müssen. Wenn Sie wissen, welche Art von Identität Sie verwalten und wie Sie Zugriff gewähren müssen, können Sie sicherstellen, dass die richtigen Identitäten unter den richtigen Bedingungen Zugriff auf die richtigen Ressourcen haben.
Menschliche Identitäten: Ihre Administratoren, Entwickler, Bediener und Endbenutzer benötigen eine Identität für den Zugriff auf Ihre AWS-Umgebungen und -Anwendungen. Dies sind Mitglieder Ihrer Organisation oder externe Benutzer, mit denen Sie zusammenarbeiten, und die mit Ihren AWS-Ressourcen über einen Webbrowser, eine Client-Anwendung oder interaktive Befehlszeilen-Tools interagieren.
Maschinenidentitäten: Ihre Service-Anwendungen, betrieblichen Tools und Workloads benötigen eine Identität, um Anforderungen an AWS-Services zu stellen, z. B. um Daten zu lesen. Zu diesen Identitäten gehören Maschinen, die in Ihrer AWS-Umgebung ausgeführt werden, z. B. Amazon EC2-Instances oder AWS-Funktionen. Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Darüber hinaus verfügen Sie möglicherweise auch über Maschinen außerhalb von AWS, die Zugriff auf Ihre AWS-Umgebung benötigen.
**Topics**
+ [SEC02-BP01 Verwenden von starken Anmeldemechanismen](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](sec_identities_unique.md)
+ [SEC02-BP03 Sicheres Speichern und Verwenden von Secrets](sec_identities_secrets.md)
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md)
+ [SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen](sec_identities_audit.md)
+ [SEC02-BP06 Nutzen von Benutzergruppen und Attributen](sec_identities_groups_attributes.md)
# SEC02-BP01 Verwenden von starken Anmeldemechanismen
Erzwingen Sie die Mindestlänge des Passworts und informieren Sie Benutzer, dass sie gängige oder wiederverwendete Passwörter vermeiden sollen. Erzwingen Sie die Multi-Factor Authentication (MFA) mit Software- oder Hardwaremechanismen und stellen Sie so eine zusätzliche Verifizierungsstufe bereit. Wenn Sie beispielsweise IAM Identity Center als Identitätsquelle verwenden, konfigurieren Sie die MFA-Einstellung „context-aware“ oder „always-on“ und erlauben Sie Benutzern, ihre eigenen MFA-Geräte zu registrieren, um die Akzeptanz zu beschleunigen. Wenn Sie einen externen Identitätsanbieter (IdP) verwenden, konfigurieren Sie Ihren Identitätsanbieter für MFA.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Erstellen Sie eine AWS Identity and Access Management-Richtlinie (IAM), um die MFA-Anmeldung zu erzwingen: Erstellen Sie eine vom Kunden verwaltete IAM-Richtlinie, die alle IAM-Aktionen untersagt, außer die, mit denen die Benutzer Rollen annehmen, ihre eigenen Anmeldeinformationen ändern und ihre MFA-Geräte verwalten können (auf der [Seite „My Security Credentials“)](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1).
+ Aktivieren Sie MFA beim Identitätsanbieter: Aktivieren Sie [MFA](https:/aws.amazon.com/iam/details/mfa) bei dem Identitätsanbieter oder Single Sign-on-Service, den Sie verwenden, z. B. [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/step1.html).
+ Konfigurieren Sie eine sichere Passwortrichtlinie: Konfigurieren Sie eine sichere [Passwortrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html?ref=wellarchitected) in IAM- und Identitätsverbundsystemen, um sich vor Brute-Force-Angriffen zu schützen.
+ [Regelmäßiges Ändern von Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#rotate-credentials): Sorgen Sie dafür, dass Administratoren Ihres Workloads die eigenen Passwörter und ggf. Zugriffsschlüssel regelmäßig ändern.
## Ressourcen
**Zugehörige Dokumente:**
+ [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html?ref=wellarchitected)
+ [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html?ref=wellarchitected)
+ [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html?ref=wellarchitected)
+ [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Relevante Videos:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit IAM Identity Center)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP02 Verwenden von temporären Anmeldeinformationen
Erzwingen Sie, dass Identitäten [temporäre Anmeldeinformationen dynamisch](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_request.html). Verwenden Sie für Identitäten von Arbeitskräften AWS IAM Identity Center oder einen Verbund mit AWS Identity and Access Management-Rollen (IAM), um auf AWS-Konten zuzugreifen. Für Maschinenidentitäten, wie Amazon Elastic Compute Cloud-Instances (Amazon EC2) oder AWS Lambda-Funktionen, fordern Sie die Verwendung von IAM-Rollen anstelle von IAM-Benutzern mit langfristigen Zugriffsschlüsseln.
Für Identitäten von Personen, die die AWS-Managementkonsole verwenden, müssen Benutzer temporäre Anmeldeinformationen anfordern und einen Verbund mit AWS erstellen. Dies kann über das AWS IAM Identity Center-Benutzerportal erfolgen. Für Benutzer, die CLI-Zugriff benötigen, stellen Sie sicher, dass sie die [AWS CLI v2](http://aws.amazon.com/blogs/developer/aws-cli-v2-is-now-generally-available/)verwenden, die die direkte Integration mit IAM Identity Center unterstützt. Benutzer können CLI-Profile erstellen, die mit IAM-Identity-Center-Konten und -Rollen verknüpft sind. Die CLI ruft automatisch AWS-Anmeldeinformationen aus IAM Identity Center ab und aktualisiert sie in Ihrem Namen. Dadurch müssen temporäre AWS-Anmeldeinformationen nicht mehr aus der IAM Identity Center-Konsole kopiert und eingefügt werden. Für SDK sollten sich Benutzer zur Übernahme von Rollen auf AWS -Security-Token-Service (AWS STS) verlassen, um temporäre Anmeldeinformationen zu erhalten. In bestimmten Fällen sind temporäre Anmeldeinformationen möglicherweise nicht praktisch. Sie sollten sich der Risiken bewusst sein, die durch das Speichern von Zugriffsschlüsseln entstehen, diese häufig ändern und wenn möglich eine Multi-Faktor-Authentifizierung (MFA) verlangen. Bestimmen Sie anhand der Informationen zum letzten Zugriff, wann Zugriffsschlüssel rotiert oder entfernt werden sollten.
Wenn Sie Konsumenten Zugriff auf Ihre AWS-Ressourcen gewähren müssen, verwenden Sie [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/role-based-access-control.html) -Identitäten-Pools und weisen Sie ihnen temporäre Anmeldeinformationen mit eingeschränkten Berechtigungen für den Zugriff auf Ihre AWS-Ressourcen zu. Die Berechtigungen für jeden Benutzer werden über [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) gesteuert, die Sie erstellen. Sie können Regeln definieren, um die Rolle für jeden Benutzer basierend auf Ansprüchen im ID-Token des Benutzers auszuwählen. Sie können eine Standardrolle für authentifizierte Benutzer definieren. Sie können auch eine separate IAM-Rolle mit eingeschränkten Berechtigungen für Gastbenutzer definieren, die nicht authentifiziert sind.
Für Maschinenidentitäten sollten Sie sich auf IAM-Rollen verlassen, um Zugriff auf AWS zu gewähren. Für Amazon Elastic Compute Cloud-Instances (Amazon EC2) können Sie [Rollen für Amazon EC2](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use_switch-role-ec2.html)verwenden. Sie können Ihrer Amazon EC2-Instance eine IAM-Rolle zuweisen, damit Ihre in Amazon EC2 ausgeführten Anwendungen temporäre Sicherheitsanmeldeinformationen verwenden können, die AWS über den Instance Metadata Service (IMDS) automatisch erstellt, verteilt und regelmäßig ändert. Die [aktuelle Version](https://aws.amazon.com/blogs/security/defense-in-depth-open-firewalls-reverse-proxies-ssrf-vulnerabilities-ec2-instance-metadata-service/) von IMDS schützt vor Schwachstellen, die die temporären Anmeldeinformation offenlegen, und sollten implementiert werden. Für den Zugriff auf Amazon EC2-Instances mithilfe von Schlüsseln oder Passwörtern ist [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html) eine sicherere Möglichkeit, auf Ihre Instances zuzugreifen und diese mit einem vorinstallierten Agent ohne das gespeicherte Secret zu verwalten. Darüber hinaus ermöglichen Ihnen andere AWS-Services wie AWS Lambda die Konfiguration einer IAM-Servicerolle, um dem Service Berechtigungen zum Ausführen von AWS-Aktionen unter Verwendung temporärer Anmeldeinformationen zu erteilen. In Situationen, in denen Sie keine temporären Anmeldeinformationen verwenden können, arbeiten Sie mit programmgesteuerten Tools wie [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/), um die Rotation und Verwaltung von Anmeldeinformation zu automatisieren.
**Regelmäßiges Überprüfen und Ändern von Anmeldeinformationen: **Eine regelmäßige Validierung, vorzugsweise durch ein automatisiertes Tool, ist erforderlich, um zu überprüfen, ob die richtigen Kontrollen angewendet werden. Für Personenidentitäten sollten Sie festlegen, dass Benutzer ihre Passwörter regelmäßig ändern und anstelle von Zugriffsschlüsseln temporäre Anmeldeinformationen verwenden. Bei der Umstellung von IAM-Benutzern zu zentralisierten Identitäten können Sie [einen Bericht zu Anmeldeinformationen generieren ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html), um Ihre IAM-Benutzer zu überprüfen. Wir empfehlen außerdem, dass Sie die MFA-Einstellungen in Ihrem Identitätsanbieter erzwingen. Sie können [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) einrichten, um diese Einstellungen zu überwachen. Für Maschinenidentitäten sollten Sie sich auf temporäre Anmeldeinformationen mit IAM-Rollen verlassen. In Situationen, in denen dies nicht möglich ist, ist eine häufige Prüfung und Änderung von Zugriffsschlüsseln erforderlich.
**Sicheres Speichern und Verwenden von geheimen Schlüsseln:** Verwenden Sie für Anmeldeinformationen, die nicht IAM-bezogen sind und für die keine temporären Anmeldeinformationen genutzt werden können, z. B. Datenbankanmeldungen, einen Service, der für die Verwaltung von Secrets entwickelt wurde, z. B. [Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager vereinfacht die Verwaltung, Änderung und sichere Speicherung verschlüsselter Secrets mit [unterstützten Diensten](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Aufrufe für den Zugriff auf die Secrets werden zu Prüfungszwecken in AWS CloudTrail protokolliert und IAM-Berechtigungen können Zugriff auf sie mit den geringsten Rechten gewähren.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Implementieren Sie Richtlinien zur geringsten Berechtigung: Weisen Sie IAM-Gruppen und -Rollen Zugriffsrichtlinien zu, die in ihrem Umfang möglichst gering und an den Tätigkeitsbereich der Benutzer angepasst sind.
+ [Gewähren von geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ Entfernen Sie unnötige Berechtigungen: Implementieren Sie das Prinzip der geringsten Berechtigung, indem Sie unnötige Berechtigungen zurücknehmen.
+ [Reduzieren des Richtlinienbereichs durch Anzeigen der Benutzeraktivität](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [Anzeigen des Rollenzugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-delete_prerequisites)
+ Eine Berechtigungsgrenze ist eine erweiterte Funktion für eine verwaltete Richtlinie. Sie legt die maximalen Berechtigungen fest, die mit einer identitätsbasierten Richtlinie einer IAM-Entität erteilt werden kann. Eine Berechtigungsgrenze erlaubt einer Entität nur die Ausführung jener Aktionen, die sowohl nach ihren identitätsbasierten Richtlinien als auch nach ihren Berechtigungsgrenzen zulässig sind.
+ [Übung: IAM-Berechtigungsgrenzen – Übertragung der Rollenerstellung](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
+ Erwägen Sie die Verwendung von Ressourcen-Tags für Berechtigungen: Mit Tags können Sie den Zugriff auf die AWS-Ressourcen steuern, die das Tagging unterstützen. Sie können IAM-Benutzer und -Rollen auch taggen, um zu steuern, worauf sie zugreifen können.
+ [Übung: IAM Tag-basierte Zugriffskontrolle für EC2](https://wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
+ [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
## Ressourcen
**Zugehörige Dokumente:**
+ [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Relevante Videos:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP03 Sicheres Speichern und Verwenden von Secrets
Speichern Sie Arbeitskräfte- und Maschinenidentitäten, die Secrets wie Passwörter für Drittanbieter-Anwendungen erfordern, mit automatischer Rotation unter Verwendung der neuesten Branchenstandards in einem spezialisierten Service. Für Anmeldeinformationen, die nicht IAM-bezogen sind und für die keine temporären Anmeldeinformation verwendet werden können, z. B. Datenbankanmeldungen, nutzen Sie einen Service, der für die Verwaltung von Secrets entwickelt wurde, z. B. AWS Secrets Manager. Mit Secrets Manager können Sie bequem verschlüsselte Secrets mit unterstützten Services verwalten, rotieren und sicher speichern. Aufrufe für den Zugriff auf die Secrets werden zu Prüfungszwecken in AWS CloudTrail protokolliert und IAM-Berechtigungen können Zugriff auf sie mit den geringsten Rechten gewähren.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Verwenden Sie AWS Secrets Manager: [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) ist ein AWS-Service für die einfache Verwaltung von Secrets. Geheime Schlüssel können Datenbank-Anmeldeinformationen, Passwörter, API-Schlüssel von Dritten und sogar beliebiger Text sein.
## Ressourcen
**Ähnliche Dokumente:**
+ [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
**Ähnliche Videos:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4)
# SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter
Verlassen Sie sich bei Identitäten von Arbeitskräften auf einen Identitätsanbieter, mit dem Sie Identitäten zentral verwalten können. Dadurch ist es einfacher, den Zugriff über mehrere Anwendungen und Services hinweg zu verwalten, da Sie den Zugriff von einem einzigen Standort aus erstellen, verwalten und widerrufen. Wenn beispielsweise jemand Ihr Unternehmen verlässt, können Sie den Zugriff für alle Anwendungen und Services (einschließlich AWS) an einem Standort widerrufen. Dies reduziert die Notwendigkeit mehrerer Anmeldeinformationen und bietet die Möglichkeit der Integration in bereits vorhandene HR-Prozesse.
Für den Verbund mit einzelnen AWS-Konten können Sie zentrale Identitäten für AWS mit einem SAML 2.0-basierten Anbieter mit AWS Identity and Access Management verwenden. Sie können jeden Anbieter verwenden, der von Ihnen in AWS oder außerhalb von AWS gehostet oder vom AWS Partner bereitgestellt wird und mit dem [SAML 2.0](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_saml.html) -Protokoll kompatibel ist. Sie können einen Verbund zwischen Ihrem AWS-Konto und dem von Ihnen gewählten Anbieter verwenden, um einem Benutzer oder einer Anwendung Zugriff zum Aufrufen von AWS-API-Vorgängen zu gewähren, indem Sie über eine SAML-Zusicherung temporäre Sicherheitsanmeldeinformationen abrufen. Webbasiertes SSO wird ebenfalls unterstützt, sodass sich Benutzer über Ihre Website bei der AWS-Managementkonsole anmelden können.
Für den Verbund mit mehreren Konten in Ihrer AWS Organizations können Sie Ihre Identitätsquelle in [AWS IAM Identity Center (IAM Identity Center)](http://aws.amazon.com/single-sign-on/)konfigurieren und angeben, wo Ihre Benutzer und Gruppen gespeichert werden. Nach der Konfiguration ist Ihr Identitätsanbieter Ihre Quelle der Wahrheit. Informationen können mithilfe des SCIM-Protokolls (System for Cross-Domain Identity Management) v2.0 [synchronisiert](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) werden. Anschließend können Sie Benutzer oder Gruppen abrufen und ihnen IAM Identity Center-Zugriff auf AWS-Konten, Cloud-Anwendungen oder beides gewähren.
IAM Identity Center ist in AWS Organizations integriert, sodass Sie Ihren Identitätsanbieter einmal konfigurieren und dann [Zugriff auf vorhandene und neue Konten gewähren](https://docs.aws.amazon.com/singlesignon/latest/userguide/useraccess.html) können, die in Ihrem Unternehmen verwaltet werden. IAM Identity Center bietet Ihnen einen Standardspeicher, den Sie verwenden können, um Ihre Benutzer und Gruppen zu verwalten. Wenn Sie sich für die Verwendung des IAM Identity Center-Speichers entscheiden, erstellen Sie Ihre Benutzer und Gruppen und weisen deren Zugriffsebene Ihren AWS-Konten und -Anwendungen zu. Beachten Sie dabei die bewährte Methode der geringsten Berechtigung. Alternativ können Sie eine [Verbindung zu Ihrem externen Identitätsanbieter ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html)über SAML 2.0 oder eine [Verbindung zu Ihrem Microsoft AD-Verzeichnis](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) über AWS Directory Service herstellen. Nach der Konfiguration können Sie sich bei der AWS-Managementkonsole oder der mobilen AWS-App anmelden, indem Sie sich über Ihren zentralen Identitätsanbieter authentifizieren.
Für die Verwaltung von Endbenutzern oder Verbrauchern Ihrer Workloads, z. B. einer mobilen App, können Sie [Amazon Cognito](http://aws.amazon.com/cognito/). Es bietet Authentifizierung, Autorisierung und Benutzerverwaltung für Ihre Web- und mobilen Anwendungen. Ihre Benutzer können sich direkt mit einem Benutzernamen und Passwort oder über einen Drittanbieter wie Amazon, Apple, Facebook oder Google anmelden.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
+ Zentralisieren Sie den administrativen Zugriff: Erstellen Sie im IAM-Identitätsanbieter (Identity and Access Management) eine Entität, um eine Vertrauensstellung zwischen Ihrem AWS-Konto und dem Identitätsanbieter (IDP) herzustellen. IAM unterstützt Identitätsanbieter, die mit OpenID Connect (OIDC) oder SAML 2.0 (Security Assertion Markup Language 2.0) kompatibel sind.
+ [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ Zentralisieren Sie den Anwendungszugriff: Erwägen Sie, Amazon Cognito zum Zentralisieren des Anwendungszugriffs zu verwenden. Damit können Sie Ihren Webanwendungen und mobilen Apps auf schnelle und einfache Weise die Benutzerregistrierung und -anmeldung sowie die Zugriffskontrolle hinzufügen. [Amazon Cognito](https://aws.amazon.com/cognito/) lässt sich auf Millionen von Benutzern hochskalieren. Es unterstützt die Anmeldung mit Social-Identity-Anbietern wie Facebook, Google und Amazon sowie mit Unternehmens-Identitätsanbietern über SAML 2.0.
+ Entfernen Sie alte IAM-Benutzer und -Gruppen: Sobald Sie einen Identitätsanbieter (IDP) verwenden, sollten Sie nicht mehr benötigte IAM-Benutzer und -Gruppen entfernen.
+ [Suchen nach ungenutzten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)
+ [Löschen einer IAM-Benutzergruppe](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html)
## Ressourcen
**Ähnliche Dokumente:**
+ [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
+ [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Ähnliche Videos:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen
Wenn Sie sich nicht auf temporäre Anmeldeinformationen verlassen können und langfristige Anmeldeinformationen benötigen, prüfen Sie die Anmeldeinformationen, um sicherzustellen, dass die definierten Kontrollen (z. B. Multi-Faktor-Authentifizierung, MFA) erzwungen und regelmäßig rotiert werden sowie über die entsprechende Zugriffsebene verfügen. Eine regelmäßige Validierung, vorzugsweise durch ein automatisiertes Tool, ist erforderlich, um zu überprüfen, ob die richtigen Kontrollen angewendet werden. Für Personenidentitäten sollten Sie festlegen, dass Benutzer ihre Passwörter regelmäßig ändern und anstelle von Zugriffsschlüsseln temporäre Anmeldeinformationen verwenden. Bei der Umstellung von AWS Identity and Access Management-Benutzern (IAM) zu zentralisierten Identitäten können Sie [einen Bericht zu Anmeldeinformationen generieren ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html), um Ihre IAM-Benutzer zu überprüfen. Wir empfehlen außerdem, dass Sie die MFA-Einstellungen in Ihrem Identitätsanbieter erzwingen. Sie können [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) einrichten, um diese Einstellungen zu überwachen. Für Maschinenidentitäten sollten Sie sich auf temporäre Anmeldeinformationen mit IAM-Rollen verlassen. In Situationen, in denen dies nicht möglich ist, ist eine häufige Prüfung und Änderung von Zugriffsschlüsseln erforderlich.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Prüfen Sie Anmeldeinformationen regelmäßig: Verwenden Sie Berichte zu Anmeldeinformationen und Identify and Access Management (IAM) Access Analyzer, um IAM-Anmeldeinformationen und -Berechtigungen zu prüfen.
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
+ [Übung: Automated IAM user cleanup (Automatisierte Bereinigung von IAM-Benutzern)](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool)
+ Verwenden Sie Zugriffsebenen, um IAM-Berechtigungen zu prüfen: Um die Sicherheit Ihres AWS-Konto-Kontos zu erhöhen, sollten Sie Ihre IAM-Richtlinien regelmäßig überprüfen und überwachen. Sorgen Sie dafür, dass mit den Richtlinien Zugriffsrechte nur in dem Umfang erteilt werden, wie sie für die jeweiligen Aktionen erforderlich sind.
+ [Überprüfen von IAM-Berechtigungen mithilfe von Zugriffsebenen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions)
+ Erwägen Sie, die Erstellung und Aktualisierung von IAM-Ressourcen zu automatisieren: Mit AWS CloudFormation kann die Bereitstellung von IAM-Ressourcen einschließlich Rollen und Richtlinien automatisiert werden. So lässt sich die Zahl menschlicher Fehler verringern, da die Vorlagen verifiziert und ihre Versionen kontrolliert werden können.
+ [Übung: Automated deployment of IAM groups and roles (Automatisierte Bereitstellung von IAM-Gruppen und -Rollen)](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html)
## Ressourcen
**Zugehörige Dokumente:**
+ [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control)
+ [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)
**Relevante Videos:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
# SEC02-BP06 Nutzen von Benutzergruppen und Attributen
Wenn die Anzahl der von Ihnen verwalteten Benutzer zunimmt, müssen Sie diese so organisieren, dass Sie sie im erforderlichen Umfang verwalten können. Platzieren Sie Benutzer mit allgemeinen Sicherheitsanforderungen in Gruppen, die von Ihrem Identitätsanbieter definiert wurden, und implementieren Sie Mechanismen, um sicherzustellen, dass Benutzerattribute, die für die Zugriffskontrolle verwendet werden können (zum Beispiel Abteilung oder Standort), korrekt und auf dem neuesten Stand sind. Verwenden Sie diese Gruppen und Attribute anstelle einzelner Benutzer, um den Zugriff zu steuern. Auf diese Weise können Sie den Zugriff zentral verwalten, indem Sie die Gruppenmitgliedschaft oder Attribute eines Benutzers einmal mit einem [Berechtigungssatz](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html)ändern, anstatt viele einzelne Richtlinien zu aktualisieren, wenn sich die Zugriffsanforderungen eines Benutzers ändern. Sie können AWS IAM Identity Center (IAM Identity Center) verwenden, um Benutzergruppen und Attribute zu verwalten. IAM Identity Center unterstützt die am häufigsten verwendeten Attribute unabhängig davon, ob sie manuell während der Benutzererstellung eingegeben oder automatisch mithilfe einer Synchronisierungs-Engine bereitgestellt werden, wie in der Spezifikation „System for Cross-Domain Identity Management (SCIM)“ definiert.
Platzieren Sie Benutzer mit allgemeinen Sicherheitsanforderungen in Gruppen, die von Ihrem Identitätsanbieter definiert wurden, und implementieren Sie Mechanismen, um sicherzustellen, dass Benutzerattribute, die für die Zugriffskontrolle verwendet werden können (zum Beispiel Abteilung oder Standort), korrekt und auf dem neuesten Stand sind. Verwenden Sie diese Gruppen und Attribute anstelle einzelner Benutzer, um den Zugriff zu steuern. Auf diese Weise können Sie den Zugriff zentral verwalten, indem Sie die Gruppenmitgliedschaft oder Attribute eines Benutzers einmal ändern, anstatt viele einzelne Richtlinien zu aktualisieren, wenn sich die Zugriffsanforderungen eines Benutzers ändern.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
+ Konfigurieren Sie Gruppen, wenn Sie AWS IAM Identity Center (IAM Identity Center) verwenden: IAM Identity Center bietet Ihnen die Möglichkeit, Benutzergruppen zu konfigurieren und Gruppen die gewünschte Berechtigungsstufe zuzuweisen.
+ [AWS Single Sign-On – Verwalten von Identitäten](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ Informieren Sie sich über die attributbasierte Zugriffskontrolle (ABAC): ABAC (Attribute-based Access Control) ist eine Autorisierungsstrategie, die Berechtigungen basierend auf Attributen definiert.
+ [Was ist ABAC für AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Übung: IAM Tag-basierte Zugriffskontrolle für EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)
## Ressourcen
**Ähnliche Dokumente:**
+ [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html)
+ [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html)
+ [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html)
**Ähnliche Videos:**
+ [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4)
+ [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E)
+ [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)
**Ähnliche Beispiele:**
+ [Übung: IAM Tag-basierte Zugriffskontrolle für EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)