# SICH 3 Wie verwalten Sie Berechtigungen für Personen und Maschinen?
Verwalten Sie Berechtigungen zum Steuern des Zugriffs auf Personen- und Maschinenidentitäten, die Zugriff auf AWS und Ihren Workload benötigen. Berechtigungen steuern, wer worauf und unter welchen Bedingungen zugreifen kann.
**Topics**
+ [SEC03-BP01 Definieren von Zugriffsanforderungen](sec_permissions_define.md)
+ [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Einrichtung eines Notfallzugriffprozesses](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen](sec_permissions_share_securely.md)
# SEC03-BP01 Definieren von Zugriffsanforderungen
Administratoren, Endbenutzer oder andere Komponenten müssen auf jede Komponente oder Ressource Ihres Workloads zugreifen. Sie müssen eine klare Definition davon haben, wer oder was Zugriff auf die einzelnen Komponenten haben soll. Anschließend wählen Sie den entsprechenden Identitätstyp und die entsprechende Authentifizierungs- und Autorisierungsmethode aus.
**Typische Anti-Muster:**
+ Hartkodierung oder Speicherung von geheimen Daten in Ihrer Anwendung
+ Gewähren individueller Berechtigungen für alle Nutzer
+ Verwendung langlebiger Anmeldeinformationen
**Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Hoch
## Implementierungsleitfaden
Administratoren, Endbenutzer oder andere Komponenten müssen auf jede Komponente oder Ressource Ihres Workloads zugreifen. Sie müssen eine klare Definition davon haben, wer oder was Zugriff auf die einzelnen Komponenten haben soll. Anschließend wählen Sie den entsprechenden Identitätstyp und die entsprechende Authentifizierungs- und Autorisierungsmethode aus.
Regulärer Zugriff auf AWS-Konten in der Organisation sollte per [Verbundzugriff](https://aws.amazon.com/identity/federation/) oder einen zentralen Identitätsanbieter bereitgestellt werden. Sie sollten auch Ihr Identitätsmanagement zentralisieren und sicherstellen, dass es ein etabliertes Verfahren zur Integration des AWS-Zugriffs in den Zugriffslebenszyklus der Mitarbeiter gibt Wenn beispielsweise ein Mitarbeiter in eine Rolle mit einer anderen Zugriffsstufe wechselt, sollte sich auch dessen Gruppenmitgliedschaft so ändern, dass die neuen Zugriffsanforderungen berücksichtigt werden.
Legen Sie bei der Definition der Zugriffsanforderungen für nicht menschliche Identitäten fest, welche Anwendungen und Komponenten Zugriff benötigen und wie die Berechtigungen gewährt werden. Eine empfohlene Vorgehensweise ist die Verwendung von nach dem Modell der geringsten Berechtigung entwickelten IAM-Rollen. [AWS-verwaltete Richtlinien](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) bieten vordefinierte IAM-Richtlinien für die meisten typischen Anwendungsfälle.
AWS-Services wie beispielsweise [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) und [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html)können dabei helfen, Secrets in sicherer Weise von Anwendungen oder Workloads zu trennen, wenn es nicht möglich ist, IAM-Rollen zu verwenden. In Secrets Manager können Sie die automatische Rotation Ihrer Anmeldeinformationen einrichten. Mit Systems Manager können Sie auf Parameter in Ihren Skripts, Befehlen, SSM-Dokumenten, Konfigurations- und Automatisierungsworkflows verweisen, indem Sie den bei der Erstellung des Parameters angegebenen eindeutigen Namen verwenden.
Sie können AWS Identity and Access Management Roles Anywhere verwenden, um [temporäre Sicherheitsanmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) für Workloads zu erhalten, die außerhalb von AWS ausgeführt werden. Ihre Workloads können dieselben [IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) und [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) verwenden, die Sie für AWS-Anwendungen zum Zugriff auf AWS-Ressourcen nutzen.
Verwenden Sie nach Möglichkeit kurzfristige temporäre anstelle langfristiger statischer Anmeldeinformationen. Verwenden Sie für Szenarien, in denen Sie IAM-Nutzer mit programmatischem Zugriff und langfristigen Anmeldeinformationen benötigen, [Informationen über die letzte Nutzung von Zugriffsschlüsseln,](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) um Zugriffsschlüssel zu entfernen und zu rotieren.
## Ressourcen
**Zugehörige Dokumente:**
+ [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [AWS-verwaltete Richtlinien für IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS-IAM-Richtlinienbedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM-Anwendungsfälle](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Entfernen von nicht benötigten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [Steuerung des Zugriffs auf AWS-Ressourcen auf der Grundlage von AWS-Konto, OU oder Organisation](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identifizieren, Arrangieren und Verwalten von geheimen Daten mithilfe der erweiterten Suche in AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Zugehörige Videos:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Experte für IAM-Richtlinien in unter 60 Minuten)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Trennung von Pflichten, geringste Berechtigung, Delegierung und CI/CD)](https://youtu.be/3H0i7VyTu70)
+ [Streamlining identity and access management for innovation (Optimieren des Identitäts- und Zugriffsmanagements für Innovation)](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen
Gewähren Sie nur den Zugriff, den Identitäten wirklich benötigen, indem Sie den Zugriff auf bestimmte Aktionen auf bestimmten AWS-Ressourcen unter bestimmten Bedingungen erlauben. Nutzen Sie Gruppen und Identitätsattribute, um Berechtigungen dynamisch in großem Umfang festzulegen, anstatt Berechtigungen für einzelne Benutzer zu definieren. Sie können beispielsweise einer Gruppe von Entwicklern den Zugriff erlauben, nur die Ressourcen für ihr Projekt zu verwalten. Wenn ein Entwickler aus der Gruppe entfernt wird, wird der Zugriff für den Entwickler überall widerrufen, wo die Gruppe für die Zugriffskontrolle verwendet wurde, ohne dass Änderungen an den Zugriffsrichtlinien erforderlich sind.
**Typische Anti-Muster:**
+ Standardmäßige Gewährung von Administratorberechtigungen für Benutzer
+ Verwendung des Root-Kontos für alltägliche Aktivitäten
**Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Hoch
## Implementierungsleitfaden
Durch die Einführung des Prinzips der [Minimal erforderlichen Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) stellen Sie sicher, dass Identitäten zum Erledigen einer Aufgabe nur die minimal erforderlichen Funktionen ausführen dürfen. Dabei wird ein ausgewogenes Verhältnis zwischen Nutzbarkeit und Effizienz geschaffen. Wenn Sie nach diesem Prinzip arbeiten, schränken Sie den unbeabsichtigten Zugriff ein und stellen sicher, dass Sie überprüfen können, wer Zugriff auf welche Ressourcen hat. In AWS haben Identitäten standardmäßig keine Berechtigungen, mit Ausnahme des Root-Benutzers. Die Anmeldeinformationen für den Root-Benutzer müssen eng kontrolliert und dürfen nur für einige wenige [bestimmte Aufgaben verwendet werden](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html).
Sie verwenden Richtlinien, um explizit Berechtigungen zu erteilen, die IAM- oder Ressourcen-Entitäten angefügt sind, z. B. eine IAM-Rolle, die von Verbundidentitäten oder -maschinen verwendet wird, oder Ressourcen (z. B. S3-Buckets). Wenn Sie eine Richtlinie erstellen und anfügen, können Sie die Serviceaktionen, Ressourcen und Bedingungen angeben, die erfüllt sein müssen, damit AWS den Zugriff erlauben kann. AWS unterstützt eine Vielzahl von Bedingungen, mit denen Sie den Zugriff einschränken können. Wenn Sie beispielsweise den `Bedingungsschlüssel` [PrincipalOrgID](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)verwenden, wird die Kennung von AWS Organizations überprüft, sodass der Zugriff innerhalb Ihrer AWS-Organisation gewährt werden kann.
Sie können auch Anforderungen kontrollieren, die AWS-Services in Ihrem Namen stellen, wie das Erstellen einer AWS CloudFormation-Funktion durch AWS Lambda. Dazu verwenden Sie den `CalledVia` -Bedingungsschlüssel. Sie sollten unterschiedliche Richtlinientypen in Ebenen organisieren, um die Berechtigungen in einem Konto insgesamt effektiv zu begrenzen. So können Sie beispielsweise Ihren Anwendungsteams gestatten, ihre eigenen IAM-Richtlinien zu erstellen. Verwenden Sie aber eine [Berechtigungsgrenze](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) zur Begrenzung der maximalen Berechtigungen, die das Team gewähren kann.
Es gibt verschiedene AWS-Funktionen, die Ihnen bei der Skalierung des Berechtigungsmanagements und der Einhaltung des Prinzips der geringsten Berechtigungen helfen. [Auf Attributen basierende Zugriffssteuerung](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) ermöglicht die Begrenzung der Berechtigungen auf der Grundlage des *[Tags](https://docs.aws.amazon.com/whitepapers/latest/tagging-best-practices/tagging-best-practices.html)* einer Ressource, um Autorisierungsentscheidungen je nach den der Ressource zugewiesenen Tags und dem aufrufenden IAM-Prinzipal zu treffen. Dadurch können Sie Ihre Tagging- und Ihre Berechtigungsrichtlinie kombinieren, um detailliert gesteuerte Ressourcenzugriffe zu ermöglichen, ohne dass dazu viele spezielle Richtlinien erforderlich sind.
Eine andere Möglichkeit zur Erstellung einer Richtlinie mit geringsten Berechtigungen besteht darin, sie nach der Ausführung einer Aktivität auf CloudTrail-Berechtigungen zu basieren. [IAM Access Analyzer kann automatisch IAM-Richtlinien auf der Grundlage einer Aktivität generieren](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/). Sie können auch IAM Access Advisor auf der Ebene der Organisation oder einzelner Konten verwenden, um [die für eine bestimmte Richtlinie zuletzt verwendeten Informationen nachzuverfolgen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).
Richten Sie regelmäßige Prüfungen dieser Details und einen Plan zum Entfernen nicht benötigter Berechtigungen ein. Sie sollten Integritätsschutz für Berechtigungen in Ihrer AWS-Organisation einrichten, um die Höchstzahl der Berechtigungen innerhalb eines Mitgliedskontos zu begrenzen. Services wie beispielsweise [AWS Control Tower bieten präskriptive und verwaltete präventive Steuerungen](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) und ermöglichen Ihnen die Definition Ihrer eigenen Steuerungen.
## Ressourcen
**Zugehörige Dokumente:**
+ [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Techniken zum Erstellen von IAM-Richtlinien mit geringsten Berechtigungen](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer erleichtert die Implementierung geringster Berechtigungen durch die Generierung von IAM-Richtlinien auf der Grundlage der Zugriffsaktivitäten](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Verfeinern der Berechtigungen mithilfe der zuletzt genutzten Informationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM-Richtlinienarten und wann sie verwendet werden sollten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [Integritätsschutz in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Zero-Trust-Architekturen: Eine AWS-Perspektive](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [Implementieren des Prinzips der geringsten Berechtigung mit CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
**Zugehörige Videos:**
+ [Next-generation permissions management (Berechtigungsmanagement der nächsten Generation)](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: An AWS perspective (Zero Trust: Eine AWS-Perspektive)](https://www.youtube.com/watch?v=1p5G1-4s1r0)
+ [How can I use permissions boundaries to limit IAM users and roles to prevent privilege escalation? (Wie kann ich mit Berechtigungsgrenzen IAM-Benutzer und -Rollen einschränken, um die Eskalation von Berechtigungen zu vermeiden?)](https://www.youtube.com/watch?v=omwq3r7poek)
**Zugehörige Beispiele:**
+ [Übung: IAM-Berechtigungsgrenzen – Übertragung der Rollenerstellung](https://wellarchitectedlabs.com/Security/300_IAM_Permission_Boundaries_Delegating_Role_Creation/README.html)
# SEC03-BP03 Einrichtung eines Notfallzugriffprozesses
Ein Prozess, der den Notfallzugriff auf Ihren Workload im unwahrscheinlichen Fall eines automatisierten Prozesses oder eines Pipeline-Problems ermöglicht. Auf diese Weise können Sie den Zugriff mit der geringsten Berechtigung nutzen, aber sicherstellen, dass Benutzer bei Bedarf die richtige Zugriffsebene erhalten. Richten Sie beispielsweise einen Prozess ein, mit dem Administratoren die Anfrage prüfen und genehmigen, z. B. eine kontoübergreifende AWS-Rolle für den Zugriff im Notfall. Alternativ können Sie ein spezifisches Verfahren festlegen, das Administratoren zur Validierung und Genehmigung einer Notfallanfrage befolgen müssen.
**Typische Anti-Muster:**
+ Fehlen eines Notfallprozesses für die Wiederherstellung nach einem Ausfall mit Ihrer vorhandenen Identitätskonfiguration
+ Gewähren langfristiger erhöhter Berechtigungen für Fehlerbehebungs- oder Wiederherstellungszwecke
**Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Mittel
## Implementierungsleitfaden
Die Einrichtung eines Notfallzugriffs kann verschiedene Formen haben, auf die Sie vorbereitet sein sollten. Die erste davon ist der Ausfall Ihres primären Identitätsanbieters. Für diesen Fall benötigen Sie ein zweites Zugriffsverfahren mit den für die Wiederherstellung erforderlichen Berechtigungen. Dieses Verfahren kann ein weiterer Identitätsanbieter oder ein IAM-Benutzer sein. Dieses zweite Verfahren muss [eng kontrolliert und überwacht werden und](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity/) bei Verwendung eine Benachrichtigung ausgeben. Die Identität für den Notfallzugriff sollte von einem Konto stammen, das speziell diesem Zweck dient, und nur über die Berechtigungen verfügen, die erforderlich sind, um eine Rolle für die Wiederherstellung anzunehmen.
Weiterhin sollten Sie auf den Notfallzugriff vorbereitet sein, wo erhöhte administrative Zugriffsberechtigungen erforderlich sind. Ein typisches Szenario besteht darin, Änderungsberechtigungen auf einen automatisierten Prozess für die Bereitstellung von Änderungen zu beschränken. Wenn bei diesem Prozess ein Problem auftritt, müssen Nutzer möglicherweise erhöhte Berechtigungen anfragen, um die Funktionalität wiederherstellen zu können. Richten Sie dafür einen Prozess ein, bei dem Nutzer erhöhte Zugriffsberechtigungen anfragen und Administratoren diese prüfen und genehmigen können. Die Implementierungspläne, die die bewährten Methoden für die Vorab-Bereitstellung von Zugriff und die Einrichtung von Notfall-, *„Break Glass“-*Rollen enthalten, werden bereitgestellt im Rahmen von [SEC10-BP05 Vorab bereitgestellter Zugriff](sec_incident_response_pre_provision_access.md).
## Ressourcen
**Zugehörige Dokumente:**
+ [Überwachen und Benachrichtigen auf AWS](https://aws.amazon.com/blogs/mt/monitor-and-notify-on-aws-account-root-user-activity)
+ [Verwalten vorübergehend erhöhter Zugriffsberechtigungen](https://aws.amazon.com/blogs/security/managing-temporary-elevated-access-to-your-aws-environment/)
**Zugehöriges Video:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Experte für IAM-Richtlinien in unter 60 Minuten)](https://youtu.be/YQsK4MtsELU)
# SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen
Wenn Teams und Workloads bestimmen, welchen Zugriff sie benötigen, entfernen Sie Berechtigungen, die sie nicht mehr verwenden, und erstellen Sie Überprüfungsprozesse, um Berechtigungen mit den geringsten Berechtigungen zu erzielen. Überwachen und reduzieren Sie kontinuierlich ungenutzte Identitäten und Berechtigungen.
Wenn Teams erst mit der Zusammenarbeit begonnen haben und Projekte gerade erst starten, können Sie sich entscheiden, einen umfassenden Zugang (in einer Entwicklungs- oder Testumgebung) zu gewähren, um Innovation und Agilität zu fördern. Dabei sollten Sie den Zugriff ständig überprüfen und, insbesondere bei Produktionsumgebungen, den Zugriff auf die erforderlichen Berechtigungen einschränken und das Prinzip der geringsten Berechtigungen einhalten. AWS bietet Zugriffsanalysefunktionen, mit denen Sie ungenutzte Zugriffe identifizieren können. Um Sie dabei zu unterstützen, ungenutzte Benutzer, Rollen, Berechtigungen und Anmeldeinformationen zu identifizieren, analysiert AWS die Zugriffsaktivitäten und stellt Informationen zu Zugriffsschlüsseln und zuletzt verwendeten Rollen bereit. Sie können den [Zeitstempel des letzten Zugriffs verwenden,](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html) um [ungenutzte Benutzer und Rollen zu identifizieren](http://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/)und sie zu entfernen. Darüber hinaus können Sie die Informationen zum letzten Service- und Aktionszugriff überprüfen, [um Berechtigungen für bestimmte Benutzer und Rollen zu identifizieren und enger zu fassen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html). Sie können beispielsweise Informationen zum letzten Zugriff verwenden, um die spezifischen Amazon Simple Storage Service-Aktionen (Amazon S3) zu identifizieren, die Ihre Anwendungsrolle erfordert, und den Zugriff auf diese beschränken. Diese Funktion ist in der AWS-Managementkonsole und programmgesteuert verfügbar, damit Sie sie in Ihre Infrastruktur-Workflows und automatisierten Tools integrieren können.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
+ Konfigurieren Sie AWS Identify and Access Management (IAM) Access Analyzer: AWS IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und Ihren Konten zu identifizieren, z. B. Amazon Simple Storage Service-Buckets (Amazon S3) oder IAM-Rollen, die mit einer externen Entität geteilt werden.
+ [AWS IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
## Ressourcen
**Zugehörige Dokumente:**
+ [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Gewähren von geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Entfernen von nicht benötigten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Relevante Videos:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Experte für IAM-Richtlinien in unter 60 Minuten)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Trennung von Pflichten, geringste Berechtigung, Delegierung und CI/CD)](https://youtu.be/3H0i7VyTu70)
# SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation
Richten Sie allgemeine Kontrollen ein, die den Zugriff auf alle Identitäten in Ihrer Organisation einschränken. Sie können beispielsweise den Zugriff auf bestimmte AWS-Regionen einschränken oder verhindern, dass Ihre Bediener gemeinsame Ressourcen löschen, z. B. eine IAM-Rolle, die für Ihr zentrales Sicherheitsteam verwendet wird.
**Typische Anti-Muster:**
+ Ausführen von Workloads in Ihrem Organisationsadministrator-Konto
+ Ausführen von Produktions- und Nicht-Produktionsworkloads im selben Konto
**Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Mittel
## Implementierungsleitfaden
Wenn Sie im Zuge Ihres Wachstums zusätzliche Workloads in AWS verwalten, sollten Sie diese Workloads mithilfe von Konten trennen und die Konten mit AWS Organizations verwalten. Wir empfehlen, allgemeinen Integritätsschutz für Berechtigungen einzurichten, der den Zugriff auf alle Identitäten in Ihrer Organisation einschränkt. Sie können beispielsweise den Zugriff auf bestimmte AWS-Regionen einschränken oder verhindern, dass Mitglieder Ihres Teams gemeinsame Ressourcen löschen, z. B. eine IAM-Rolle, die vom zentralen Sicherheitsteam verwendet wird.
Sie können beginnen, indem Sie Beispiel-Servicekontrollrichtlinien implementieren, die beispielsweise verhindern, dass Benutzer wichtige Services deaktivieren. SCPs verwenden die IAM-Richtliniensprache und ermöglichen Ihnen, Kontrollen einzurichten, die alle IAM-Prinzipale (Benutzer und Rollen) einhalten müssen. Sie können den Zugriff auf bestimmte Serviceaktionen und Ressourcen oder basierend auf bestimmten Bedingungen einschränken, um die Zugriffskontrollanforderungen Ihrer Organisation zu erfüllen. Falls erforderlich, können Sie Ausnahmen zum Integritätsschutz definieren. Sie können beispielsweise Serviceaktionen für alle IAM-Entitäten im Konto mit Ausnahme einer bestimmten Administratorrolle einschränken.
Wir empfehlen, die Ausführung von Workloads in Ihrem Veraltungskonto zu vermeiden. Das Verwaltungskonto sollte für den Einsatz und die Bereitstellung von Integritätsschutz für die Sicherheit verwendet werden, der sich auf Mitgliedskonten auswirkt. Manche AWS-Services unterstützen die Verwendung eines delegierten Administratorkontos. Wenn ein solches delegiertes Konto verfügbar ist, sollten Sie es anstelle des Verwaltungskontos verwenden. Sie sollten den Zugriff auf das Organisationsadministratorkonto strengstens einschränken.
Die Verwendung einer Mehrkonten-Strategie ermöglicht größere Flexibilität bei der Anwendung von Integritätsschutz auf Ihre Workloads. Die AWS Security Reference Architecture bietet präskriptive Anleitungen zur Gestaltung Ihrer Kontenstruktur. AWS-Services wie AWS Control Tower bieten Funktionen für die zentrale Verwaltung präventiver und erkennender Kontrollen in ihrer Organisation. Definieren Sie für jedes Konto bzw. jede OU in Ihrer Organisation einen klaren Zweck und schränken Sie die Steuerungen entsprechend diesem Zweck ein.
## Ressourcen
**Zugehörige Dokumente:**
+ [AWS Organizations](https://aws.amazon.com/organizations/)
+ [Service-Kontrollrichtlinien (SCPs),](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html)
+ [Bessere Nutzung von Servicekontrollrichtlinien in einer Mehrkontenumgebung](https://aws.amazon.com/blogs/security/get-more-out-of-service-control-policies-in-a-multi-account-environment/)
+ [AWS Security Reference Architecture (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html)
**Zugehörige Videos:**
+ [Enforce Preventive Guardrails using Service Control Policies (Durchsetzung von präventivem Integritätsschutz mit Servicekontrollrichtlinien)](https://www.youtube.com/watch?v=mEO05mmbSms)
+ [Building governance at scale with AWS Control Tower (Governance in großem Umfang mit AWS Control Tower)](https://www.youtube.com/watch?v=Zxrs6YXMidk)
+ [AWS Identity and Access Management deep dive (Tiefer Einblick in AWS Identity and Access Management)](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus
Integrieren Sie Zugriffskontrollen in den Operator- und Anwendungslebenszyklus sowie Ihren zentralen Verbundanbieter. Entfernen Sie beispielsweise den Zugriff eines Benutzers, wenn er die Organisation verlässt oder eine andere Rolle übernimmt.
Wenn Sie Workloads mit separaten Konten verwalten, müssen Sie Ressourcen für diese Konten freigeben. Wir empfehlen, dass Sie Ressourcen mit [AWS Resource Access Manager (AWS RAM)](http://aws.amazon.com/ram/). Mit diesem Service können Sie AWS-Ressourcen einfach und sicher innerhalb Ihrer AWS Organizations-Organisation und -Organisationseinheiten freigeben. Mithilfe von AWS RAM wird der Zugriff auf gemeinsam genutzte Ressourcen automatisch gewährt oder widerrufen, wenn Konten in die Organisation oder Organisationseinheit verschoben werden, für die sie freigegeben sind. Auf diese Weise können Sie sicherstellen, dass Ressourcen nur für die Konten freigegeben werden, die Sie beabsichtigen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
Verwenden eines Lebenszyklus für den Benutzerzugriff: Implementieren Sie eine Lebenszyklusrichtlinie für den Benutzerzugriff für neue Benutzer, Änderungen von Zuständigkeiten und das Ausscheiden von Benutzern, um sicherzustellen, dass nur aktuelle Benutzer Zugriff haben.
## Ressourcen
**Zugehörige Dokumente:**
+ [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Gewähren von geringsten Rechten](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Entfernen von nicht benötigten Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Arbeiten mit Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
**Relevante Videos:**
+ [Become an IAM Policy Master in 60 Minutes or Less (Experte für IAM-Richtlinien in unter 60 Minuten)](https://youtu.be/YQsK4MtsELU)
+ [Separation of Duties, Least Privilege, Delegation, and CI/CD (Trennung von Pflichten, geringste Berechtigung, Delegierung und CI/CD)](https://youtu.be/3H0i7VyTu70)
# SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs
Überwachen Sie kontinuierlich Ergebnisse, die den öffentlichen und kontoübergreifenden Zugriff betreffen. Beschränken Sie den öffentlichen und kontoübergreifenden Zugriff ausschließlich auf Ressourcen, die diese Art von Zugriff benötigen.
**Typische Anti-Muster:**
+ Fehlen eines Prozesses für die Kontrolle des kontoübergreifenden und öffentlichen Zugriffs auf Ressourcen
**Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Niedrig
## Implementierungsleitfaden
In AWS können Sie Zugriff auf Ressourcen in einem anderen Konto gewähren. Sie gewähren direkten kontoübergreifenden Zugriff über an Ressourcen angefügte Richtlinien (zum Beispiel [Amazon Simple Storage Service (Amazon S3)-Bucket-Richtlinien](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) oder indem Sie zulassen, dass eine Identität eine IAM-Rolle in einem anderen Konto annimmt. Prüfen Sie bei der Verwendung von Ressourcenrichtlinien, dass der Zugriff Identitäten in Ihrer Organisation gewährt wird und dass Sie die Ressourcen wirklich öffentlich machen wollen. Definieren Sie einen Prozess für die Genehmigung aller Ressourcen, die öffentlich verfügbar sein müssen.
[IAM Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) verwendet [nachweisbare Sicherheit](https://aws.amazon.com/security/provable-security/) , um alle Zugriffspfade zu einer Ressource von außerhalb ihres Kontos zu identifizieren. Dieser Service überprüft Ressourcenrichtlinien kontinuierlich und meldet Ergebnisse des öffentlichen und kontoübergreifenden Zugriffs, um Ihnen die Analyse potenziell umfassender Zugriffe zu erleichtern. Ziehen Sie die Konfiguration von IAM Access Analyzer mit AWS Organizations in Betracht, um Transparenz für alle Ihre Konten zu gewährleisten. IAM Access Analyzer ermöglicht Ihnen auch die [Voranzeige von Access-Analyzer-Ergebnissen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html), bevor Sie Ressourcenberechtigungen bereitstellen. So können Sie sicherstellen, dass mit den Richtlinienänderungen nur der beabsichtigte öffentliche und kontoübergreifende Zugriff auf Ihre Ressourcen gewährt wird. Bei der Arbeit für den Mehrkonten-Zugriff können Sie [Vertrauensrichtlinien verwenden, um zu steuern, in welchen Fällen eine Rolle angenommen werden kann](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). So könnten Sie beispielsweise die Annahme von Rollen auf einen bestimmten Quell-IP-Bereich einschränken.
Sie können auch [AWS Config verwenden, um Ressourcen](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) für versehentliche Konfigurationen mit öffentlichem Zugriff durch AWS Config-Richtlinienprüfungen zu melden und zu korrigieren. Services wie [AWS Control Tower](https://aws.amazon.com/controltower) und [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html) vereinfachen die Bereitstellung von Prüfungen und Integritätsschutz über eine AWS Organizations hinweg, um öffentlich zugängliche Ressourcen zu identifizieren und zu korrigieren. Beispielsweise verfügt AWS Control Tower über verwalteten Integritätsschutz, der erkennen kann, ob [Amazon EBS-Snapshots von allen AWS-Konten wiederhergestellt werden können](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).
## Ressourcen
**Zugehörige Dokumente:**
+ [Verwendung von AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Integritätsschutz in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html)
+ [AWS Foundational Security Best Practices Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [AWS Config Managed Rules](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [AWS Trusted Advisor-Prüfungsreferenz](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
**Zugehörige Videos:**
+ [Best Practices for securing your multi-account environment (Bewährte Methoden für den Schutz Ihrer Mehrkonten-Umgebung)](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Dive Deep into IAM Access Analyzer (Tiefer Einblick in IAM Access Analyzer)](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen
Steuern Sie die Nutzung gemeinsam genutzter Ressourcen über Konten oder innerhalb Ihrer AWS Organizations. Überwachen Sie gemeinsam genutzte Ressourcen und überprüfen Sie den Zugriff auf gemeinsame Ressourcen.
**Typische Anti-Muster:**
+ Verwendung der standardmäßigen IAM-Vertrauensrichtlinie bei der Gewährung kontoübergreifenden Zugriffs für Drittparteien
**Risikostufe, wenn diese bewährte Methode nicht genutzt wird:** Niedrig
## Implementierungsleitfaden
Wenn Sie Ihre Workloads mit mehreren AWS-Konten verwalten, müssen Sie möglicherweise Ressourcen von mehreren Konten verwenden lassen. Dies beinhaltet oft die kontoübergreifende Kontofreigabe innerhalb eines AWS Organizations. Verschiedene AWS-Services wie etwa [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html)und [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html) verfügen über in Organizations integrierte kontoübergreifende Funktionen. Sie können [AWS Resource Access Manager](https://aws.amazon.com/ram/) verwenden, um übliche Ressourcen gemeinsam zu nutzen, wie beispielsweise [VPC-Subnetze oder Transit-Gateway-Anhänge](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall)oder [Amazon SageMaker Runtime-Pipelines](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker). Wenn Sie sicherstellen möchten, dass Ihr Konto nur innerhalb Ihrer Organizations Ressourcen teilt, empfehlen wir die Verwendung von [Service-Kontrollrichtlinien (SCPs),](https://docs.aws.amazon.com/ram/latest/userguide/scp.html) um den Zugriff auf externe Prinzipale zu verhindern.
Wenn Sie Ihre Ressourcen teilen, sollten Sie Maßnahmen treffen, um sie gegen unbeabsichtigte Zugriffe zu schützen. Wir empfehlen die Kombination von identitätsbasierten Kontrollen und Netzwerkkontrollen zur [Erstellung eines Datenperimeters für Ihre Organisation.](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html). Diese Kontrollen müssen streng begrenzen, welche Ressourcen gemeinsam genutzt werden, und die gemeinsame Nutzung oder Offenlegung aller anderen Ressourcen verhindern. Sie könnten beispielsweise als Teil Ihres Datenperimeters VPC-Endpunktrichtlinien und die Bedingung `aws:PrincipalOrgId` verwenden, um sicherzustellen, dass die Identitäten, die auf Ihre Amazon S3-Buckets zugreifen, zu Ihrer Organisation gehören.
In manchen Fällen kann es vorkommen, dass Sie Ressourcen außerhalb Ihrer Organizations freigeben oder Drittparteien den Zugriff auf Ihr Konto gewähren möchten. So könnte etwa ein Partner eine Überwachungslösung bereitstellen, die auf Ressourcen in Ihrem Konto zugreifen muss. In solchen Fällen können Sie eine kontoübergreifende IAM-Rolle erstellen, die nur über die von der Drittpartei benötigten Berechtigungen verfügt. Sie sollten auch mithilfe der [externen ID-Bedingung eine Vertrauensrichtlinie erstellen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Wenn Sie eine externe ID verwenden, sollten Sie für jede Drittpartei eine eindeutige ID erstellen. Die eindeutige ID sollte nicht von der Drittpartei bereitgestellt oder kontrolliert werden. Wenn die Drittpartei den Zugriff auf Ihre Umgebung nicht mehr benötigt, sollten Sie die Rolle entfernen. Sie sollten darüber hinaus unter allen Umständen die Bereitstellung langfristiger IAM-Anmeldeinformationen für Drittparteien vermeiden. Achten Sie auf andere AWS-Services, die die gemeinsame Nutzung in nativer Weise unterstützen. Beispielsweise ermöglicht das AWS Well-Architected Tool [die gemeinsame Nutzung von Workloads](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) mit anderen AWS-Konten.
Bei Verwendung von Services wie Amazon S3 wird empfohlen, [ACLs für Ihren Amazon S3-Bucket zu deaktivieren](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) und IAM-Richtlinien zur Festlegung der Zugriffskontrolle zu verwenden. [Zur Einschränkung des Zugriffs auf einen Amazon S3-Ursprung](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) von [Amazon CloudFront](https://aws.amazon.com/cloudfront/)aus migrieren Sie von der Ursprungszugriffsidentität (OAI) zur Ursprungszugriffssteuerung (OAC), die zusätzliche Funktionen wie beispielsweise die serverseitige Verschlüsselung mit [AWS KMS](https://aws.amazon.com/kms/).
## Ressourcen
**Zugehörige Dokumente:**
+ [Bucket-Besitzer gewährt kontoübergreifende Berechtigung für Objekte, die er nicht besitzt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [Verwendung von Vertrauensrichtlinien mit IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Erstellen von Datenperimetern auf AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [Verwenden einer externen ID, um Dritten Zugriff auf Ihre AWS-Ressourcen zu gewähren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
**Zugehörige Videos:**
+ [Granular Access with AWS Resource Access Manager (Granulärer Zugriff mit AWS Resource Access Manager)](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Securing your data perimeter with VPC endpoints (Schutz Ihres Datenperimeters mit VPC-Endpunkten)](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Establishing a data perimeter on AWS (Einrichten eines Datenperimeters auf AWS) ](https://www.youtube.com/watch?v=SMi5OBjp1fI)