# SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs
<a name="sec_permissions_analyze_cross_account"></a>

Überwachen Sie kontinuierlich Ergebnisse, die den öffentlichen und kontoübergreifenden Zugriff betreffen. Beschränken Sie den öffentlichen und kontoübergreifenden Zugriff ausschließlich auf Ressourcen, die diese Art von Zugriff benötigen.

 **Gewünschtes Ergebnis:** Sie wissen, welche Ihrer AWS-Ressourcen für welche Benutzer freigegeben sind. Überwachen und prüfen Sie kontinuierlich Ihre freigegebenen Ressourcen, um sicherzustellen, dass sie nur für autorisierte Prinzipale freigegeben sind. 

 **Typische Anti-Muster:** 
+  Fehlendes Inventar gemeinsam genutzter Ressourcen 
+  Nichtbefolgung eines Prozesses zur Genehmigung von kontoübergreifendem oder öffentlichem Zugriff auf Ressourcen 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Wenn sich Ihr Konto in AWS Organizations befindet, können Sie den Zugriff auf Ressourcen der gesamten Organisation, bestimmten Organisationseinheiten oder einzelnen Konten gewähren. Wenn Ihr Konto nicht zu einer Organisation gehört, können Sie Ressourcen für einzelne Konten freigeben. Sie können direkten kontoübergreifenden Zugriff gewähren, indem Sie ressourcenbasierte Richtlinien verwenden (z. B. die [Richtlinien für Amazon Simple Storage Service (Amazon S3)-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) oder indem Sie einem Prinzipal in einem anderen Konto erlauben, eine IAM-Rolle in Ihrem Konto zu übernehmen. Verifizieren Sie bei der Verwendung von Ressourcenrichtlinien, dass der Zugriff nur autorisierten Prinzipalen gewährt wird. Definieren Sie einen Prozess für die Genehmigung aller Ressourcen, die öffentlich verfügbar sein müssen. 

 [AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) nutzt [nachweisbare Sicherheit](https://aws.amazon.com/security/provable-security/), um alle Zugriffspfade zu einer Ressource von außerhalb ihres Kontos zu identifizieren. Es überprüft Ressourcenrichtlinien kontinuierlich und meldet Ergebnisse des öffentlichen und kontoübergreifenden Zugriffs, um Ihnen die Analyse potenziell umfassender Zugriffe zu erleichtern. Ziehen Sie die Konfiguration von IAM Access Analyzer mit AWS Organizations in Betracht, um Transparenz für alle Ihre Konten zu gewährleisten. Mit IAM Access Analyzer können Sie zudem [eine Vorschau der Ergebnisse anzeigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html), bevor Sie Ressourcenberechtigungen bereitstellen. So können Sie sicherstellen, dass mit den Richtlinienänderungen nur der beabsichtigte öffentliche und kontoübergreifende Zugriff auf Ihre Ressourcen gewährt wird. Wenn Sie den Zugriff auf mehrere Konten planen, können Sie mithilfe von [Vertrauensrichtlinien](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/) steuern, in welchen Fällen eine Rolle übernommen werden kann. Sie könnten beispielsweise den [`PrincipalOrgId`-Bedingungsschlüssel verwenden, um Versuche, eine Rolle von außerhalb Ihres AWS Organizations zu übernehmen, abzulehnen](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/). 

 [AWS Config kann falsch konfigurierte Ressourcen melden](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) und mithilfe von AWS Config-Richtlinienprüfungen Ressourcen erkennen, für die ein öffentlicher Zugriff konfiguriert ist. Services wie [AWS Control Tower](https://aws.amazon.com/controltower/) und [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) vereinfachen die Bereitstellung von detektivischen Kontrollen und Integritätsschutz über AWS Organizations hinweg, um öffentlich zugängliche Ressourcen zu identifizieren und zu korrigieren. AWS Control Tower hat beispielsweise einen verwalteten Integritätsschutz, der erkennen kann, ob [Amazon-EBS-Snapshots von AWS-Konten wiederhergestellt werden können](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html). 

### Implementierungsschritte
<a name="implementation-steps"></a>
+  **Die Verwendung von [AWS Config für AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html) erwägen:** Mit AWS Config können Sie die Ergebnisse mehrerer Konten in einem AWS Organizations in einem delegierten Administratorkonto zusammenfassen. Dies bietet einen umfassenden Überblick und ermöglicht die [kontoübergreifende Bereitstellung von AWS-Config-Regeln, um öffentlich zugängliche Ressourcen zu erkennen](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html). 
+  **AWS Identity and Access Management Access Analyzer konfigurieren:** IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und in Ihren Konten zu identifizieren, [die für eine externe Entität freigegeben wurden](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html), z. B. Amazon S3-Buckets oder IAM-Rollen. 
+  **Automatische Abhilfemaßnahmen in AWS Config verwenden, um auf Änderungen an der Konfiguration des öffentlichen Zugriffs von Amazon S3-Buckets zu reagieren:** [Sie können die Einstellungen zum Blockieren des öffentlichen Zugriffs für Amazon S3-Buckets automatisch aktivieren](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/). 
+  **Überwachung und Warnmeldungen implementieren, um festzustellen, ob Amazon S3-Buckets öffentlich geworden sind:** [Überwachung und Warnmeldungen](https://aws.amazon.com/blogs/aws/amazon-s3-update-cloudtrail-integration/) müssen aktiviert sein, damit erkannt werden kann, wenn Amazon S3 Block Public Access deaktiviert wird und ob Amazon S3-Buckets öffentlich geworden sind. Wenn Sie AWS Organizations verwenden, können Sie außerdem eine [Service-Kontrollrichtlinie](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) erstellen, die Änderungen an den Amazon-S3-Richtlinien für den öffentlichen Zugriff verhindert. [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) sucht nach Amazon-S3-Buckets mit offenen Zugriffsberechtigungen. Bucket-Berechtigungen, die allen Benutzern den Zugriff zum Hochladen/Löschen einräumen, bergen ein hohes Potenzial für Sicherheitsrisiken, da alle Personen Elemente in einem Bucket hinzufügen, ändern oder löschen können. Bei der Prüfung durch Trust Advisor werden explizite Bucket-Berechtigungen und zugeordnete Bucket-Richtlinien geprüft, die die Bucket-Berechtigungen möglicherweise überschreiben. Sie können auch mit AWS Config Ihre Amazon S3-Buckets für den öffentlichen Zugriff überwachen. Weitere Informationen finden Sie unter [How AWS Config to Monitor for and Respond to Amazon S3 Buckets Allowing Public Access](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/). 

 Bei der Überprüfung der Zugriffskontrollen für Amazon-S3-Buckets ist es wichtig, die Art der darin gespeicherten Daten zu berücksichtigen. [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/findings-types.html) ist ein Service, mit dem Sie sensible Daten wie persönlich identifizierbare Informationen (PII), geschützte Gesundheitsinformationen (PHI, Protected Health Information) und Anmeldeinformationen wie private Schlüssel oder AWS-Zugriffsschlüssel entdecken und schützen können. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Verwenden von AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Bibliothek von AWS Control Tower-Kontrollen](https://docs.aws.amazon.com/controltower/latest/userguide/controls-reference.html)
+  [AWS Foundational Security Best Practices-Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+  [AWS Config Von verwaltete Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html) 
+  [AWS Trusted Advisor-Referenz prüfen](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html) 
+ [ Überwachen von AWS Trusted Advisor-Prüfungsergebnissen mit Amazon EventBridge ](https://docs.aws.amazon.com/awssupport/latest/user/cloudwatch-events-ta.html)
+ [ Verwalten von AWS Config-Regeln für alle Konten in Ihrer Organisation ](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html)
+ [AWS Config und AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html)
+ [ Ihr AMI für die Verwendung in Amazon EC2 öffentlich verfügbar machen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-intro.html#block-public-access-to-amis)

 **Zugehörige Videos:** 
+ [Bewährte Methoden für den Schutz Ihrer Mehrkonten-Umgebung](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Tiefer Einblick in IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)