# AWS-Kontoverwaltung und -trennung
<a name="aws-account-management-and-separation"></a>

Wir empfehlen, Workloads in separaten Konten zu organisieren und Konten basierend auf Funktionen, Compliance-Anforderungen oder einer gemeinsamen Gruppe von Kontrollen zu gruppieren, anstatt die Berichtsstruktur Ihres Unternehmens zu spiegeln. In AWS sind Konten eine harte Grenze. Beispielsweise wird eine Trennung auf Kontoebene dringend empfohlen, um Produktions-Workloads von Entwicklungs- und Test-Workloads zu isolieren. 

 **Zentrale Verwaltung von Konten:** AWS Organizations [automatisiert die Erstellung und Verwaltung von AWS-Konten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts.html) und die Kontrolle dieser Konten nach ihrer Erstellung. Wenn Sie ein Konto über AWS Organizations erstellen, ist es wichtig, die E-Mail-Adresse zu berücksichtigen, die Sie verwenden, da dies der Root-Benutzer ist, der das Zurücksetzen des Passworts ermöglicht. Mit Organizations können Sie Konten in [Organisationseinheiten (OUs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) gruppieren, die je nach Anforderungen und Zweck der Workload unterschiedliche Umgebungen darstellen können. 

 **Zentrale Einrichtung von Kontrollen:** Kontrollieren Sie, was Ihre AWS-Konten tun können, indem Sie nur bestimmte Services, Regionen und Serviceaktionen auf der entsprechenden Ebene zulassen. Mit AWS Organizations können Sie Service-Kontrollrichtlinien (SCPs) verwenden, um Integritätsschutzfunktionen mit Berechtigungen auf der Ebene der Organisation, der Organisationseinheit oder des Kontos anzuwenden, die für alle [AWS Identity and Access Management](https://aws.amazon.com/iam/) (IAM)-Benutzer und -Rollen gelten. Sie können beispielsweise eine SCP anwenden, die Benutzer daran hindert, Ressourcen in Regionen zu starten, die Sie nicht explizit zugelassen haben. AWS Control Tower bietet eine vereinfachte Möglichkeit, mehrere Konten einzurichten und zu verwalten. Es automatisiert die Einrichtung von Konten in Ihrer AWS-Organisation, automatisiert die Bereitstellung, wendet [Integritätsschutz](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html) an (einschließlich Verhinderung und Erkennung) und stellt Ihnen ein Dashboard für Sichtbarkeit zur Verfügung. 

 **Zentrale Konfiguration von Services und Ressourcen:** Mit AWS Organizations können Sie [AWS-Services](https://aws.amazon.com/organizations/features/), konfigurieren, die für alle Ihre Konten gelten. Sie können beispielsweise die zentrale Protokollierung aller in Ihrer Organisation durchgeführten Aktionen mithilfe von [AWS CloudTrail](https://aws.amazon.com/cloudtrail/) konfigurieren und verhindern, dass Mitgliedskonten die Protokollierung deaktivieren. Sie können auch Daten für Regeln, die Sie mit [AWS Config](https://aws.amazon.com/config/) definiert haben, zentral aggregieren, sodass Sie Ihre Workloads auf Compliance prüfen und schnell auf Änderungen reagieren können. Mit AWS CloudFormation [StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html) können Sie AWS CloudFormation-Stacks in Ihrer Organisation über Konten und OEs hinweg zentral verwalten. Auf diese Weise können Sie automatisch ein neues Konto bereitstellen, um Ihre Sicherheitsanforderungen zu erfüllen. 

Verwenden Sie das Feature „Delegierte Verwaltung“ der Sicherheitsservices, um die für die Verwaltung verwendeten Konten vom organisatorischen Abrechnungskonto (Verwaltung) zu trennen. Mehrere AWS-Services, wie GuardDuty, Security Hub und AWS-Config, unterstützen die Integration mit AWS-Organisationen, einschließlich der Zuweisung eines bestimmten Kontos für Verwaltungsfunktionen.

**Topics**
+ [SEC01-BP01 Trennen von Workloads mithilfe von Konten](sec_securely_operate_multi_accounts.md)
+ [SEC01-BP02 Schutz des Konto-Root-Benutzers und seiner Eigenschaften](sec_securely_operate_aws_account.md)

# SEC01-BP01 Trennen von Workloads mithilfe von Konten
<a name="sec_securely_operate_multi_accounts"></a>

 Sorgen Sie mit einer Mehrkonten-Strategie für wirksamen Integritätsschutz und Isolierungen zwischen Umgebungen (etwa Produktion, Entwicklung und Test) sowie Workloads. Die Trennung auf Kontoebene wird nachdrücklich angeraten, da diese für die wirksame Isolierung für Sicherheits-, Fakturierungs- und Zugriffszwecke sorgt. 

**Gewünschtes Ergebnis:** eine Kontostruktur, die Cloud-Vorgänge, nicht zusammengehörige Workloads und Umgebungen in separaten Konten voneinander isoliert, sodass die Sicherheit in der gesamten Cloud-Infrastruktur verbessert wird.

**Typische Anti-Muster:**
+  Platzierung mehrerer nicht zusammengehöriger Workloads mit unterschiedlicher Datensensitivität in einem einzigen Konto
+  Schlecht definierte Organizational Unit (OU, Organisationseinheit)-Struktur

**Vorteile der Nutzung dieser bewährten Methode:**
+  Geringere Auswirkungen bei versehentlichen Zugriffen auf eine Workload
+  Zentrale Verwaltung des Zugriffes auf AWS-Services, Ressourcen und Regionen
+  Wahrung der Sicherheit der Cloud-Infrastruktur durch Richtlinien und die zentralisierte Verwaltung von Sicherheitsservices
+  Automatisierte Kontoerstellung und Wartungsprozesse
+  Zentralisierte Prüfung Ihrer Infrastruktur auf Compliance- und regulatorische Anforderungen

 **Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 AWS-Konten bieten eine Sicherheitsisolierungsgrenze zwischen Workloads oder Ressourcen, die auf unterschiedlichen Sensitivitätsstufen operieren. AWS bietet Tools, mit denen Sie Ihre umfangreichen Cloud-Workloads über eine Mehrkonten-Strategie verwalten und so die Isolierungsgrenze nutzen können. Erläuterungen der Konzepte, Muster und der Implementierung einer Mehrkonten-Strategie in AWS finden Sie unter [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html). 

 Wenn Sie mehrere AWS-Konten zentral verwalten, sollten Ihre Konten in einer gemäß den Ebenen der Organisationseinheiten (OEs) definierten Hierarchie organisiert sein. Dadurch können Sicherheitskontrollen anhand der OEs und der Mitgliedskonten organisiert und auf diese angewendet werden, was eine konsistente präventive Kontrolle der Mitgliedskonten in der Organisation ermöglicht. Die Sicherheitskontrollen werden weitergegeben, sodass Sie nach verfügbaren Berechtigungen für Mitgliedskonten auf unteren Ebenen der OE-Hierarchie filtern können. Ein gutes Design macht sich diese Weitergabe zunutze, um die Anzahl und die Komplexität der Sicherheitsrichtlinien, die für die erwünschten Sicherheitskontrollen für jedes Mitgliedskonto erforderlich sind, zu reduzieren. 

 [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html) und [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) sind zwei Services, mit denen Sie diese Mehrkontenstruktur in Ihrer AWS-Umgebung implementieren und verwalten können. AWS Organizations ermöglicht die Organisation von Konten in einer von einer oder mehreren OE-Ebenen definierten Hierarchie, wobei jede OE eine Reihe von Mitgliedskonten enthält. [Service-Kontrollrichtlinien (SCPs)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) ermöglichen einem Organisationsadministrator die Einrichtung detaillierter präventiver Kontrollen für Mitgliedskonten und [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html) kann verwendet werden, um proaktive und erkennende Kontrollen für Mitgliedskonten zu aktivieren. Viele AWS-Services lassen sich [in AWS Organizations integrieren](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html) und bieten so delegierte administrative Kontrollen und führen servicespezifische Aufgaben für alle Mitgliedskonten in der Organisation durch. 

 Auf der Ebene über AWS Organizations ermöglicht [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) die Einrichtung bewährter Methoden mit einem Klick für eine AWS-Mehrkontenumgebung mit einer [Landing Zone](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html). Die Landing Zone ist der Einstiegspunkt für die Mehrkonten-Umgebung, eingerichtet von Control Tower. Control Tower bietet mehrere [Vorteile](https://aws.amazon.com/blogs/architecture/fast-and-secure-account-governance-with-customizations-for-aws-control-tower/) gegenüber AWS Organizations. Hier sind drei Vorteile, die die Kontoverwaltung verbessern: 
+  Integrierter verpflichtender Integritätsschutz, der automatisch auf für die Organisation zugelassene Konten angewendet wird 
+  Optionaler Integritätsschutz, der für einen bestimmten Satz von OEs aktiviert und deaktiviert werden kann 
+  [AWS Control Tower Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/account-factory.html) bietet eine automatisierte Bereitstellung von Konten mit vorab genehmigten Baselines und Konfigurationsoptionen innerhalb Ihrer Organisation. 

 **Implementierungsschritte** 

1.  **Entwurf einer Struktur für Organisationseinheiten:** Eine ordnungsgemäß gestaltete Struktur für Organisationseinheiten reduziert den Verwaltungsaufwand für die Erstellung und Wahrung von Service-Kontrollrichtlinien und anderen Sicherheitskontrollen. Ihre Struktur für Organisationseinheiten sollte [an Ihre geschäftlichen Anforderungen, die Sensitivität der Daten und die Workload-Struktur angepasst sein](https://aws.amazon.com/blogs/mt/best-practices-for-organizational-units-with-aws-organizations/). 

1.  **Erstellen einer Landing Zone für Ihre Mehrkontenumgebung:** Eine Landing Zone bietet eine konsistente Sicherheits- und Infrastrukturbasis, über die Ihre Organisation Workloads schnell entwickeln, starten und bereitstellen kann. Sie können eine [individuell erstellte Landing ZoneAWS Control Tower oder ](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-aws-environment/building-landing-zones.html) für die Orchestrierung Ihrer Umgebung verwenden. 

1.  **Einrichtung von Integritätsschutz:** Implementieren Sie konsistenten Integritätsschutz für Ihre Umgebung über Ihre Landing Zone. AWS Control Tower bietet eine Liste [verpflichtender](https://docs.aws.amazon.com/controltower/latest/userguide/mandatory-controls.html) und [optionaler](https://docs.aws.amazon.com/controltower/latest/userguide/optional-controls.html) Kontrollen, die bereitgestellt werden können. Verpflichtende Kontrollen werden automatisch bereitgestellt, wenn Control Tower implementiert wird. Überprüfen Sie die Liste nachdrücklich empfohlener sowie optionaler Kontrollen und implementieren Sie diejenigen, die Ihren Anforderungen entsprechen. 

1.  **Einschränken des Zugriffs auf neu hinzugefügte Regionen:** Für neue AWS-Regionen werden IAM-Ressourcen, z. B. Benutzer und Rollen, nur an die von Ihnen angegebenen Regionen weitergegeben. Dieser Vorgang kann über die [Konsole durchgeführt werden, wenn Sie Control Tower verwenden](https://docs.aws.amazon.com/controltower/latest/userguide/region-deny.html), oder durch die Anpassung von [IAM-Berechtigungsrichtlinien in AWS Organizations](https://aws.amazon.com/blogs/security/setting-permissions-to-enable-accounts-for-upcoming-aws-regions/). 

1.  **Erwägen der Verwendung von AWS [CloudFormation StackSets](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/what-is-cfnstacksets.html)**: StackSets helfen dabei, Ressourcen wie IAM-Richtlinien, -Rollen und -Gruppen aus einer genehmigten Vorlage in verschiedenen AWS-Konten-Konten und Regionen bereitzustellen. 

## Ressourcen
<a name="resources"></a>

**Zugehörige bewährte Methoden:** 
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md)

**Zugehörige Dokumente:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Richtlinien zur -Sicherheitsprüfung](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [IAM Best Practices](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Use CloudFormation StackSets to provision resources across multiple AWS-Konten and regions](https://aws.amazon.com/blogs/aws/use-cloudformation-stacksets-to-provision-resources-across-multiple-aws-accounts-and-regions/) 
+  [Organizations – Häufig gestellte Fragen](https://aws.amazon.com/organizations/faqs/) 
+  [AWS Organizations Terminologie und Konzepte von](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html) 
+  [Best Practices for Service Control Policies in an AWS Organizations Multi-Account Environment](https://aws.amazon.com/blogs/industries/best-practices-for-aws-organizations-service-control-policies-in-a-multi-account-environment/) 
+  [AWS-Referenzhandbuch zur Kontoverwaltung](https://docs.aws.amazon.com/accounts/latest/reference/accounts-welcome.html) 
+  [Organisieren Sie Ihre AWS-Umgebung mit mehreren Konten](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/organizing-your-aws-environment.html) 

**Zugehörige Videos:** 
+  [Enable AWS adoption at scale with automation and governance](https://youtu.be/GUMSgdB-l6s) 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) 
+  [Building and Governing Multiple Accounts using AWS Control Tower](https://www.youtube.com/watch?v=agpyuvRv5oo) 
+  [Enable Control Tower for Existing Organizations](https://www.youtube.com/watch?v=CwRy0t8nfgM) 

# SEC01-BP02 Schutz des Konto-Root-Benutzers und seiner Eigenschaften
<a name="sec_securely_operate_aws_account"></a>

 Der Root-Benutzer ist in einem AWS-Konto der Benutzer mit den meisten Berechtigungen und vollständigem administrativem Zugriff auf alle Ressourcen in dem Konto und kann in manchen Fällen nicht von Sicherheitsrichtlinien eingeschränkt werden. Die Deaktivierung des programmatischen Zugriffs auf den Root-Benutzer, die Einrichtung geeigneter Kontrollen für den Root-Benutzer und das Vermeiden der routinemäßigen Verwendung des Root-Benutzers senken die Risiken einer unbeabsichtigten Offenlegung der Anmeldeinformationen des Root-Benutzers und daraus resultierender ernsthafter Probleme für die Cloud-Umgebung. 

**Gewünschtes Ergebnis:** Das Sichern des Root-Benutzers hilft dabei, die Gefahr zu verringern, dass versehentliche oder beabsichtigte Schäden durch den Missbrauch der Anmeldeinformationen des Root-Benutzers entstehen. Die Einrichtung erkennender Kontrollen kann auch für die Benachrichtigung der richtigen Personen sorgen, wenn Aktionen unter Verwendung des Root-Benutzers durchgeführt werden.

**Typische Anti-Muster:**
+  Verwendung des Root-Benutzers für andere Aufgaben als die wenigen, für die Root-Benutzer-Anmeldeinformationen erforderlich sind  
+  Versäumnis, Notfallpläne regelmäßig zu testen, um das Funktionieren kritischer Infrastrukturen, Prozesse und des Personals während eines Notfalls zu überprüfen. 
+  ausschließliche Berücksichtigung des typischen Kontoanmeldungsprozesses und keine Berücksichtigung alternativer Kontowiederherstellungsverfahren 
+  keine Behandlung von DNS, E-Mail-Servern und Telefonanbietern als Teil des kritischen Sicherheitsperimeters, da diese in den Kontowiederherstellungsabläufen verwendet werden 

 **Vorteile der Nutzung dieser bewährten Methode:** Der Schutz des Zugriffs auf den Root-Benutzer stärkt das Vertrauen dazu, dass Aktionen in Ihrem Konto kontrolliert und überwacht werden. 

 **Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 AWS bietet zahlreiche Tools für den Schutz Ihres Kontos. Da einige dieser Maßnahmen aber nicht standardmäßig aktiviert sind, müssen Sie sie selbst implementieren. Betrachten Sie diese Empfehlungen als grundlegende Schritte für den Schutz Ihres AWS-Konto. Bei der Implementierung dieser Schritte ist es wichtig, dass Sie einen Prozess für die kontinuierliche Bewertung und Überwachung der Sicherheitskontrollen einrichten. 

 Wenn Sie ein AWS-Konto anlegen, beginnen Sie mit einer Identität, mit der Sie auf alle mit dem Konto verbundenen AWS-Services und -Ressourcen zugreifen können. Diese Identität wird als AWS-Konto-Root-Benutzer bezeichnet. Sie können sich als Stammbenutzer mit der E-Mail-Adresse und dem Passwort anmelden, die Sie bei der Erstellung des Kontos verwendet haben. Da der AWS-Root-Benutzer erweiterte Zugriffsrechte hat, müssen Sie die Verwendung des AWS-Root-Benutzers auf die Aufgaben beschränken, für die er [ausdrücklich erforderlich](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html) ist. Die Anmeldeinformationen des Root-Benutzers müssen sehr gut geschützt werden, und für den Root-Benutzer des AWS-Konto sollte immer die Multi-Faktor-Authentifizierung (MFA) genutzt werden. 

 Zusätzlich zum normalen Authentifizierungsablauf bei der Anmeldung als Root-Benutzer mit einem Benutzernamen, Passwort und einem Gerät zur Multi-Faktor-Authentifizierung (MFA) gibt es Kontowiederherstellungsabläufe für die Anmeldung Ihres AWS-Konto als Root-Benutzer mit Zugriff auf die mit Ihrem Konto verbundene E-Mail-Adresse und die Telefonnummer. Daher ist es ebenso wichtig, das E-Mail-Konto des Root-Benutzers, an das die Wiederherstellungs-E-Mail gesendet wird, und die mit dem Konto verknüpfte Telefonnummer zu sichern. Denken Sie auch an mögliche zirkuläre Abhängigkeiten, bei denen die zum Root-Benutzer gehörende E-Mail-Adresse auf E-Mail-Servern oder Domain Name Service (DNS)-Ressourcen von demselben AWS-Konto gehostet wird. 

 Bei Verwendung von AWS Organizations gibt es mehrere AWS-Konten, die jeweils einen Root-Benutzer haben. Ein Konto fungiert als Verwaltungskonto und mehrere Ebenen von Mitgliedskonten können dann darunter hinzugefügt werden. Priorisieren Sie den Schutz des Root-Benutzers Ihres Verwaltungskontos und kümmern Sie sich dann um diejenigen der Mitgliedskonten. Die Strategie zum Schutz des Root-Benutzers Ihres Verwaltungskontos kann sich von der für die Root-Benutzer der Mitgliedskonten unterscheiden und Sie können präventive Sicherheitskontrollen für die Root-Benutzer Ihrer Mitgliedskonten einrichten. 

 **Implementierungsschritte** 

 Die folgenden Implementierungsschritte werden für die Einrichtung der Kontrollen für den Root-Benutzer empfohlen. Gegebenenfalls verweisen die Empfehlungen auf [CIS AWS Foundations Benchmark, Version 1.4.0.](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-cis-controls-1.4.0.html) Konsultieren Sie zusätzlich zu diesen Schritten die [Richtlinien zu bewährten Methoden für AWS](https://aws.amazon.com/premiumsupport/knowledge-center/security-best-practices/) für den Schutz Ihres AWS-Konto und Ihrer Ressourcen. 

 **Präventive Kontrollen** 

1.  Richten Sie genaue [Kontaktinformationen](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-primary.html) für das Konto ein. 

   1.  Diese Informationen werden für die Abläufe zur Wiederherstellung verlorener Passwörter, verlorener MFA-Gerätekonten und für die kritische sicherheitsrelevante Kommunikation mit Ihrem Team verwendet. 

   1.  Verwenden Sie eine von ihrer Unternehmensdomain gehostete E-Mail-Adresse, vorzugsweise eine Verteilerliste, als E-Mail-Adresse des Root-Benutzers. Die Verwendung einer Verteilerliste anstelle einer einzelnen E-Mail-Adresse sorgt für zusätzliche Redundanz und Kontinuität beim Zugriff auf das Root-Konto über längere Zeiträume hinweg. 

   1.  Die in den Kontaktinformationen angegebene Telefonnummer sollte eine für diesen Zweck speziell eingerichtete und sichere Telefonnummer sein. Diese Telefonnummer sollte nicht eingetragen sein oder an andere weitergegeben werden. 

1.  Erstellen Sie keine Zugriffsschlüssel für den Root-Benutzer. Wenn Zugriffsschlüssel vorhanden sind, entfernen Sie diese (CIS 1.4). 

   1.  Entfernen Sie alle langfristigen programmatischen Anmeldeinformationen (Zugriffs- und geheime Schlüssel) für den Root-Benutzer. 

   1.  Wenn bereits Zugriffsschlüssel für den Root-Benutzer vorhanden sind, sollten Prozesse, die diese Schlüssel verwenden, so umgestaltet werden, dass sie temporäre Zugriffsschlüssel von einer AWS Identity and Access Management (IAM)-Rolle verwenden; löschen Sie dann die [Zugriffsschlüssel des Root-Benutzers](https://docs.aws.amazon.com/accounts/latest/reference/root-user-access-key.html#root-user-delete-access-key). 

1.  Ermitteln Sie, ob Sie Anmeldeinformationen für den Root-Benutzer speichern müssen. 

   1.  Wenn Sie AWS Organizations zum Erstellen neuer Mitgliedskonten verwenden, wird das ursprüngliche Passwort für den Root-Benutzer in neuen Mitgliedskonten auf einen zufälligen Wert festgelegt, der Ihnen nicht angezeigt wird. Erwägen Sie die Nutzung der Passwortrücksetzung von Ihrem AWS-Organization-Verwaltungskonto, um bei Bedarf [Zugriff auf das Mitgliedskonto zu erhalten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_access.html#orgs_manage_accounts_access-as-root). 

   1.  Für Standalone-AWS-Konten oder das AWS-Organization-Verwaltungskonto sollten Sie Anmeldeinformationen für den Root-Benutzer erstellen und sicher speichern. Verwenden Sie MFA für den Root-Benutzer. 

1.  Aktivieren Sie präventive Kontrollen für Root-Benutzer von Mitgliedskonten in AWS-Mehrkonten-Umgebungen. 

   1.  Erwägen Sie die präventive Sicherheitsvorkehrung [Erstellung von Zugriffsschlüsseln für den Root-Benutzer nicht zulassen](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-access-keys) für Mitgliedskonten. 

   1.  Erwägen Sie die Aktivierung der präventiven Sicherheitsmaßnahme [Aktionen als Root-Benutzer nicht zulassen](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html#disallow-root-auser-actions) für Mitgliedskonten. 

1.  Wenn Sie Anmeldeinformationen für den Root-Benutzer benötigen: 

   1.  Verwenden Sie ein komplexes Passwort. 

   1.  Aktivieren Sie Multi-Faktor-Authentifizierung (MFA) für den Root-Benutzer, besonders für AWS Organizations-Verwaltungskonten (Bezahlerkonten) (CIS 1.5). 

   1.  Erwägen Sie die Nutzung von Hardware-MFA-Geräten für Resilienz und Sicherheit, da Einweggeräte auf MFA-Funktionen begrenzt sind und so die Wahrscheinlichkeit verringern, dass die Geräte mit Ihren MFA-Codes für andere Zwecke verwendet werden. Stellen Sie sicher, dass batteriebetriebene MFA-Geräte regelmäßig ausgetauscht werden. (CIS 1.6) 
      +  Befolgen Sie zur Konfiguration der MFA für den Root-Benutzer die Anleitungen für die Aktivierung einer [virtuellen MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_virtual.html#enable-virt-mfa-for-root) oder eines [Hardware-MFA-Geräts](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_enable_physical.html#enable-hw-mfa-for-root). 

   1.  Erwägen Sie die Nutzung mehrerer MFA-Geräte als Sicherung. [Pro Konto sind bis zu 8 MFA-Geräte zulässig.](https://aws.amazon.com/blogs/security/you-can-now-assign-multiple-mfa-devices-in-iam/) 
      +  Beachten Sie, dass die Verwendung von mehr als einem MFA-Gerät für den Root-Benutzer automatisch den [Ablauf für die Wiederherstellung Ihres Kontos bei Verlust des MFA-Geräts deaktiviert](https://aws.amazon.com/premiumsupport/knowledge-center/reset-root-user-mfa/). 

   1.  Speichern Sie das Passwort in sicherer Weise, und beachten Sie zirkuläre Abhängigkeiten bei der elektronischen Speicherung des Passworts. Speichern Sie das Passwort nicht so, dass Zugriff auf dasselbe AWS-Konto erforderlich wäre, um es abzurufen. 

1.  Optional: Erwägen Sie die Einrichtung einer periodischen Passwortrotation für den Root-Benutzer. 
   +  Bewährte Methoden für die Verwaltung von Anmeldeinformationen hängen von Ihren jeweiligen regulatorischen und Richtlinienanforderungen ab. Durch MFA geschützte Root-Benutzer sind nicht auf das Passwort als einzigen Authentifizierungsfaktor angewiesen. 
   +  [Die regelmäßige Änderung des Root-Benutzer-Passworts](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_change-root.html) senkt das Risiko, dass ein unbeabsichtigt offengelegtes Passwort missbraucht werden kann. 

 **Detektivische Kontrollen** 
+  Erstellen Sie Alarme, um die Verwendung der Root-Anmeldeinformationen zu erkennen (CIS 1.7). [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_settingup.html) kann die Nutzung der API-Anmeldeinformationen des Root-Benutzers überwachen und Sie über das Ergebnis von [RootCredentialUsage](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) benachrichtigen. 
+  Evaluieren und implementieren Sie die im [Konformitätspaket für AWS Config der AWS-Well-Architected-Säule „Sicherheit“](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-wa-Security-Pillar.html) enthaltenen aufdeckenden Kontrollen oder, falls Sie AWS Control Tower verwenden, die [nachdrücklich empfohlenen Kontrollen](https://docs.aws.amazon.com/controltower/latest/userguide/strongly-recommended-controls.html), die in Control Tower verfügbar sind. 

 **Operative Anleitung** 
+  Legen Sie fest, wer in der Organisation Zugriff auf die Root-Benutzer-Anmeldeinformationen haben sollte. 
  +  Verwenden Sie eine Zwei-Personen-Regel, damit keine einzelne Person Zugang zu allen erforderlichen Anmeldeinformationen und zur MFA hat, um sich Root-Benutzer-Zugriff zu verschaffen. 
  +  Stellen Sie sicher, dass die Organisation – und nicht nur eine einzelne Person – die Kontrolle über die mit dem Konto verbundene Telefonnummer und das entsprechende E-Mail-Alias hat (diese werden für die Passwort- und die MFA-Rücksetzung verwendet). 
+  Verwenden Sie nur im Ausnahmefall den Root-Benutzer (CIS 1.7). 
  +  Der AWS-Root-Benutzer darf nicht für alltägliche Aktivitäten verwendet werden, auch nicht für administrative. Melden Sie sich nur dann als Root-Benutzer an, wenn Sie [AWS-Aufgaben durchführen müssen, für die der Root-Benutzer erforderlich ist](https://docs.aws.amazon.com/general/latest/gr/aws_tasks-that-require-root.html). Alle anderen Aktionen sollten von anderen Benutzern mit den entsprechenden Rollen durchgeführt werden. 
+  Prüfen Sie regelmäßig, ob der Zugriff auf den Root-Benutzer funktioniert, um Prozeduren vor dem Eintreten von Notsituationen zu testen, die die Verwendung der Root-Benutzer-Anmeldeinformationen erfordern. 
+  Prüfen Sie regelmäßig, ob die mit dem Konto verbundene E-Mail-Adresse und die unter [Alternative Kontakte](https://docs.aws.amazon.com/accounts/latest/reference/manage-acct-update-contact-alternate.html) aufgeführten E-Mail-Adressen funktionieren. Überwachen Sie diese E-Mail-Posteingänge auf etwaige Sicherheitsmitteilungen von abuse@amazon.com. Stellen Sie auch sicher, dass alle mit dem Konto verbundenen Telefonnummern funktionieren. 
+  Bereiten Sie Notfallreaktionsprozeduren vor, um auf den Missbrauch des Root-Kontos reagieren zu können. Weitere Informationen zum Aufbau einer Sicherheitsstrategie für Ihr AWS-Konto-Konto finden Sie im [AWS-Reaktionsleitfaden für Sicherheitsvorfälle](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/aws-security-incident-response-guide.html) und in den bewährten Methoden im [Abschnitt zu Vorfallreaktionen im Whitepaper zur Säule „Sicherheit“](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html). 

## Ressourcen
<a name="resources"></a>

**Zugehörige bewährte Methoden:** 
+ [SEC01-BP01 Trennen von Workloads mithilfe von Konten](sec_securely_operate_multi_accounts.md)
+ [SEC02-BP01 Verwenden von starken Anmeldemechanismen](sec_identities_enforce_mechanisms.md)
+ [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Einrichtung eines Notfallzugriffprozesses](sec_permissions_emergency_process.md)
+ [SEC10-BP05 Vorab bereitgestellter Zugriff](sec_incident_response_pre_provision_access.md)

**Zugehörige Dokumente:** 
+  [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) 
+  [AWS Richtlinien zur -Sicherheitsprüfung](https://docs.aws.amazon.com/general/latest/gr/aws-security-audit-guide.html) 
+  [IAM Best Practices](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Amazon GuardDuty – Warnung bei Verwendung der Root-Anmeldeinformationen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html#policy-iam-rootcredentialusage) 
+  [Schritt-für-Schritt-Anleitung zur Überwachung der Verwendung von Root-Anmeldeinformationen mit CloudTrail](https://docs.aws.amazon.com/securityhub/latest/userguide/iam-controls.html#iam-20) 
+  [Zur Verwendung mit genehmigte MFA-Token AWS](https://aws.amazon.com/iam/features/mfa/) 
+  [Implementieren von „Break Glass“-Zugriff](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html) in AWS 
+  [Top 10 security items to improve in your AWS-Konto](https://aws.amazon.com/blogs/security/top-10-security-items-to-improve-in-your-aws-account/) 
+  [What do I do if I notice unauthorized activity in my AWS-Konto?](https://aws.amazon.com/premiumsupport/knowledge-center/potential-account-compromise/) 

**Zugehörige Videos:** 
+  [Enable AWS adoption at scale with automation and governance](https://youtu.be/GUMSgdB-l6s) 
+  [Security Best Practices the Well-Architected Way](https://youtu.be/u6BCVkXkPnM) 
+  [Limiting use of AWS root credentials](https://youtu.be/SMjvtxXOXdU?t=979) from AWS re:inforce 2.022 – Security best practices with AWS IAM