# Berechtigungsverwaltung
Verwalten Sie Berechtigungen zum Steuern des Zugriffs für menschliche Identitäten und Maschinenidentitäten, die Zugriff auf AWS und Ihre Workloads benötigen. Berechtigungen steuern, wer unter welchen Bedingungen worauf zugreifen kann. Legen Sie Berechtigungen für bestimmte menschliche oder Maschinenidentitäten fest, um Zugriff auf bestimmte Service-Aktionen für bestimmte Ressourcen zu gewähren. Sie können auch Bedingungen angeben, die erfüllt sein müssen, damit der Zugriff gewährt wird.
Es gibt eine Reihe von Möglichkeiten, Zugriff auf verschiedene Arten von Ressourcen zu gewähren. Eine Möglichkeit ist die Verwendung verschiedener Richtlinienarten.
[Identitätsbasierte Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) in IAM sind *verwaltete* Richtlinien oder *Inline*-Richtlinien und werden IAM-Identitäten, einschließlich Benutzern, Gruppen oder Rollen, angefügt. Mit diesen Richtlinien können Sie festlegen, welche Aktionen diese Identität durchführen darf (ihre Berechtigungen). Identitätsbasierte Richtlinien können weiter unterteilt werden.
**Verwaltete Richtlinien** – Dies sind eigenständige, identitätsbasierte Richtlinien, die Sie an mehrere Benutzer, Gruppen und Rollen in Ihrem AWS-Konto anfügen können. Es gibt zwei Typen von verwalteten Richtlinien:
+ **Verwaltete AWS-Richtlinien** –Verwaltete Richtlinien, die von AWS erstellt und verwaltet werden.
+ **Vom Kunden verwaltete Richtlinien** – Dies sind verwaltete Richtlinien, die Sie in Ihrem AWS-Konto erstellen und verwalten. Vom Kunden verwaltete Richtlinien bieten eine genauere Kontrolle über Ihre Richtlinien als von AWS verwaltete Richtlinien.
Verwaltete Richtlinien sind die bevorzugte Methode für die Anwendung von Berechtigungen. Sie können jedoch auch Inline-Richtlinien verwenden, die Sie direkt zu einem einzelnen Benutzer, einer Gruppe oder einer Rolle hinzufügen. Bei Inline-Richtlinien besteht eine strikte Eins-zu-Eins-Beziehung zwischen einer Richtlinie und einer Identität. Inline-Richtlinien werden gelöscht, wenn Sie die Identität löschen.
In den meisten Fällen sollten Sie Ihre eigenen, vom Kunden verwalteten Richtlinien erstellen und dabei dem Prinzip der [geringsten Berechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) folgen.
[Ressourcenbasierten Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) sind an eine Ressource angefügt. Eine S3-Bucket-Richtlinie ist zum Beispiel eine ressourcenbasierte Richtlinie. Diese Richtlinien erteilen einem Prinzipal, der sich in demselben Konto wie die Ressource oder in einem anderen Konto befinden kann, eine Berechtigung. Eine Liste der Services, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter [AWS-Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).
[Berechtigungsgrenzen](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/) verwenden eine verwaltete Richtlinie, um die maximalen Berechtigungen festzulegen, die ein Administrator festlegen kann. Auf diese Weise können Sie die Fähigkeit zum Erstellen und Verwalten von Berechtigungen an Entwickler delegieren, z. B. die Erstellung einer IAM-Rolle, aber die Berechtigungen, die diese erteilen können, einschränken, sodass sie ihre Berechtigungen nicht mit den erstellten Berechtigungen erweitern können.
Die [attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) in AWS ermöglicht es Ihnen, Berechtigungen basierend auf Attributen, sogenannten Tags, zu erteilen. Diese Tags können an IAM-Prinzipale (Benutzer oder Rollen) und an AWS-Ressourcen angefügt werden. Administratoren können wiederverwendbare IAM-Richtlinien erstellen, die Berechtigungen basierend auf den Attributen des IAM-Prinzipals anwenden. Als Administrator können Sie beispielsweise eine einzelne IAM-Richtlinie verwenden, um Entwicklern in Ihrer Organisation Zugriff auf AWS-Ressourcen zu gewähren, die mit ihren Projekt-Tags übereinstimmen. Wenn das Entwicklerteam Ressourcen zu Projekten hinzufügt, werden Berechtigungen automatisch basierend auf Attributen angewendet. Damit entfällt die Notwendigkeit von Richtlinienaktualisierungen für jede neue Ressource.
[Service-Kontrollrichtlinien (SCP) für Organisationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_scp) definieren die maximalen Berechtigungen für Kontomitglieder einer Organisation oder Organisationseinheit (OE). SCPs *schränken* Berechtigungen ein, die identitätsbasierte Richtlinien oder ressourcenbasierte Richtlinien Entitäten (Benutzern oder Rollen) innerhalb des Kontos erteilen, aber sie *gewähren keine* Berechtigungen.
[Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) nehmen eine Rolle oder einen Verbundbenutzer an. Übergeben Sie Sitzungsrichtlinien, wenn Sie die AWS-CLI- oder AWS-API-Sitzungsrichtlinien verwenden, um die Berechtigungen einzuschränken, die die identitätsbasierten Richtlinien der Rolle oder des Benutzers für die Sitzung gewähren. Sitzungsrichtlinien *beschränken* Berechtigungen für eine erstellte Sitzung, aber sie *gewähren keine* Berechtigungen. Weitere Informationen finden Sie unter [Sitzungsrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session)
**Topics**
+ [SEC03-BP01 Definieren von Zugriffsanforderungen](sec_permissions_define.md)
+ [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](sec_permissions_least_privileges.md)
+ [SEC03-BP03 Einrichtung eines Notfallzugriffprozesses](sec_permissions_emergency_process.md)
+ [SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen](sec_permissions_continuous_reduction.md)
+ [SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation](sec_permissions_define_guardrails.md)
+ [SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus](sec_permissions_lifecycle.md)
+ [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation](sec_permissions_share_securely.md)
+ [SEC03-BP09 Sicheres Teilen von Ressourcen mit Dritten](sec_permissions_share_securely_third_party.md)
# SEC03-BP01 Definieren von Zugriffsanforderungen
Auf jede Komponente oder Ressource Ihrer Workload müssen Administratoren, Endbenutzer oder andere Komponenten zugreifen können. Definieren Sie klar, wer oder was Zugriff auf die einzelnen Komponenten haben soll, und wählen Sie den geeigneten Identitätstyp und die Methode für die Authentifizierung und Autorisierung aus.
**Typische Anti-Muster:**
+ Hartkodierung oder Speicherung von geheimen Daten in Ihrer Anwendung
+ Gewähren individueller Berechtigungen für jeden Benutzer
+ Verwendung langlebiger Anmeldeinformationen
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
Auf jede Komponente oder Ressource Ihrer Workload müssen Administratoren, Endbenutzer oder andere Komponenten zugreifen können. Definieren Sie klar, wer oder was Zugriff auf die einzelnen Komponenten haben soll, und wählen Sie den geeigneten Identitätstyp und die Methode für die Authentifizierung und Autorisierung aus.
Der reguläre Zugriff auf AWS-Konten innerhalb einer Organisation sollte über den [Verbundzugriff](https://aws.amazon.com/identity/federation/) oder einen zentralen Identitätsanbieter bereitgestellt werden. Sie sollten auch Ihr Identitätsmanagement zentralisieren und sicherstellen, dass es ein etabliertes Verfahren zur Integration des AWS-Zugriffs in den Zugriffslebenszyklus der Mitarbeiter gibt Wenn beispielsweise ein Mitarbeiter in eine Rolle mit einer anderen Zugriffsstufe wechselt, sollte sich auch dessen Gruppenmitgliedschaft so ändern, dass die neuen Zugriffsanforderungen berücksichtigt werden.
Legen Sie bei der Definition der Zugriffsanforderungen für nicht menschliche Identitäten fest, welche Anwendungen und Komponenten Zugriff benötigen und wie die Berechtigungen gewährt werden. Eine empfohlene Vorgehensweise ist die Verwendung von nach dem Modell der geringsten Berechtigung entwickelten IAM-Rollen. [AWS Verwaltete Richtlinien](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html) bieten vordefinierte IAM-Richtlinien für die meisten typischen Anwendungsfälle.
AWS-Services wie [AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/) und [AWS Systems Manager Parameter Store](https://docs.aws.amazon.com/systems-manager/latest/userguide/systems-manager-parameter-store.html) können Ihnen dabei helfen, Secrets sicher von der Anwendung oder dem Workload zu entkoppeln. In Secrets Manager können Sie die automatische Rotation Ihrer Anmeldeinformationen einrichten. Mit Systems Manager können Sie auf Parameter in Ihren Skripts, Befehlen, SSM-Dokumenten, Konfigurations- und Automatisierungsworkflows verweisen, indem Sie den bei der Erstellung des Parameters angegebenen eindeutigen Namen verwenden.
Sie können [AWS IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) verwenden, um [temporäre Sicherheitsanmeldeinformationen in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) für Workloads abzurufen, die außerhalb von AWS ausgeführt werden. Ihre Workloads können dieselben [IAM-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) und [IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html) verwenden, die Sie auch bei AWS-Anwendungen für den Zugriff auf AWS-Ressourcen verwenden.
Verwenden Sie nach Möglichkeit kurzfristige temporäre anstelle langfristiger statischer Anmeldeinformationen. Für Szenarien, in denen Sie -Benutzer mit programmgeteuertem Zugriff und langfristigen Anmeldeinformationen benötigen, verwenden Sie die [Informationen über die letzte Nutzung von Zugriffsschlüsseln](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey), um die Zugriffsschlüssel zu rotieren und zu entfernen.
Benutzer benötigen programmgesteuerten Zugriff, wenn sie außerhalb der AWS-Managementkonsole mit AWS interagieren möchten. Die Vorgehensweise, um programmgesteuerten Zugriff zu gewähren, hängt davon ab, welcher Benutzertyp auf zugreift AWS.
Um Benutzern programmgesteuerten Zugriff zu gewähren, wählen Sie eine der folgenden Optionen.
****
| Welcher Benutzer benötigt programmgesteuerten Zugriff? | Bis | Von |
| --- | --- | --- |
| IAM | (Empfohlen) Verwenden Sie Konsolen-Anmeldeinformationen als temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/wellarchitected/latest/security-pillar/sec_permissions_define.html) |
| Mitarbeiteridentität (Benutzer, die in IAM Identity Center verwaltet werden) | Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/wellarchitected/latest/security-pillar/sec_permissions_define.html) |
| IAM | Verwenden Sie temporäre Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. | Folgen Sie den Anweisungen unter [Verwenden temporärer Anmeldeinformationen mit AWS-Ressourcen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html) im IAM-Benutzerhandbuch. |
| IAM | (Nicht empfohlen)Verwenden Sie langfristige Anmeldeinformationen, um programmgesteuerte Anforderungen an die AWS CLI, AWS-SDKs oder AWS-APIs zu signieren. | Befolgen Sie die Anweisungen für die Schnittstelle, die Sie verwenden möchten. [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/de_de/wellarchitected/latest/security-pillar/sec_permissions_define.html) |
## Ressourcen
**Zugehörige Dokumente:**
+ [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)
+ [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)
+ [AWS Verwaltete -Richtlinien für IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/security-iam-awsmanpol.html)
+ [AWS IAM-Richtlinienbedingungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html)
+ [IAM-Anwendungsfälle](https://docs.aws.amazon.com/IAM/latest/UserGuide/IAM_UseCases.html)
+ [Entfernen unnötiger Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [Arbeiten mit -Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [Steuerung des Zugriffs auf AWS-Ressourcen auf der Grundlage von AWS-Konto, OU oder Organisation](https://aws.amazon.com/blogs/security/how-to-control-access-to-aws-resources-based-on-aws-account-ou-or-organization/)
+ [Identifizieren, Arrangieren und Verwalten von geheimen Daten mithilfe der erweiterten Suche in AWS Secrets Manager](https://aws.amazon.com/blogs/security/identify-arrange-manage-secrets-easily-using-enhanced-search-in-aws-secrets-manager/)
**Zugehörige Videos:**
+ [Experte für IAM-Richtlinien in unter 60 Minuten](https://youtu.be/YQsK4MtsELU)
+ [Trennung von Pflichten, geringste Berechtigung, Delegierung und CI/CD](https://youtu.be/3H0i7VyTu70)
+ [Optimieren des Identitäts- und Zugriffsmanagements für Innovation](https://www.youtube.com/watch?v=3qK0b1UkaE8)
# SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen
Gewähren Sie nur den Zugriff, den Benutzer benötigen, um bestimmte Aktionen auf bestimmten Ressourcen unter bestimmten Bedingungen durchzuführen. Nutzen Sie Gruppen und Identitätsattribute, um Berechtigungen dynamisch in großem Umfang festzulegen, anstatt Berechtigungen für einzelne Benutzer zu definieren. Sie können beispielsweise einer Gruppe von Entwicklern den Zugriff erlauben, nur die Ressourcen für ihr Projekt zu verwalten. So ist sichergestellt, dass einem Entwickler, der nicht mehr am Projekt arbeitet, automatisch der Zugriff entzogen wird, ohne dass die zugrunde liegenden Zugriffsrichtlinien geändert werden müssen.
**Gewünschtes Ergebnis:** Benutzer verfügen nur über die Berechtigungen, die für ihre Arbeit erforderlich sind. Sie verwenden separate AWS-Konten, um Entwickler von Produktionsumgebungen zu isolieren. Wenn Entwickler für bestimmte Aufgaben auf Produktionsumgebungen zugreifen müssen, wird ihnen nur für die Dauer dieser Aufgaben eingeschränkter und kontrollierter Zugriff gewährt. Ihr Zugriff auf die Produktion wird sofort aufgehoben, nachdem sie die erforderlichen Arbeiten abgeschlossen haben. Sie führen regelmäßige Überprüfungen der Berechtigungen durch und widerrufen sie umgehend, wenn sie nicht mehr benötigt werden, z. B. wenn ein Benutzer die Rolle wechselt oder das Unternehmen verlässt. Sie beschränken Administratorrechte auf eine kleine, vertrauenswürdige Gruppe, um das Risiko zu verringern. Sie gewähren Maschinen- oder Systemkonten nur die Mindestberechtigungen, die zur Ausführung der vorgesehenen Aufgaben erforderlich sind.
**Typische Anti-Muster:**
+ Sie gewähren Benutzern standardmäßig Administratorberechtigungen.
+ Sie verwenden das Root-Benutzerkonto für tägliche Aktivitäten.
+ Sie erstellen übermäßig permissive Richtlinien ohne angemessene Beschränkung des Geltungsbereichs.
+ Ihre Berechtigungen werden nur selten überprüft, was dazu führt, dass sie ständig erweitert werden.
+ Sie verlassen sich ausschließlich auf die attributbasierte Zugriffskontrolle, wenn es um die Isolierung von Umgebungen oder die Verwaltung von Berechtigungen geht.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Hoch
## Implementierungsleitfaden
Das Prinzip der [geringsten Berechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) besagt, dass Identitäten nur die kleinstmögliche Menge von Aktionen ausführen dürfen, die zur Durchführung einer bestimmten Aufgabe erforderlich sind. Dies schafft ein Gleichgewicht zwischen Benutzerfreundlichkeit, Effizienz und Sicherheit. Die Anwendung dieses Prinzips trägt dazu bei, den unbeabsichtigten Zugriff zu beschränken und nachzuverfolgen, wer auf welche Ressourcen zugreifen kann. IAM-Benutzer und -Rollen verfügen standardmäßig über keine Berechtigungen. Der Root-Benutzer hat standardmäßig vollen Zugriff und sollte streng kontrolliert, überwacht und nur für [Aufgaben verwendet werden, die Root-Zugriff erfordern](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html).
Mithilfe von IAM-Richtlinien können ausdrücklich Berechtigungen für IAM-Rollen oder bestimmte Ressourcen erteilt werden. So können beispielsweise identitätsbasierte Richtlinien an IAM-Gruppen angefügt werden, während S3-Buckets von ressourcenbasierten Richtlinien kontrolliert werden können.
Wenn Sie eine IAM-Richtlinie erstellen, können Sie die Serviceaktionen, Ressourcen und Bedingungen angeben, die erfüllt sein müssen, damit AWS den Zugriff erlaubt oder verweigert. AWS unterstützt eine Vielzahl von Bedingungen, mit denen Sie den Zugriff einschränken können. Mithilfe des [Bedingungsschlüssels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) PrincipalOrgID können Sie beispielsweise Aktionen ablehnen, wenn der Anforderer nicht zu Ihrer AWS-Organisation gehört.
Sie können auch Anforderungen kontrollieren, die AWS-Services in Ihrem Namen stellen, etwa das Erstellen einer AWS Lambda-Funktion durch AWS CloudFormation. Dazu verwenden Sie den Bedingungsschlüssel CalledVia. Sie können unterschiedliche Richtlinientypen in Ebenen organisieren, um ein umfassendes Verteidigungskonzept aufzubauen und die Berechtigungen Ihrer Benutzer insgesamt zu begrenzen. Sie können auch Beschränkungen in Bezug darauf festlegen, welche Berechtigungen unter welchen Umständen erteilt werden können. Sie können Ihren Workload-Teams beispielsweise gestatten, ihre eigenen IAM-Richtlinien für die von ihnen erstellten Systeme zu erstellen; es muss aber auch eine [Berechtigungsgrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) festgelegt werden, um die maximalen Berechtigungen zu beschränken, die sie gewähren können.
### Implementierungsschritte
+ **Richtlinien für die geringste Berechtigung implementieren:** Weisen Sie IAM-Gruppen und -Rollen Zugriffsrichtlinien mit geringsten Berechtigungen zu, die an den von Ihnen definierten Tätigkeitsbereich der Benutzer angepasst sind.
+ **Entwicklungs- und Produktionsumgebungen durch separate AWS-Konten trennen**: Verwenden Sie separate AWS-Konten für Entwicklungs- und Produktionsumgebungen und kontrollieren Sie den Zugriff zwischen diesen Umgebungen mithilfe von [Servicekontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html), Ressourcen- und Identitätsrichtlinien.
+ **Grundlegende Richtlinien für die API-Nutzung:** Eine Möglichkeit, die erforderlichen Berechtigungen zu ermitteln, ist die Überprüfung von AWS CloudTrail-Protokollen. Diese Prüfung ermöglicht es Ihnen, Berechtigungen zu erstellen, die auf die Aktionen zugeschnitten sind, die der Benutzer tatsächlich in AWS ausführt. [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) kann [automatisch](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) IAM-Richtlinien auf der Grundlage von Zugriffsaktivitäten generieren. Sie können IAM Access Advisor auf Organisations- oder Kontoebene verwenden, um [die zuletzt abgerufenen Informationen für eine bestimmte Richtlinie nachzuverfolgen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html).
+ **Die Verwendung von [AWS-verwalteten Richtlinien für Tätigkeitsbereiche erwägen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html)**: Wenn Sie mit der Erstellung detaillierter Berechtigungsrichtlinien beginnen, kann es nützlich sein, AWS-verwaltete Richtlinien für gängige Positionen wie Fakturierungsmitarbeiter, Datenbankadministratoren und Datenwissenschaftler zu verwenden. Diese Richtlinien können helfen, den Zugriff der Benutzer einzuschränken, während Sie festlegen, wie die Richtlinien für die geringste Berechtigung implementiert werden sollen.
+ **Unnötige Berechtigungen entfernen:** Erkennen und entfernen Sie nicht genutzte IAM-Entitäten, Anmeldeinformationen und Berechtigungen, um das Prinzip der geringsten Berechtigung durchzusetzen. Sie können [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings.html) verwenden, um externen und nicht genutzten Zugriff zu identifizieren, und die [Richtliniengenerierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) kann zur Optimierung der Berechtigungsrichtlinien beitragen.
+ **Sicherstellen, dass Benutzer eingeschränkten Zugriff auf Produktionsumgebungen haben:** Benutzer sollten nur Zugriff auf Produktionsumgebungen haben, wenn es sich um einen gültigen Anwendungsfall handelt. Nachdem der Benutzer die konkreten Aufgaben ausgeführt hat, für die Zugriff auf die Produktionsumgebung erforderlich war, sollte der Zugriff widerrufen werden. Die Beschränkung des Zugriffs auf Produktionsumgebungen hilft, unbeabsichtigte Vorkommnisse mit Auswirkungen auf die Produktion zu verhindern und das Ausmaß der Auswirkungen eines unbeabsichtigten Zugriffs zu verringern.
+ **Berechtigungsgrenzen erwägen:**: Eine [Berechtigungsgrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) ist ein Feature für eine verwaltete Richtlinie, das die maximalen Berechtigungen festlegt, die mit einer identitätsbasierten Richtlinie einer IAM-Entität erteilt werden können. Durch eine Berechtigungsgrenze kann eine Entität nur die Aktionen durchführen, die sowohl von den identitätsbasierten Richtlinien als auch den Berechtigungsgrenzen erlaubt werden.
+ **Den Zugriff mithilfe von attributbasierter Zugriffskontrolle und Ressourcentags verfeinern** Die [attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) mithilfe von Ressourcentags kann, sofern sie unterstützt wird, zur Verfeinerung von Berechtigungen verwendet werden. Sie können ein ABAC-Modell verwenden, das Prinzipal-Tags mit Ressourcen-Tags vergleicht, um den Zugriff auf der Grundlage der von Ihnen definierten benutzerdefinierten Dimensionen zu verfeinern. Dieses Konzept kann die Berechtigungsrichtlinien in Ihrer Organisation vereinfachen und ihre Anzahl reduzieren.
+ Es wird empfohlen, ABAC nur für die Zugriffskontrolle zu verwenden, wenn sowohl die Prinzipale als auch die Ressourcen zu Ihrer AWS-Organisation gehören. Externe Parteien können dieselben Tag-Namen und Werte wie Ihre Organisation für ihre eigenen Prinzipale und Ressourcen verwenden. Wenn Sie sich bei der Gewährung des Zugriffs für Prinzipale oder Ressourcen von externen Parteien ausschließlich auf diese Name-Wert-Paare stützen, kann es vorkommen, dass Sie nicht beabsichtigte Berechtigungen erteilen.
+ **Service-Kontrollrichtlinien für AWS Organizations verwenden:** Service-Kontrollrichtlinien steuern zentral die maximal verfügbaren Berechtigungen für Mitgliedskonten in Ihrer Organisation. Wichtig ist, dass Sie mithilfe von Service-Kontrollrichtlinien die Root-Benutzerberechtigungen in Mitgliedskonten einschränken können. Ziehen Sie auch die Verwendung von AWS Control Tower in Betracht, das präskriptive verwaltete Kontrollen zur Bereicherung von AWS Organizations bietet. Sie können auch Ihre eigenen Kontrollen in Control Tower definieren.
+ **Eine Lebenszyklusrichtlinie für Benutzer für Ihre Organisation einrichten:** Benutzer-Lebenszyklusrichtlinien definieren Aufgaben, die ausgeführt werden, wenn Benutzer in AWS hinzugefügt werden, ihre Rolle oder ihren Aufgabenbereich ändern oder sie keinen Zugriff auf AWS mehr benötigen. Führen Sie bei jedem Schritt im Lebenszyklus eines Benutzers Berechtigungsprüfungen durch, um sicherzustellen, dass die Berechtigungen angemessen restriktiv sind und keine schleichenden Berechtigungserweiterungen stattfinden.
+ **Einen regelmäßigen Zeitplan einrichten, um die Berechtigungen zu überprüfen und alle nicht benötigten Berechtigungen zu entfernen:** Sie sollten den Benutzerzugriff regelmäßig überprüfen, um sicherzustellen, dass Benutzer keinen übermäßigen Zugriff haben. [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html) und IAM Access Analyzer können Sie bei der Prüfung der Benutzerberechtigungen unterstützen.
+ **Job-Rollen-Matrix erstellen:** Eine Job-Rollen-Matrix stellt die verschiedenen Rollen und Zugriffsebenen, die in Ihrem AWS-System erforderlich sind, grafisch dar. Mithilfe einer Job-Rollen-Matrix können Sie Berechtigungen auf der Grundlage von Benutzerzuständigkeiten in Ihrer Organisation definieren und trennen. Verwenden Sie Gruppen, anstatt Berechtigungen direkt auf einzelne Benutzer oder Rollen anzuwenden.
## Ressourcen
**Zugehörige Dokumente:**
+ [Gewähren der geringsten Berechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Berechtigungsgrenzen für IAM-Entitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)
+ [Techniken zum Erstellen von IAM-Richtlinien mit geringsten Berechtigungen](https://aws.amazon.com/blogs/security/techniques-for-writing-least-privilege-iam-policies/)
+ [IAM Access Analyzer erleichtert die Implementierung geringster Berechtigungen durch die Generierung von IAM-Richtlinien auf der Grundlage der Zugriffsaktivitäten](https://aws.amazon.com/blogs/security/iam-access-analyzer-makes-it-easier-to-implement-least-privilege-permissions-by-generating-iam-policies-based-on-access-activity/)
+ [Delegieren der Berechtigungsverwaltung an Entwickler mithilfe von IAM-Berechtigungsgrenzen](https://aws.amazon.com/blogs/security/delegate-permission-management-to-developers-using-iam-permissions-boundaries/)
+ [Verfeinern von Berechtigungen mithilfe der Informationen zum letzten Zugriff](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [IAM-Richtlinienarten und wann sie verwendet werden sollten](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html)
+ [Testen von IAM-Richtlinien mit dem IAM-Richtliniensimulator](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_testing-policies.html)
+ [Integritätsschutz in AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/guardrails.html)
+ [Zero-Trust-Architekturen: Eine AWS-Perspektive](https://aws.amazon.com/blogs/security/zero-trust-architectures-an-aws-perspective/)
+ [Implementieren des Prinzips der geringsten Berechtigung mit CloudFormation StackSets](https://aws.amazon.com/blogs/security/how-to-implement-the-principle-of-least-privilege-with-cloudformation-stacksets/)
+ [Attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)
+ [Reduzieren des Richtlinienbereichs durch Anzeigen der Benutzeraktivität](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html)
+ [Anzeigen des Rollenzugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html)
+ [Verwenden Sie Tagging, um Ihre Umgebung zu organisieren und die Verantwortlichkeit zu fördern](https://docs.aws.amazon.com/aws-technical-content/latest/cost-optimization-laying-the-foundation/tagging.html)
+ [AWS-Strategien für das Tagging](https://aws.amazon.com/answers/account-management/aws-tagging-strategies/)
+ [Taggen von AWS-Ressourcen](https://aws.amazon.com/premiumsupport/knowledge-center/tagging-resources/)
**Zugehörige Videos:**
+ [Berechtigungsmanagement der nächsten Generation](https://www.youtube.com/watch?v=8vsD_aTtuTo)
+ [Zero Trust: Eine AWS-Perspektive](https://www.youtube.com/watch?v=1p5G1-4s1r0)
# SEC03-BP03 Einrichtung eines Notfallzugriffprozesses
Erstellen Sie einen Prozess, der im unwahrscheinlichen Fall eines Problems mit Ihrem zentralen Identitätsanbieter den Notfallzugriff auf Ihre Workloads ermöglicht.
Sie müssen Prozesse für verschiedene Ausfallmodi entwerfen, die zu einem Notfallereignis führen können. Unter normalen Umständen verbinden sich die Benutzer Ihrer Belegschaft beispielsweise über einen zentralen Identitätsanbieter ([SEC02-BP04](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)) mit der Cloud, um ihre Workloads zu verwalten. Wenn der zentrale Identitätsanbieter jedoch ausfällt oder die Konfiguration für den Verbund in der Cloud geändert wird, können sich die Benutzer in Ihrem Unternehmen möglicherweise nicht mit der Cloud verbinden. Ein Prozess für den Notfallzugriff ermöglicht autorisierten Administratoren den Zugriff auf Ihre Cloud-Ressourcen über alternative Verfahren (z. B. eine alternative Form des Verbunds oder direkter Benutzerzugriff), um Probleme mit Ihrer Verbundkonfiguration oder Ihren Workloads zu beheben. Der Prozess für den Notfallzugriff wird verwendet, bis der normale Verbundmechanismus wiederhergestellt ist.
**Gewünschtes Ergebnis:**
+ Sie haben die Ausfallmodi definiert und dokumentiert, die als Notfall gelten: Berücksichtigen Sie dabei Ihre normalen Abläufe und die Systeme, auf die Ihre Benutzer angewiesen sind, um ihre Workloads zu verwalten. Überlegen Sie, wie jede dieser Abhängigkeiten ausfallen und zu einer Notsituation führen kann. Möglicherweise finden Sie die Fragen und bewährten Methoden in der [Säule der Zuverlässigkeit](https://docs.aws.amazon.com/wellarchitected/latest/framework/a-reliability.html) hilfreich, um Ausfallarten zu identifizieren und widerstandsfähigere Systeme zu entwickeln, bei denen die Wahrscheinlichkeit von Ausfällen geringer ist.
+ Sie haben die Schritte dokumentiert, die befolgt werden müssen, um einen Ausfall als Notfall zu identifizieren. Sie können beispielsweise festlegen, dass Ihre Identitätsadministratoren den Status Ihrer primären und Standby-Identitätsanbieter überprüfen müssen und, falls beide nicht verfügbar sind, ein Notfallereignis für den Ausfall eines Identitätsanbieters feststellen.
+ Sie haben einen Prozess für den Notfallzugriff definiert, der für jeden Notfall- oder Ausfallmodus spezifisch ist. Wenn Sie hier möglichst detaillierte Informationen angeben, kann dies der Neigung Ihrer Benutzer entgegenwirken, einen allgemeinen Prozess für alle Arten von Notfällen zu stark zu nutzen. Ihre Prozesse für den Notfallzugriff beschreiben die Umstände, unter denen ein Prozess jeweils verwendet werden sollte, und umgekehrt Situationen, in denen der Prozess nicht verwendet werden sollte. In diesem Fall wird auf alternative Prozesse hingewiesen, die zutreffen können.
+ Ihre Prozesse sind mit detaillierten Anweisungen und Playbooks, die schnell und effizient befolgt werden können, gut dokumentiert. Denken Sie daran, dass ein Notfallereignis Stress für Ihre Benutzer bedeuten kann und dass sie unter extremem Zeitdruck stehen können. Gestalten Sie Ihren Prozess daher so einfach wie möglich.
**Typische Anti-Muster:**
+ Sie verfügen nicht über gut dokumentierte und gut getestete Prozesse für den Notfallzugriff. Ihre Benutzer sind nicht auf einen Notfall vorbereitet und nutzen improvisierte Prozesse, wenn er eintritt.
+ Ihre Prozesse für den Notfallzugriff hängen von denselben Systemen (z. B. einem zentralen Identitätsanbieter) ab wie Ihre normalen Zugriffsmechanismen. Das bedeutet, dass der Ausfall eines solchen Systems sowohl Ihre normalen Zugriffsmechanismen als auch Ihre Notfallzugriffsmechanismen betrifft und Ihre Fähigkeit zur Wiederherstellung nach dem Ausfall beeinträchtigen kann.
+ Ihre Prozesse für den Notfallzugriff werden in Situationen verwendet, die keine Notfälle sind. Ein Beispiel könnte sein, dass Ihre Benutzer Prozesse für den Notfallzugriff häufig missbrauchen, da es für sie einfacher ist, Änderungen direkt vorzunehmen, als Änderungen über eine Pipeline einzureichen.
+ Ihre Prozesse für den Notfallzugriff generieren nicht genügend Protokolle, um sie zu überwachen, oder die Protokolle werden nicht so überwacht, dass Sie bei einem möglichen Missbrauch der Prozesse gewarnt werden.
**Vorteile der Nutzung dieser bewährten Methode:**
+ Durch gut dokumentierte und gut getestete Prozesse für den Notfallzugriff können Sie die Zeit reduzieren, die Ihre Benutzer benötigen, um auf ein Notfallereignis zu reagieren und es zu beheben. Dies kann zu kürzeren Ausfallzeiten und einer höheren Verfügbarkeit der Services führen, die Sie für Ihre Kunden bereitstellen.
+ Sie können jede Notfallzugriffsanfrage verfolgen und unbefugte Versuche, den Prozess für Nicht-Notfallereignisse zu missbrauchen, erkennen und darauf hinweisen.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
Dieser Abschnitt enthält Richtlinien zur Erstellung von Prozessen für den Notfallzugriff für verschiedene Ausfallmodi im Zusammenhang mit Workloads, die in AWS bereitgestellt werden. Zunächst finden Sie allgemeine Leitlinien, die für alle Ausfallmodi gelten, und danach spezifische Anleitungen für die verschiedenen Arten von Ausfallmodi.
**Allgemeine Leitlinien für alle Ausfallmodi**
Beachten Sie beim Entwerfen eines Prozesses für den Notfallzugriff für einen Ausfallmodus Folgendes:
+ Dokumentieren Sie die Voraussetzungen und Annahmen für den Prozess: Wann soll der Prozess verwendet werden und wann nicht? Es ist hilfreich, den Ausfallmodus detailliert zu beschreiben und Annahmen zu dokumentieren, z. B. den Zustand anderer verwandter Systeme. Der Prozess für den Ausfallmodus 2 geht beispielsweise davon aus, dass der Identitätsanbieter verfügbar ist, aber die Konfiguration in AWS geändert wurde oder abgelaufen ist.
+ Erstellen Sie im Voraus Ressourcen, die für den Notfallzugriffsprozess benötigt werden ([SEC10-BP05](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_pre_provision_access.html)). Erstellen Sie beispielsweise vorab das AWS-Konto für den Notfallzugriff mit IAM-Benutzern und -Rollen sowie die kontoübergreifenden IAM-Rollen in allen Workload-Konten. So wird sichergestellt, dass diese Ressourcen bereit und verfügbar sind, wenn ein Notfallereignis eintritt. Durch die Vorab-Erstellung von Ressourcen sind Sie nicht von APIs der AWS-[Steuerebene](https://docs.aws.amazon.com/whitepapers/latest/aws-fault-isolation-boundaries/control-planes-and-data-planes.html) (zum Erstellen und Ändern von AWS-Ressourcen verwendet) abhängig, die im Notfall möglicherweise nicht verfügbar sind. Darüber hinaus müssen Sie durch die Vorab-Erstellung von IAM-Ressourcen keine [potenziellen Verzögerungen aufgrund der letztendlichen Datenkonsisten](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_general.html#troubleshoot_general_eventual-consistency) berücksichtigen.
+ Schließen Sie Prozesse für den Notfallzugriff in Ihre Vorfallmanagementpläne ein ([SEC10-BP02](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_develop_management_plans.html)). Dokumentieren Sie, wie Notfallereignisse nachverfolgt und an andere in Ihrem Unternehmen, z. B. an Peer-Teams, Führungskräfte und gegebenenfalls extern an Kunden und Geschäftspartner, kommuniziert werden sollen.
+ Definieren Sie den Prozess für Notfallzugriffsanfragen in Ihrem bestehenden Workflow-System für Serviceanfragen, falls eines vorhanden ist. In der Regel können Sie mit solchen Workflow-Systemen Eingabeformulare erstellen, um Informationen zur Anfrage zu erfassen, die Anfrage in jeder Phase des Workflows zu verfolgen und sowohl automatisierte als auch manuelle Genehmigungsschritte hinzuzufügen. Ordnen Sie jede Anfrage einem entsprechenden Notfallereignis zu, das in Ihrem Vorfallmanagement-System verfolgt wird. Mit einem einheitlichen System für Notfallzugriffe können Sie diese Anfragen in einem zentralen System verfolgen, Nutzungstrends analysieren und Ihre Prozesse verbessern.
+ Stellen Sie sicher, dass Ihre Notfallzugriffsprozesse nur von autorisierten Benutzern initiiert werden können, und legen Sie fest, dass Genehmigungen von Kollegen oder Führungskräften des Benutzers erforderlich sind. Der Genehmigungsprozess sollte sowohl während als auch außerhalb der Geschäftszeiten funktionieren. Definieren Sie, wie Genehmigungsanfragen sekundäre Genehmiger berücksichtigen, falls die primären Genehmiger nicht verfügbar sind, und wie sie in Ihrer Managementkette nach oben eskaliert werden, bis sie genehmigt wurden.
+ Implementieren Sie robuste Protokollierungs-, Überwachungs- und Warnmechanismen für den Notfallzugriffsprozess und die entsprechenden Mechanismen. Generieren Sie detaillierte Auditprotokolle für alle erfolgreichen und fehlgeschlagenen Versuche, Notfallzugriff zu erhalten. Korrelieren Sie die Aktivität mit laufenden Notfallereignissen aus Ihrem Vorfallmanagement-System und senden Sie Benachrichtigungen, wenn Aktionen außerhalb der erwarteten Zeiträume erfolgen oder wenn das Notfallzugriffskonto während des normalen Betriebs verwendet wird. Auf das Notfallkonto sollte nur in Notfällen zugegriffen werden, da Break-Glass-Verfahren als Hintertür betrachtet werden sollten. Integrieren Sie dies in Ihr SIEM-Tool (Security Information and Event Management) oder [AWS Security Hub CSPM](https://aws.amazon.com/security-hub/), um alle Aktivitäten während der Notfallzugriffsphase zu melden und zu überprüfen. Sobald Sie zum normalen Betrieb zurückkehren, rotieren Sie die Anmeldeinformationen für den Notfallzugriff automatisch und benachrichtigen Sie die zuständigen Teams.
+ Testen Sie die Notfallzugriffsprozesse regelmäßig, um sicherzustellen, dass die Schritte klar sind und die richtigen Zugriffsebenen schnell und effizient gewährt werden. Ihre Notfallzugriffsprozesse sollten im Rahmen von Incident-Response-Simulationen ([SEC10-BP07](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_incident_response_run_game_days.html)) und Notfallwiederherstellungs-Tests ([REL13-BP03](https://docs.aws.amazon.com/wellarchitected/latest/reliability-pillar/rel_planning_for_recovery_dr_tested.html)) getestet werden.
**Ausfallmodus 1: Der für den Verbund mit AWS verwendete Identitätsanbieter ist nicht verfügbar**
Wie in [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html) beschrieben, wird empfohlen, sich auf einen zentralen Identitätsanbieter zu verlassen, der die Benutzer Ihres Unternehmens verbindet, um den Zugriff auf AWS-Konten zu gewähren. Sie können mit IAM Identity Center einen Verbund für mehrere AWS-Konten in Ihrer AWS-Organisation implementieren oder einzelne AWS-Konten mit IAM verbinden. In beiden Fällen authentifizieren sich die Benutzer in Ihrer Belegschaft beim zentralen Identitätsanbieter, bevor sie zu einem AWS-Anmeldeendpunkt für das Single Sign-On weitergeleitet werden.
Im unwahrscheinlichen Fall, dass der zentrale Identitätsanbieter nicht verfügbar ist, können sich die Benutzer Ihrer Belegschaft nicht mit AWS-Konten verbinden oder ihre Workloads verwalten. In einem solchen Notfall können Sie einen Notfallzugriffsprozess für eine kleine Gruppe von Administratoren einrichten, die auf AWS-Konten zugreifen dürfen, um kritische Aufgaben auszuführen, die nicht warten können, bis die zentralen Identitätsanbieter wieder online sind. Nehmen Sie beispielsweise an, dass Ihr Identitätsanbieter für 4 Stunden nicht verfügbar ist und während dieses Zeitraums die Obergrenzen einer Amazon EC2 Auto Scaling-Gruppe in einem Produktionskonto geändert werden müssen, um einen unerwarteten Anstieg des Kundendatenverkehrs zu bewältigen. Ihre Notfalladministratoren sollten den Notfallzugriffsprozess befolgen, um Zugriff auf das spezifische AWS-Konto in der Produktion zu erhalten und die erforderlichen Änderungen vorzunehmen.
Der Notfallzugriffsprozess basiert auf einem vorab erstellten AWS-Konto für den Notfallzugriff, das ausschließlich für den Notfallzugriff verwendet wird und über AWS-Ressourcen (wie IAM-Rollen und IAM-Benutzer) zur Unterstützung des Notfallzugriffsprozesses verfügt. Während des normalen Betriebs sollte niemand auf das Notfallzugriffskonto zugreifen. Sie müssen dieses Konto auf Missbrauch überwachen und ggf. Warnungen senden (weitere Informationen finden Sie im vorherigen Abschnitt mit allgemeinen Leitlinien).
Das Notfallzugriffskonto verfügt über IAM-Notfallzugriffsrollen mit der Berechtigung, kontoübergreifende Rollen in den AWS-Konten anzunehmen, für die Notfallzugriff erforderlich ist. Diese IAM-Rollen sind vordefiniert und mit Vertrauensrichtlinien konfiguriert, die den IAM-Rollen des Notfallkontos vertrauen.
Der Notfallzugriffsprozess kann einen der folgenden Ansätze verwenden:
+ Sie können im Notfallzugriffskonto vorab eine Gruppe von [IAM-Benutzern](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users.html) mit zugehörigen sicheren Passwörtern und MFA-Token für Ihre Notfalladministratoren erstellen. Diese IAM-Benutzer verfügen über Berechtigungen, die IAM-Rollen anzunehmen, die dann den kontoübergreifenden Zugriff auf das AWS-Konto ermöglichen, für das der Notfallzugriff erforderlich ist. Wir empfehlen, so wenige solcher Benutzer wie möglich zu erstellen und jeden Benutzer einem einzelnen Notfalladministrator zuzuweisen. Während eines Notfalls meldet sich ein Notfalladministrator mit seinem Passwort und seinem MFA-Tokencode beim Notfallzugriffskonto an, wechselt zur IAM-Notfallzugriffsrolle im Notfallkonto und wechselt schließlich zur IAM-Notfallzugriffsrolle im Workload-Konto, um die für den Notfall erforderliche Änderungsaktion durchzuführen. Der Vorteil dieses Ansatzes besteht darin, dass jeder IAM-Benutzer einem Notfalladministrator zugewiesen ist und Sie anhand der CloudTrail-Ereignisse feststellen können, welcher Benutzer sich angemeldet hat. Der Nachteil ist, dass Sie mehrere IAM-Benutzer mit den zugehörigen langlebigen Passwörtern und MFA-Token verwalten müssen.
+ Sie können den [Root-Benutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) für den Notfallzugriff verwenden, um sich beim Notfallzugriffskonto anzumelden, die IAM-Rolle für den Notfallzugriff anzunehmen und dann die kontoübergreifende Rolle im Workload-Konto anzunehmen. Wir empfehlen, ein sicheres Passwort und mehrere MFA-Token für den Root-Benutzer festzulegen. Wir empfehlen außerdem, das Passwort und die MFA-Token in einem sicheren Vault für Unternehmensanmeldeinformationen zu speichern, der eine starke Authentifizierung und Autorisierung erzwingt. Sie sollten das Passwort und die Faktoren zum Zurücksetzen des MFA-Tokens sichern: Legen Sie die E-Mail-Adresse für das Konto auf eine E-Mail-Verteilerliste fest, die von Ihren Cloud-Sicherheitsadministratoren überwacht wird. Legen Sie die Telefonnummer des Kontos auf eine gemeinsam genutzte Telefonnummer fest, die ebenfalls von Sicherheitsadministratoren überwacht wird. Der Vorteil dieses Ansatzes besteht darin, dass nur ein Satz von Root-Benutzeranmeldeinformationen verwaltet werden muss. Der Nachteil ist, dass sich mehrere Administratoren als Root-Benutzer anmelden können, da es sich um einen gemeinsam genutzten Benutzer handelt. Sie müssen die Protokollereignisse für den Unternehmens-Vault überprüfen, um festzustellen, welcher Administrator das Passwort für den Root-Benutzer ausgecheckt hat.
**Ausfallmodus 2: Die Konfiguration des Identitätsanbieters in AWS wurde geändert oder ist abgelaufen**
Um den Verbund der Benutzer in Ihrem Unternehmen mit AWS-Konten zu ermöglichen, können Sie IAM Identity Center mit einem externen Identitätsanbieter konfigurieren oder einen IAM-Identitätsanbieter erstellen ([SEC02-BP04](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html)). In der Regel konfigurieren Sie diese, indem Sie ein XML-Dokument mit SAML-Metadaten importieren, das von Ihrem Identitätsanbieter bereitgestellt wird. Das XML-Metadatendokument enthält ein X.509-Zertifikat, das einem privaten Schlüssel entspricht, mit dem der Identitätsanbieter seine SAML-Zusicherungen signiert.
Diese Konfigurationen auf AWS-Seite können versehentlich von einem Administrator geändert oder gelöscht werden. In einem anderen Szenario läuft das in AWS importierte X.509-Zertifikat möglicherweise ab und eine neue XML-Metadatendatei mit einem neuen Zertifikat wurde noch nicht in AWS importiert. In beiden Szenarien kann der Verbund mit AWS für die Benutzer Ihrer Belegschaft unterbrochen werden, was zu einem Notfall führt.
In einem solchen Notfall können Sie Ihren Identitätsadministratoren Zugriff auf AWS gewähren, um die Verbundprobleme zu beheben. Ihr Identitätsadministrator verwendet beispielsweise den Notfallzugriffsprozess, um sich beim AWS-Konto für den Notfallzugriff anzumelden. Er wechselt zu einer Rolle im Identity Center-Administratorkonto und aktualisiert die Konfiguration des externen Identitätsanbieters, indem er das aktuelle XML-Dokument mit SAML-Metadaten von Ihrem Identitätsanbieter importiert, um den Verbund wieder zu aktivieren. Sobald der Verbund wiederhergestellt ist, verwenden die Benutzer in Ihrer Belegschaft weiter den normalen Betriebsprozess, um sich mit ihren Workload-Konten zu verbinden.
Sie können die oben für Ausfallmodus 1 beschriebenen Vorgehensweisen befolgen, um einen Notfallzugriffsprozess zu erstellen. Sie können Ihren Identitätsadministratoren Berechtigungen nach dem Prinzip der geringsten Berechtigung gewähren, sodass sie nur auf das Identity Center-Administratorkonto zugreifen und nur in diesem Konto Aktionen für Identity Center ausführen können.
**Ausfallmodus 3: Störung von Identity Center**
Für den unwahrscheinlichen Fall einer Störung von IAM Identity Center oder einer AWS-Region empfehlen wir, eine Konfiguration einzurichten, mit der Sie temporären Zugriff auf die AWS-Managementkonsole gewähren können.
Der Notfallzugriffsprozess verwendet einen direkten Verbund von Ihrem Identitätsanbieter zu IAM in einem Notfallkonto. Einzelheiten zu den Prozess- und Entwurfsüberlegungen finden Sie im [Artikel zum Einrichten des Notfallzugriffs auf die AWS-Managementkonsole](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html).
### Implementierungsschritte
**Allgemeine Schritte für alle Ausfallmodi**
+ Erstellen Sie ein AWS-Konto speziell für Notfallzugriffsprozesse. Erstellen Sie vorab die für das Konto benötigten IAM-Ressourcen wie IAM-Rollen oder IAM-Benutzer und optional IAM-Identitätsanbieter. Erstellen Sie außerdem vorab kontoübergreifende IAM-Rollen in den AWS-Konten für die Workload mit Vertrauensbeziehungen zu den entsprechenden IAM-Rollen im Notfallzugriffskonto. Sie können [CloudFormation-StackSets mit AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-cloudformation.html) verwenden, um solche Ressourcen in den Mitgliedskonten Ihrer Organisation zu erstellen.
+ Erstellen Sie AWS Organizations-[Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) (SCP), um das Löschen und Ändern der kontoübergreifenden IAM-Rollen in den AWS-Konten der Mitglieder zu verweigern.
+ Aktivieren Sie CloudTrail für das AWS-Konto für den Notfallzugriff und senden Sie die Trail-Ereignisse an einen zentralen S3-Bucket im AWS-Konto für die Protokollerfassung. Wenn Sie AWS Control Tower verwenden, um Ihre AWS-Umgebung mit mehreren Konten einzurichten und zu verwalten, ist für jedes Konto, das Sie mit AWS Control Tower erstellen oder in AWS Control Tower registrieren, CloudTrail standardmäßig aktiviert und wird an einen S3-Bucket in einem dedizierten AWS-Konto für das Protokollarchiv gesendet.
+ Überwachen Sie die Aktivitäten des Notfallzugriffskontos, indem Sie EventBridge-Regeln erstellen, die bei der Anmeldung in der Konsole und bei API-Aktivitäten durch die IAM-Notfallrollen greifen. Senden Sie Benachrichtigungen an Ihr Security Operations Center, wenn Aktivitäten außerhalb eines laufenden Notfallereignisses stattfinden, das in Ihrem Vorfallmanagement-System nachverfolgt wurde.
**Zusätzliche Schritte für Ausfallmodus 1 (Der für den Verbund mit AWS verwendete Identitätsanbieter ist nicht verfügbar) und Ausfallmodus 2 (Die Konfiguration des Identitätsanbieters in AWS wurde geändert oder ist abgelaufen)**
+ Erstellen Sie vorab Ressourcen, je nachdem, welchen Mechanismus Sie für den Notfallzugriff wählen:
+ **IAM-Benutzer verwenden:** Erstellen Sie vorab die IAM-Benutzer mit sicheren Passwörtern und den zugehörigen MFA-Geräten.
+ **Root-Benutzer des Notfallkontos verwenden:** Konfigurieren Sie den Root-Benutzer mit einem sicheren Passwort und speichern Sie das Passwort im Unternehmens-Vault für Anmeldeinformationen. Ordnen Sie dem Root-Benutzer mehrere physische MFA-Geräte zu und bewahren Sie die Geräte an Orten auf, zu denen die Mitglieder Ihres Notfalladministratorteams schnell Zugang haben.
**Zusätzliche Schritte für den Ausfallmodus 3 (Störung von Identity Center**
+ Erstellen Sie wie im [Artikel zum Einrichten des Notfallzugriffs auf die AWS-Managementkonsole](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html) erläutert im AWS-Konto für den Notfallzugriff einen IAM-Identitätsanbieter, um den direkten SAML-Verbund von Ihrem Identitätsanbieter aus zu ermöglichen.
+ Erstellen Sie Notfalleinsatzgruppen in Ihrem Identitätsanbieter ohne Mitglieder.
+ Erstellen Sie IAM-Rollen, die den Notfalleinsatzgruppen im Notfallzugriffskonto entsprechen.
## Ressourcen
**Zugehörige bewährte Methoden für Well-Architected:**
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_identities_identity_provider.html)
+ [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_least_privileges.html)
+ [SEC10-BP02 Entwickeln von Vorfallmanagementplänen](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_develop_management_plans.html)
+ [SEC10-BP07 Durchführen von Gamedays](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_incident_response_run_game_days.html)
**Zugehörige Dokumente:**
+ [Artikel zum Einrichten des Notfallzugriffs auf die AWS-Managementkonsole](https://docs.aws.amazon.com/singlesignon/latest/userguide/emergency-access.html)
+ [Aktivieren von Zugriff auf die für SAML-2.0-Verbundbenutzer AWS-Managementkonsole](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html)
+ [Break Glass“-Zugriff](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/break-glass-access.html)
**Zugehörige Videos:**
+ [AWS re:Invent 2022 – Vereinfachen des vorhandenen Mitarbeiterzugriffs mit IAM Identity Center](https://youtu.be/TvQN4OdR_0Y)
+ [AWS re:Inforce 2022 – AWS Identity and Access Management (IAM) Vertiefung](https://youtu.be/YMj33ToS8cI)
**Zugehörige Beispiele:**
+ [AWS Rolle „Break Glass](https://github.com/awslabs/aws-break-glass-role)
+ [AWS Customer Playbook Framework](https://github.com/aws-samples/aws-customer-playbook-framework)
+ [AWS Beispiele von Playbooks für die Vorfallsreaktion](https://github.com/aws-samples/aws-incident-response-playbooks)
# SEC03-BP04 Kontinuierliche Reduzierung der Berechtigungen
Wenn Ihre Teams bestimmen, welchen Zugriff sie benötigen, entfernen Sie unnötige Berechtigungen und erstellen Sie Überprüfungsprozesse, damit jederzeit dem Prinzip der geringsten Berechtigung entsprochen wird. Überwachen Sie Ihre Identitäten kontinuierlich und entfernen Sie ungenutzte Identitäten und Berechtigungen für den Zugriff von Menschen und Maschinen.
**Gewünschtes Ergebnis:** Die Genehmigungsrichtlinien sollten dem Prinzip der geringsten Berechtigung entsprechen. Wenn Zuständigkeiten und Rollen immer besser definiert werden, müssen Sie Ihre Berechtigungsrichtlinien prüfen, um unnötige Berechtigungen zu entfernen. Dieses Konzept verringert die Auswirkungen, wenn Anmeldeinformationen versehentlich offengelegt werden oder wenn anderweitig ohne Genehmigung darauf zugegriffen wird.
**Typische Anti-Muster:**
+ Standardmäßige Gewährung von Administratorberechtigungen für Benutzer
+ Erstellung übermäßig großzügiger Richtlinien, jedoch ohne vollständige Administratorberechtigungen
+ Aufbewahrung von Berechtigungsrichtlinien, nachdem sie nicht mehr benötigt werden
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
Wenn Teams und Projekte gerade erst mit der Arbeit beginnen, können lockere Richtlinien verwendet werden, um Innovationen und Agilität zu unterstützen. So könnten beispielsweise Entwickler in einer Entwicklungs- und Testumgebung Zugang zu einer breiten Palette von AWS-Services erhalten. Wir empfehlen, den Zugriff kontinuierlich zu prüfen und auf Services und Serviceaktionen einzuschränken, die für die anstehende Aufgabe wirklich benötigt werden. Wir empfehlen diese Evaluierung für menschliche und für maschinelle Identitäten. Maschinenidentitäten, manchmal auch als System- oder Servicekonten bezeichnet, sind Identitäten, die AWS den Zugriff auf Anwendungen oder Server ermöglichen. Dieser Zugriff ist besonders in einer Produktionsumgebung wichtig, in der übermäßig lockere Zugriffsregeln weitreichende Auswirkungen haben und möglicherweise Kundendaten offen legen könnten.
AWS bietet mehrere Verfahren zur Unterstützung der Identifizierung nicht verwendeter Benutzer, Rollen, Berechtigungen und Anmeldeinformationen. AWS kann auch bei der Analyse von Zugriffsaktivitäten von IAM-Benutzern und -Rollen helfen, darunter ebenfalls Analysen zu zugehörigen Zugriffsschlüsseln sowie zum Zugriff auf AWS-Ressourcen wie etwa Objekten in Amazon S3-Buckets. Die Generierung von Richtlinien mit AWS Identity and Access Management Access Analyzer kann Ihnen bei der Erstellung restriktiver Berechtigungsrichtlinien auf der Grundlage der Services und Aktionen helfen, mit denen ein Prinzipal tatsächlich interagiert. Die [attributbasierte Zugriffskontrolle (ABAC)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) kann zur Vereinfachung der Berechtigungsverwaltung beitragen, da Sie Benutzern anhand ihrer Attribute Berechtigungen erteilen können, anstatt jedem Benutzer direkt Berechtigungsrichtlinien zuzuweisen.
### Implementierungsschritte
+ **[AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) verwenden:** IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und Ihren Konten zu identifizieren, die [mit einer externen Entität geteilt werden](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) (z. B. Amazon Simple Storage Service (Amazon S3)-Buckets oder IAM-Rollen).
+ **Das [Generieren von IAM Access Analyzer-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) verwenden:** Mit dem Generieren von IAM Access Analyzer-Richtlinien können Sie [detaillierte Berechtigungsrichtlinien erstellen, die auf der Zugriffsaktivität eines IAM-Benutzers oder einer IAM-Rolle basieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html#access-analyzer-policy-generation-howitworks).
+ **Vor der Produktionsphase Berechtigungen in weniger kritischen Umgebungen testen:** Verwenden Sie zunächst die [weniger kritischen Sandbox- und Entwicklungsumgebungen](https://docs.aws.amazon.com/prescriptive-guidance/latest/choosing-git-branch-approach/understanding-the-devops-environments.html), um die für verschiedene Tätigkeitsbereiche erforderlichen Berechtigungen mit IAM Access Analyzer zu testen. Verschärfen und validieren Sie dann schrittweise diese Berechtigungen in allen Test-, Qualitätssicherungs- und Staging-Umgebungen, bevor Sie sie für die Produktion anwenden. In den weniger kritischen Umgebungen können zunächst lockerere Berechtigungen gelten, da Service-Kontrollrichtlinien (SCPs) Integritätsschutz durchsetzen, indem sie die maximal erteilten Berechtigungen einschränken.
+ **Einen akzeptablen Zeitrahmen und eine akzeptable Nutzungsrichtlinie für IAM-Benutzer und -Rollen festlegen:** Verwenden Sie den [Zeitstempel des letzten Zugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor-view-data.html), um [ungenutzte Benutzer und Rollen zu identifizieren](https://aws.amazon.com/blogs/security/identify-unused-iam-roles-remove-confidently-last-used-timestamp/) und sie zu entfernen. Überprüfen Sie die Informationen zum letzten Service- und Aktionszugriff überprüfen, um [Berechtigungen für bestimmte Benutzer und Rollen zu identifizieren und festzulegen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html) Sie können beispielsweise Informationen zum letzten Zugriff verwenden, um die spezifischen Amazon S3-Aktionen zu identifizieren, die Ihre Anwendungsrolle erfordert, und den Zugriff der Rolle auf diese Aktionen beschränken. Features für die zuletzt abgerufenen Informationen sind in der AWS-Managementkonsole und programmgesteuert verfügbar, damit Sie sie in Ihre Infrastruktur-Workflows und automatisierten Tools integrieren können.
+ **[Protokollierung von Datenereignissen in AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/logging-data-events-with-cloudtrail.html) erwägen:** Standardmäßig protokolliert CloudTrail keine Datenereignisse wie Amazon S3-Aktivitäten auf Objektebene (zum Beispiel `GetObject` und `DeleteObject`) oder Amazon DynamoDB-Tabellenaktivitäten (zum Beispiel `PutItem` und `DeleteItem`). Erwägen Sie die Verwendung der Protokollierung dieser Ereignisse, um zu ermitteln, welche Benutzer und Rollen Zugriff auf bestimmte Amazon S3-Objekte oder DynamoDB-Tabellenelemente benötigen.
## Ressourcen
**Zugehörige Dokumente:**
+ [Gewähren der geringsten Berechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege)
+ [Entfernen unnötiger Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#remove-credentials)
+ [ Was ist AWS CloudTrail? ](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)
+ [Arbeiten mit -Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage.html)
+ [ Protokollierung und Überwachung in DynamoDB ](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/MonitoringDynamoDB.html)
+ [ Verwenden der CloudTrail-Ereignisprotokollierung für Amazon S3-Buckets und -Objekte ](https://docs.aws.amazon.com/AmazonS3/latest/userguide/enable-cloudtrail-logging-for-s3.html)
+ [ Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html)
**Zugehörige Videos:**
+ [Experte für IAM-Richtlinien in unter 60 Minuten](https://youtu.be/YQsK4MtsELU)
+ [Trennung von Pflichten, geringste Berechtigung, Delegierung und CI/CD](https://youtu.be/3H0i7VyTu70)
+ [AWS re:Inforce 2022 – AWS Identity and Access Management (IAM) Vertiefung ](https://www.youtube.com/watch?v=YMj33ToS8cI)
# SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation
Verwenden Sie Maßnahmen zum Integritätsschutz, um den Umfang der verfügbaren Berechtigungen, die Prinzipalen gewährt werden können, einzuschränken. Die Bewertungskette für Genehmigungsrichtlinien umfasst Ihren Integritätsschutz, um bei Autorisierungsentscheidungen die *effektiven Berechtigungen* eines Prinzipals zu bestimmen. Sie können Maßnahmen zum Integritätsschutz mit einem ebenenbasierten Ansatz definieren. Wenden Sie einige Maßnahmen zum Integritätsschutz allgemein für Ihre gesamte Organisation an und andere granular auf Sitzungen mit temporärem Zugriff.
**Gewünschtes Ergebnis:** Die Umgebungen sind durch die Verwendung separater AWS-Konten klar voneinander abgegrenzt. Service-Kontrollrichtlinien (SCP) werden verwendet, um organisationsweite Maßnahmen zum Integritätsschutz zu definieren. Umfassender angelegte Maßnahmen zu Integritätsschutz werden auf den Hierarchieebenen festgelegt, die der Root Ihrer Organisation am nächsten sind, und strengerer Integritätsschutz wird näher an der Ebene der einzelnen Konten festgelegt.
Sofern unterstützt, definieren Ressourcenrichtlinien die Bedingungen, die ein Prinzipal erfüllen muss, um Zugriff auf eine Ressource zu erhalten. Die Ressourcenrichtlinien schränken auch den Umfang der erlaubten Aktionen ein, wo dies angebracht ist. Berechtigungsgrenzen werden auf Prinzipale verteilt, die Workload-Berechtigungen verwalten und die Verwaltung von Berechtigungen an einzelne Workload-Besitzer delegieren.
**Typische Anti-Muster:**
+ AWS-Konten für Mitglieder werden innerhalb einer [AWS-Organisation](https://aws.amazon.com/organizations/) erstellt, ohne dass SCPs verwendet werden, um die Nutzung und die für ihre Root-Anmeldeinformationen verfügbaren Rechte einzuschränken.
+ Zuweisung von Berechtigungen auf der Grundlage der geringsten Berechtigung, aber kein Integritätsschutz für die maximale Anzahl von Berechtigungen, die gewährt werden können
+ Sie verlassen sich bei der Einschränkung von Berechtigungen auf die *implizite Ablehnungsgrundlage* von AWS IAM und vertrauen darauf, dass Richtlinien keine unerwünschte *ausdrückliche Genehmigungsberechtigung* gewähren.
+ Mehrere Workload-Umgebungen im selben AWS-Konto ausführen und sich dann auf Mechanismen wie VPCs, Tags oder Ressourcenrichtlinien verlassen, um Berechtigungsgrenzen durchzusetzen
**Vorteile der Nutzung dieser bewährten Methode:** Durch den Integritätsschutz für Berechtigungen kann das Vertrauen gestärkt werden, dass keine unerwünschten Berechtigungen erteilt werden können, selbst wenn eine Berechtigungsrichtlinie dies versucht. Dies kann die Definition und Verwaltung von Berechtigungen vereinfachen, da der maximale Umfang der zu berücksichtigenden Berechtigungen reduziert wird.
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
Wir empfehlen Ihnen, einen ebenenbasierten Ansatz zu verwenden, um für Maßnahmen für den Integritätsschutz für Ihre Organisation zu definieren. Dieser Ansatz reduziert systematisch die maximale Anzahl der möglichen Berechtigungen, wenn weitere Ebenen hinzugefügt werden. So können Sie den Zugriff nach dem Prinzip der geringsten Berechtigung gewähren und das Risiko eines unbeabsichtigten Zugriffs aufgrund einer falschen Konfiguration der Richtlinie verringern.
Der erste Schritt zur Einrichtung zum Integritätsschutz ist die Isolierung Ihrer Workloads und Umgebungen in getrennten AWS-Konten. Prinzipale eines Kontos können ohne ausdrückliche Genehmigung nicht auf Ressourcen in einem anderen Konto zugreifen, selbst wenn sich beide Konten in derselben AWS-Organisation oder derselben [Organisationseinheit (OE)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_ous.html) befinden. Sie können OEs verwenden, um Konten zu gruppieren, die Sie als eine Einheit verwalten möchten.
Der nächste Schritt besteht darin, die maximale Anzahl von Berechtigungen zu reduzieren, die Sie Prinzipalen innerhalb der Mitgliedskonten Ihrer Organisation erteilen können. Zu diesem Zweck können Sie [Service-Kontrollrichtlinien (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) verwenden, die Sie entweder auf eine Organisationseinheit oder ein Konto anwenden können. SCPs können allgemeine Zugriffskontrollen durchsetzen, etwa die Beschränkung des Zugriffs auf bestimmte AWS-Regionen, die Verhinderung des Löschens von Ressourcen oder die Deaktivierung potenziell riskanter Serviceaktionen. SCPs, die Sie auf das Root-Verzeichnis Ihrer Organisation anwenden, wirken sich nur auf die Mitgliedskonten aus, nicht auf das Verwaltungskonto. SCPs regeln nur die Prinzipale innerhalb Ihrer Organisation. Ihre SCPs regeln keine Prinzipale außerhalb Ihrer Organisation, die auf Ihre Ressourcen zugreifen.
Wenn Sie [AWS Control Tower](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html) verwenden, können Sie die [Steuerungen](https://docs.aws.amazon.com/controltower/latest/userguide/how-control-tower-works.html#how-controls-work) und [Landing Zones](https://docs.aws.amazon.com/controltower/latest/userguide/aws-multi-account-landing-zone.html) als Grundlage für Ihren Integritätsschutz für Berechtigungen und Ihre Multi-Konten-Umgebung nutzen. Die Landing Zones bieten eine vorkonfigurierte, sichere Basisumgebung mit getrennten Konten für verschiedene Workloads und Anwendungen. Der Integritätsschutz setzt verbindliche Kontrollen in Bezug auf Sicherheit, Betrieb und Compliance durch eine Kombination aus Service-Kontrollrichtlinien (SCPs), AWS Config-Regeln und anderen Konfigurationen durch. Bei der Verwendung von Integritätsschutz und Landing Zones im Control Tower zusammen mit SCPs, die für die Kundenorganisation spezifisch sind, ist es jedoch kritisch, die in der AWS-Dokumentation beschriebenen Best Practices zu befolgen, um Konflikte zu vermeiden und eine angemessene Steuerung sicherzustellen. Detaillierte Empfehlungen zur Verwaltung von SCPs, Konten und Organisationseinheiten (OUs) in einer Control-Tower-Umgebung finden Sie in der [AWS Control Tower-Anleitung für AWS Organizations](https://docs.aws.amazon.com/controltower/latest/userguide/orgs-guidance.html).
Wenn Sie sich an diese Empfehlungen halten, können Sie den Integritätsschutz, die Landing Zones und die benutzerdefinierten SCPs von Control Tower effektiv nutzen. Gleichzeitig vermeiden Sie potenzielle Konflikte und stellen eine angemessene Verwaltung und Kontrolle Ihrer AWS-Umgebung mit mehreren Konten sicher.
Ein weiterer Schritt besteht darin, mithilfe von [IAM-Ressourcenrichtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_resource-based) die verfügbaren Aktionen festzulegen, die Sie für die zugehörigen Ressourcen ausführen können – zusammen mit allen Bedingungen, die der aktuelle Prinzipal erfüllen muss. Dies kann so breit gefasst sein, dass alle Aktionen zugelassen werden, solange der Prinzipal Teil Ihrer Organisation ist (unter Verwendung des [Bedingungsschlüssels](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_condition-keys.html) PrincipalOrgID), oder so detailliert sein, dass nur bestimmte Aktionen einer bestimmten IAM-Rolle zugelassen werden. Sie können einen ähnlichen Ansatz mit Bedingungen in IAM-Rollenvertrauensrichtlinien verfolgen. Wenn eine Vertrauensrichtlinie für eine Ressource oder Rolle explizit einen Prinzipal im selben Konto wie die Rolle oder Ressource benennt, die sie regelt, benötigt dieser Prinzipal keine angehängte IAM-Richtlinie, die dieselben Berechtigungen gewährt. Wenn der Prinzipal ein anderes Konto hat als die Ressource, dann benötigt der Prinzipal eine angehängte IAM-Richtlinie, die diese Berechtigungen gewährt.
Oft möchte ein Workload-Team die für seine Workload erforderlichen Berechtigungen verwalten. Dazu muss es möglicherweise neue IAM-Rollen und Berechtigungsrichtlinien erstellen. Sie können den maximalen Umfang der Berechtigungen erfassen, die das Team innerhalb einer [IAM-Berechtigungsgrenze](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html) gewähren darf, und dieses Dokument einer IAM-Rolle zuordnen, mit der das Team dann seine IAM-Rollen und -Berechtigungen verwalten kann. Dieser Ansatz kann dem Team die nötige Flexibilität bieten, die Aufgaben zu erledigen, und gleichzeitig die Risiken reduzieren, die durch einen IAM-Verwaltungszugriff entstehen.
Ein detaillierterer Schritt ist die Implementierung von Techniken zur *Verwaltung des privilegierten Zugriffs* (PAM) und zur *Verwaltung des vorübergehend erhöhten Zugriffs* (TEAM). Ein Beispiel für PAM ist die Anforderung an Prinzipale, sich mehrfach zu authentifizieren, bevor sie privilegierte Aktionen durchführen. Weitere Informationen finden Sie unter [Konfigurieren eines MFA-geschützten API-Zugriffs](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html). TEAM benötigt eine Lösung, die die Genehmigung und den Zeitrahmen verwaltet, in dem ein Prinzipal erweiterten Zugriff haben darf. Eine Möglichkeit besteht darin, den Prinzipal vorübergehend in die Vertrauensrichtlinie für eine IAM-Rolle aufzunehmen, die über einen erweiterten Zugriff verfügt. Ein anderer Ansatz besteht darin, im Normalbetrieb die einem Prinzipal durch eine IAM-Rolle gewährten Berechtigungen mithilfe einer [Sitzungsrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html#policies_session) einzuschränken und diese Einschränkung dann während des genehmigten Zeitfensters vorübergehend aufzuheben. Weitere Informationen zu Lösungen, die AWS und ausgewählte Partner validiert haben, finden Sie unter [Temporärer erweiterter Zugriff](https://docs.aws.amazon.com/singlesignon/latest/userguide/temporary-elevated-access.html).
### Implementierungsschritte
1. Isolieren Sie Ihre Workloads und Umgebungen in separaten AWS-Konten.
1. Verwenden Sie SCPs, um die maximale Anzahl von Berechtigungen zu reduzieren, die Prinzipalen innerhalb der Mitgliedskonten Ihrer Organisation gewährt werden können.
1. Bei der Definition von SCPs zur Reduzierung der maximalen Anzahl von Berechtigungen, die Prinzipalen innerhalb der Mitgliedskonten Ihrer Organisation gewährt werden können, können Sie zwischen einer *Zulassungsliste* und einer *Verweigerungsliste* wählen. Die Zulassungslistenstrategie gibt explizit die zulässigen Zugriffe an und blockiert implizit alle anderen Zugriffe. Die Verweigerungslistenstrategie gibt explizit die unzulässigen Zugriffe an und lässt standardmäßig alle anderen Zugriffe zu. Beide Strategien haben Vor- und Nachteile. Die Entscheidung ist von den spezifischen Anforderungen und vom Risikomodell Ihres Unternehmens abhängig. Weitere Informationen finden Sie unter [Strategie für die Verwendung von SCPs](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_strategies.html).
1. Sehen Sie sich auch die [Beispiele für Service-Kontrollrichtlinien](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html) an, um zu verstehen, wie Sie SCPs effektiv konstruieren können.
1. Verwenden Sie IAM-Ressourcenrichtlinien, um den Geltungsbereich einzugrenzen und Bedingungen für zulässige Aktionen auf Ressourcen festzulegen. Verwenden Sie Bedingungen in IAM-Rollenvertrauensrichtlinien, um Einschränkungen für die Übernahme von Rollen zu erstellen.
1. Weisen Sie IAM-Berechtigungsgrenzen zu IAM-Rollen zu, die Workload-Teams dann zur Verwaltung ihrer eigenen Workload-IAM-Rollen und -Berechtigungen verwenden können.
1. Evaluieren Sie PAM- und TEAM-Lösungen auf der Grundlage Ihrer Bedürfnisse.
## Ressourcen
**Zugehörige Dokumente:**
+ [Datenperimeter in AWS](https://aws.amazon.com/identity/data-perimeters-on-aws/)
+ [Einrichten des Berechtigungs-Integritätsschutzes mithilfe von Datenperimetern](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_data-perimeters.html)
+ [Auswertungslogik für Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic.html)
**Zugehörige Beispiele:**
+ [Beispiele für Service-Kontrollrichtlinie](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps_examples.html)
**Zugehörige Tools:**
+ [AWS Lösung: Temporäre erweiterte Zugriffsverwaltung](https://aws-samples.github.io/iam-identity-center-team/)
+ [Validierte Sicherheitspartnerlösungen für TEAM](https://docs.aws.amazon.com/singlesignon/latest/userguide/temporary-elevated-access.html#validatedpartners)
# SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus
Überwachen Sie die Berechtigungen, die Ihren Prinzipalen (Benutzern, Rollen und Gruppen) während ihres gesamten Lebenszyklus in Ihrer Organisation gewährt werden, und passen Sie sie an. Passen Sie die Gruppenmitgliedschaften an, wenn Benutzer ihre Rolle ändern, und entfernen Sie den Zugriff, wenn ein Benutzer die Organisation verlässt.
**Gewünschtes Ergebnis:** Sie überwachen und passen die Berechtigungen während des gesamten Lebenszyklus der Prinzipale innerhalb der Organisation an und reduzieren so das Risiko unnötiger Rechte. Sie gewähren den entsprechenden Zugriff, wenn Sie einen Benutzer anlegen. Sie ändern den Zugriff, wenn sich die Aufgaben des Benutzers ändern, und Sie entfernen den Zugriff, wenn der Benutzer nicht mehr aktiv ist oder die Organisation verlassen hat. Sie verwalten Änderungen an Ihren Benutzern, Rollen und Gruppen zentral. Sie verwenden die Automatisierung, um Änderungen in Ihren AWS-Umgebungen zu verbreiten.
**Typische Anti-Muster:**
+ Sie erteilen Identitäten im Voraus übermäßige oder weitreichende Zugriffsrechte, die über das zunächst erforderliche Maß hinausgehen.
+ Sie überprüfen und ändern die Zugriffsberechtigungen nicht, wenn sich Rollen und Verantwortlichkeiten der Identitäten im Laufe der Zeit ändern.
+ Sie entfernen aktive Zugriffsberechtigungen nicht von inaktiven oder beendeten Identitäten. Dies erhöht das Risiko eines unbefugten Zugriffs.
+ Sie nutzen keine Automatisierung, um den Lebenszyklus von Identitäten zu verwalten.
**Risikostufe bei fehlender Befolgung dieser bewährten Methode:** Mittel
## Implementierungsleitfaden
Verwalten Sie die Zugriffsprivilegien, die Sie Identitäten (z. B. Benutzern, Rollen, Gruppen) gewähren, sorgfältig und passen Sie sie im Laufe ihres Lebenszyklus an. Dieser Lebenszyklus umfasst die anfängliche Onboarding-Phase, laufende Änderungen der Rollen und Verantwortlichkeiten und schließlich das Offboarding oder die Kündigung. Verwalten Sie den Zugriff proaktiv je nach Stadium des Lebenszyklus, um die richtige Zugriffsstufe zu erhalten. Halten Sie sich an das Prinzip der geringsten Berechtigung, um Risiken durch übermäßige oder unnötige Zugriffsberechtigungen zu verringern.
Sie können den Lebenszyklus von IAM-Benutzern direkt innerhalb des AWS-Konto oder durch den Verbund Ihres Identitätsanbieters für Mitarbeiter mit [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/) verwalten. Für IAM-Benutzer können Sie innerhalb des AWS-Konto Benutzer und die damit verbundenen Berechtigungen erstellen, ändern und löschen. Für Verbundbenutzer können Sie IAM Identity Center verwenden, um ihren Lebenszyklus zu verwalten. Hierzu synchronisieren Sie Benutzer- und Gruppeninformationen aus dem Identitätsanbieter Ihrer Organisation über das Protokoll [System for Cross-domain Identity Management](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html) (SCIM).
SCIM ist ein offenes Standardprotokoll für die automatisierte Bereitstellung und Deprovisionierung von Benutzeridentitäten über verschiedene Systeme hinweg. Durch die Integration Ihres Identitätsanbieters mit IAM Identity Center unter Verwendung von SCIM können Sie Benutzer- und Gruppeninformationen automatisch synchronisieren und so sicherstellen, dass Zugriffsberechtigungen auf der Grundlage von Änderungen in der maßgeblichen Identitätsquelle Ihrer Organisation gewährt, geändert oder entzogen werden.
Wenn sich die Rollen und Zuständigkeiten der Mitarbeiter in Ihrer Organisation ändern, passen Sie ihre Zugriffsrechte entsprechend an. Sie können die Berechtigungssätze von IAM Identity Center verwenden, um verschiedene Job-Rollen oder -Verantwortlichkeiten zu definieren und sie mit den entsprechenden IAM-Richtlinien und -Berechtigungen zu verknüpfen. Wenn sich die Rolle eines Mitarbeiters ändert, können Sie die ihm zugewiesenen Berechtigungen aktualisieren, um die neuen Verantwortlichkeiten zu berücksichtigen. Vergewissern Sie sich, dass sie über den erforderlichen Zugriff verfügen, und halten Sie sich dabei an das Prinzip der geringsten Berechtigung.
### Implementierungsschritte
1. Definieren und dokumentieren Sie einen Lebenszyklusprozess für die Zugriffsverwaltung, einschließlich Verfahren für die Gewährung des Erstzugriffs, regelmäßige Überprüfungen und das Offboarding.
1. Implementieren Sie [IAM-Rollen, -Gruppen und -Berechtigungsgrenzen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html), um den Zugriff kollektiv zu verwalten und die maximal zulässigen Zugriffsstufen durchzusetzen.
1. Führen Sie eine Integration mit einem [Anbieter von Verbundidentitäten](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) (z. B. Microsoft Active Directory, Okta, Ping Identity) als autoritativer Quelle für Benutzer- und Gruppeninformationen mit IAM Identity Center durch.
1. Verwenden Sie das [SCIM](https://docs.aws.amazon.com/singlesignon/latest/developerguide/what-is-scim.html)-Protokoll, um Benutzer- und Gruppeninformationen aus dem Identitätsanbieter mit dem Identitätsspeicher von IAM Identity Center zu synchronisieren.
1. Erstellen Sie in IAM Identity Center [Berechtigungssätze](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html), die verschiedene Jobrollen oder Verantwortlichkeiten in Ihrer Organisation repräsentieren. Definieren Sie die entsprechenden IAM-Richtlinien und -Berechtigungen für jeden Berechtigungssatz.
1. Führen Sie regelmäßige Zugriffsüberprüfungen, sofortigen Zugriffsentzug und eine kontinuierliche Verbesserung des Lebenszyklusprozesses der Zugriffsverwaltung ein.
1. Schulung und Sensibilisierung der Mitarbeiter für die bewährten Methoden der Zugriffsverwaltung.
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_identities_identity_provider.html)
**Zugehörige Dokumente:**
+ [Verwaltung Ihrer Identitätsquelle ](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source.html)
+ [Verwaltung von Identitäten in IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html)
+ [Verwenden von AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html)
+ [Generieren von IAM Access Analyzer-Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html)
**Zugehörige Videos:**
+ [AWS re:Inforce 2023 – Temporäre erweiterte Zugriffsverwaltung mit AWS IAM Identity Center](https://www.youtube.com/watch?v=a1Na2G7TTQ0)
+ [AWS re:Invent 2022 – Vereinfachen des vorhandenen Mitarbeiterzugriffs mit IAM Identity Center](https://www.youtube.com/watch?v=TvQN4OdR_0Y&t=444s)
+ [AWS re:Invent 2022 – Nutzung der Leistungsfähigkeit von IAM-Richtlinien und Einschränken der Berechtigungen mit Access Analyzer](https://www.youtube.com/watch?v=x-Kh8hKVX74&list=PL2yQDdvlhXf8bvQJuSP1DQ8vu75jdttlM&index=11)
# SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs
Überwachen Sie kontinuierlich Ergebnisse, die den öffentlichen und kontoübergreifenden Zugriff betreffen. Beschränken Sie den öffentlichen und kontoübergreifenden Zugriff ausschließlich auf Ressourcen, die diese Art von Zugriff benötigen.
**Gewünschtes Ergebnis:** Sie wissen, welche Ihrer AWS-Ressourcen für welche Benutzer freigegeben sind. Überwachen und prüfen Sie kontinuierlich Ihre freigegebenen Ressourcen, um sicherzustellen, dass sie nur für autorisierte Prinzipale freigegeben sind.
**Typische Anti-Muster:**
+ Fehlendes Inventar gemeinsam genutzter Ressourcen
+ Nichtbefolgung eines Prozesses zur Genehmigung von kontoübergreifendem oder öffentlichem Zugriff auf Ressourcen
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig
## Implementierungsleitfaden
Wenn sich Ihr Konto in AWS Organizations befindet, können Sie den Zugriff auf Ressourcen der gesamten Organisation, bestimmten Organisationseinheiten oder einzelnen Konten gewähren. Wenn Ihr Konto nicht zu einer Organisation gehört, können Sie Ressourcen für einzelne Konten freigeben. Sie können direkten kontoübergreifenden Zugriff gewähren, indem Sie ressourcenbasierte Richtlinien verwenden (z. B. die [Richtlinien für Amazon Simple Storage Service (Amazon S3)-Buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/bucket-policies.html)) oder indem Sie einem Prinzipal in einem anderen Konto erlauben, eine IAM-Rolle in Ihrem Konto zu übernehmen. Verifizieren Sie bei der Verwendung von Ressourcenrichtlinien, dass der Zugriff nur autorisierten Prinzipalen gewährt wird. Definieren Sie einen Prozess für die Genehmigung aller Ressourcen, die öffentlich verfügbar sein müssen.
[AWS Identity and Access Management Access Analyzer](https://aws.amazon.com/iam/features/analyze-access/) nutzt [nachweisbare Sicherheit](https://aws.amazon.com/security/provable-security/), um alle Zugriffspfade zu einer Ressource von außerhalb ihres Kontos zu identifizieren. Es überprüft Ressourcenrichtlinien kontinuierlich und meldet Ergebnisse des öffentlichen und kontoübergreifenden Zugriffs, um Ihnen die Analyse potenziell umfassender Zugriffe zu erleichtern. Ziehen Sie die Konfiguration von IAM Access Analyzer mit AWS Organizations in Betracht, um Transparenz für alle Ihre Konten zu gewährleisten. Mit IAM Access Analyzer können Sie zudem [eine Vorschau der Ergebnisse anzeigen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-access-preview.html), bevor Sie Ressourcenberechtigungen bereitstellen. So können Sie sicherstellen, dass mit den Richtlinienänderungen nur der beabsichtigte öffentliche und kontoübergreifende Zugriff auf Ihre Ressourcen gewährt wird. Wenn Sie den Zugriff auf mehrere Konten planen, können Sie mithilfe von [Vertrauensrichtlinien](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/) steuern, in welchen Fällen eine Rolle übernommen werden kann. Sie könnten beispielsweise den [`PrincipalOrgId`-Bedingungsschlüssel verwenden, um Versuche, eine Rolle von außerhalb Ihres AWS Organizations zu übernehmen, abzulehnen](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/).
[AWS Config kann falsch konfigurierte Ressourcen melden](https://docs.aws.amazon.com/config/latest/developerguide/operational-best-practices-for-Publicly-Accessible-Resources.html) und mithilfe von AWS Config-Richtlinienprüfungen Ressourcen erkennen, für die ein öffentlicher Zugriff konfiguriert ist. Services wie [AWS Control Tower](https://aws.amazon.com/controltower/) und [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) vereinfachen die Bereitstellung von detektivischen Kontrollen und Integritätsschutz über AWS Organizations hinweg, um öffentlich zugängliche Ressourcen zu identifizieren und zu korrigieren. AWS Control Tower hat beispielsweise einen verwalteten Integritätsschutz, der erkennen kann, ob [Amazon-EBS-Snapshots von AWS-Konten wiederhergestellt werden können](https://docs.aws.amazon.com/controltower/latest/userguide/what-is-control-tower.html).
### Implementierungsschritte
+ **Die Verwendung von [AWS Config für AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html) erwägen:** Mit AWS Config können Sie die Ergebnisse mehrerer Konten in einem AWS Organizations in einem delegierten Administratorkonto zusammenfassen. Dies bietet einen umfassenden Überblick und ermöglicht die [kontoübergreifende Bereitstellung von AWS-Config-Regeln, um öffentlich zugängliche Ressourcen zu erkennen](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html).
+ **AWS Identity and Access Management Access Analyzer konfigurieren:** IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und in Ihren Konten zu identifizieren, [die für eine externe Entität freigegeben wurden](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html), z. B. Amazon S3-Buckets oder IAM-Rollen.
+ **Automatische Abhilfemaßnahmen in AWS Config verwenden, um auf Änderungen an der Konfiguration des öffentlichen Zugriffs von Amazon S3-Buckets zu reagieren:** [Sie können die Einstellungen zum Blockieren des öffentlichen Zugriffs für Amazon S3-Buckets automatisch aktivieren](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/).
+ **Überwachung und Warnmeldungen implementieren, um festzustellen, ob Amazon S3-Buckets öffentlich geworden sind:** [Überwachung und Warnmeldungen](https://aws.amazon.com/blogs/aws/amazon-s3-update-cloudtrail-integration/) müssen aktiviert sein, damit erkannt werden kann, wenn Amazon S3 Block Public Access deaktiviert wird und ob Amazon S3-Buckets öffentlich geworden sind. Wenn Sie AWS Organizations verwenden, können Sie außerdem eine [Service-Kontrollrichtlinie](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) erstellen, die Änderungen an den Amazon-S3-Richtlinien für den öffentlichen Zugriff verhindert. [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor.html) sucht nach Amazon-S3-Buckets mit offenen Zugriffsberechtigungen. Bucket-Berechtigungen, die allen Benutzern den Zugriff zum Hochladen/Löschen einräumen, bergen ein hohes Potenzial für Sicherheitsrisiken, da alle Personen Elemente in einem Bucket hinzufügen, ändern oder löschen können. Bei der Prüfung durch Trust Advisor werden explizite Bucket-Berechtigungen und zugeordnete Bucket-Richtlinien geprüft, die die Bucket-Berechtigungen möglicherweise überschreiben. Sie können auch mit AWS Config Ihre Amazon S3-Buckets für den öffentlichen Zugriff überwachen. Weitere Informationen finden Sie unter [How AWS Config to Monitor for and Respond to Amazon S3 Buckets Allowing Public Access](https://aws.amazon.com/blogs/security/how-to-use-aws-config-to-monitor-for-and-respond-to-amazon-s3-buckets-allowing-public-access/).
Bei der Überprüfung der Zugriffskontrollen für Amazon-S3-Buckets ist es wichtig, die Art der darin gespeicherten Daten zu berücksichtigen. [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/findings-types.html) ist ein Service, mit dem Sie sensible Daten wie persönlich identifizierbare Informationen (PII), geschützte Gesundheitsinformationen (PHI, Protected Health Information) und Anmeldeinformationen wie private Schlüssel oder AWS-Zugriffsschlüssel entdecken und schützen können.
## Ressourcen
**Zugehörige Dokumente:**
+ [Verwenden von AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html?ref=wellarchitected)
+ [Bibliothek von AWS Control Tower-Kontrollen](https://docs.aws.amazon.com/controltower/latest/userguide/controls-reference.html)
+ [AWS Foundational Security Best Practices-Standard](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp.html)
+ [AWS Config Von verwaltete Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config_use-managed-rules.html)
+ [AWS Trusted Advisor-Referenz prüfen](https://docs.aws.amazon.com/awssupport/latest/user/trusted-advisor-check-reference.html)
+ [ Überwachen von AWS Trusted Advisor-Prüfungsergebnissen mit Amazon EventBridge ](https://docs.aws.amazon.com/awssupport/latest/user/cloudwatch-events-ta.html)
+ [ Verwalten von AWS Config-Regeln für alle Konten in Ihrer Organisation ](https://docs.aws.amazon.com/config/latest/developerguide/config-rule-multi-account-deployment.html)
+ [AWS Config und AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-config.html)
+ [ Ihr AMI für die Verwendung in Amazon EC2 öffentlich verfügbar machen](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/sharingamis-intro.html#block-public-access-to-amis)
**Zugehörige Videos:**
+ [Bewährte Methoden für den Schutz Ihrer Mehrkonten-Umgebung](https://www.youtube.com/watch?v=ip5sn3z5FNg)
+ [Tiefer Einblick in IAM Access Analyzer](https://www.youtube.com/watch?v=i5apYXya2m0)
# SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation
Wenn die Anzahl der Workloads zunimmt, müssen Sie möglicherweise den Zugriff auf Ressourcen in diesen Workloads ausweiten oder diese Ressourcen mehrfach über mehrere Konten hinweg zugänglich machen. Möglicherweise haben Sie Konstrukte zur Untergliederung Ihrer Umgebung, etwa für Entwicklungs-, Test- und Produktionsumgebungen. Solche Trennungskonstrukte schränken Sie jedoch nicht in der Lage ein, sicher zu teilen. Durch die gemeinsame Nutzung sich überschneidender Ressourcen können Sie übermäßigen betrieblichen Aufwand reduzieren und eine konsistente Umgebung schaffen, ohne dass Sie raten müssen, was Sie vielleicht versäumt haben, wenn Sie eine Ressource mehrmals erstellen.
**Gewünschtes Ergebnis:** Vermeiden Sie den unbeabsichtigten Zugriff, indem Sie sichere Methoden verwenden, um Ressourcen innerhalb Ihrer Organisation zu teilen, und unterstützen Sie Ihre Initiative zur Verhinderung von Datenverlust. Reduzieren Sie Ihren organisatorischen Aufwand gegenüber der Verwaltung einzelner Komponenten, senken Sie die Zahl von Fehlern durch das manuelle mehrmalige Erstellen identischer Ressourcen, und steigern Sie die Skalierbarkeit Ihrer Workloads. Sie können von kürzeren Lösungszeiten in Szenarien mit mehreren Fehlerpunkten profitieren und Ihr Vertrauen in die Bestimmung erhöhen, wann eine Komponente nicht mehr benötigt wird. Verbindliche Anleitungen zur Analyse extern gemeinsam genutzter Ressourcen finden Sie unter [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](sec_permissions_analyze_cross_account.md).
**Typische Anti-Muster:**
+ Fehlen eines Prozesses für die kontinuierliche Überwachung und die automatische Benachrichtigung bei unerwarteten externen Freigaben
+ Fehlen einer Basislinie dazu, was freigegeben werden sollte und was nicht
+ Die standardmäßige Verwendung einer sehr offenen Richtlinie, anstatt Ressourcen explizit freizugeben, wenn sie benötigt werden
+ Manuelle Erstellung grundlegender Ressourcen bei Bedarf, die sich überlappen
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
Gestalten Sie Ihre Zugriffskontrollen und -muster so, dass die Nutzung freigegebener Ressourcen kontrolliert wird und nur mit vertrauenswürdigen Entitäten möglich ist. Überwachen Sie freigegebene Ressourcen, prüfen Sie kontinuierlich den Zugriff darauf und erhalten Sie Benachrichtigungen bei unangemessenen oder unerwarteten Freigaben. Lesen Sie [Analysieren des öffentlichen und kontoübergreifenden Zugriffs](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html), um eine Governance einzurichten, mit der Sie den externen Zugriff auf diejenigen Ressourcen beschränken können, die ihn benötigen, und um einen Prozess zur kontinuierlichen Überwachung und automatischen Warnung einzurichten.
Die kontoübergreifende gemeinsame Nutzung innerhalb von AWS Organizations wird durch [eine Reihe von AWS-Services unterstützt](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html), etwa [AWS Security Hub CSPM](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-securityhub.html), [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_organizations.html) und [AWS Backup](https://docs.aws.amazon.com/organizations/latest/userguide/services-that-can-integrate-backup.html). Diese Services ermöglichen die Freigabe von Daten für ein zentrales Konto, ihre Zugänglichkeit von einem zentralen Konto aus sowie die Verwaltung von Ressourcen und Daten von einem zentralen Konto aus. Beispielsweise kann AWS Security Hub CSPM Ergebnisse von einzelnen Konten auf ein zentrales Konto übertragen, wo Sie alle Ergebnisse einsehen können. AWS Backup kann eine Sicherungskopie einer Ressource kontoübergreifend freigeben. Sie können mit [AWS Resource Access Manager](https://aws.amazon.com/ram/) (AWS RAM) weitere gängige Ressourcen freigeben, z. B. [VPC-Subnetze und Transit-Gateway-Anhänge](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-vpc), [AWS Network Firewall](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-network-firewall) oder [Amazon-SageMaker-AI-Pipelines](https://docs.aws.amazon.com/ram/latest/userguide/shareable.html#shareable-sagemaker).
Um Ihr Konto so zu beschränken, dass nur Ressourcen innerhalb Ihrer Organisation gemeinsam genutzt werden, verwenden Sie [Service-Kontrollrichtlinien (SCP)](https://docs.aws.amazon.com/ram/latest/userguide/scp.html), um den Zugriff auf externe Prinzipale zu verhindern. Kombinieren Sie bei der gemeinsamen Nutzung von Ressourcen identitätsbasierte Kontrollen und Netzwerkkontrollen, um [einen Datenperimeter für Ihre Organisation zu schaffen](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html), der zum Schutz vor unbeabsichtigtem Zugriff beiträgt. Ein Datenperimeter ist ein Satz von präventiven Maßnahmen zum Integritätsschutz, die dabei helfen, sicherzustellen, dass nur vertrauenswürdige Identitäten aus erwarteten Netzwerken auf vertrauenswürdige Ressourcen zugreifen. Diese Kontrollen begrenzen, welche Ressourcen gemeinsam genutzt werden, und verhindern die gemeinsame Nutzung oder Offenlegung von Ressourcen, die nicht zugelassen werden sollten. Als Teil Ihres Datenperimeters können Sie beispielsweise VPC-Endpunktrichtlinien und die `AWS:PrincipalOrgId`-Bedingung verwenden, um sicherzustellen, dass die Identitäten, die auf Ihre Amazon S3-Buckets zugreifen, zu Ihrer Organisation gehören. Es ist wichtig zu beachten, dass [SCPs nicht für servicebezogene Rollen oder AWS-Service-Prinzipale gelten](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html#scp-effects-on-permissions).
Wenn Sie Amazon S3 verwenden, [deaktivieren Sie ACLs für Ihren Amazon S3-Bucket](https://docs.aws.amazon.com/AmazonS3/latest/userguide/about-object-ownership.html) und definieren Sie die Zugriffskontrolle mithilfe von IAM-Richtlinien. Zum [Beschränken des Zugriffs auf Amazon-S3-Inhalte](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/private-content-restricting-access-to-s3.html) von [Amazon CloudFront](https://aws.amazon.com/cloudfront/) aus migrieren Sie von der Ursprungszugriffsidentität (OAI) zur Ursprungszugriffssteuerung (OAC), die zusätzliche Features wie die serverseitige Verschlüsselung mit [AWS Key Management Service](https://aws.amazon.com/kms/) unterstützen.
In manchen Fällen möchten Sie möglicherweise die Freigabe von Ressourcen außerhalb Ihrer Organisation zulassen oder einer Drittpartei den Zugriff auf Ihre Ressourcen gewähren. Verbindliche Anleitungen zur Verwaltung von Berechtigungen für die externe gemeinsame Nutzung von Ressourcen finden Sie unter [Verwaltung von Berechtigungen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/permissions-management.html).
### Implementierungsschritte
1. **Verwendung von AWS Organizations:** AWS Organizations ist ein Kontoverwaltungsservice, mit dem Sie mehrere AWS-Konten in einer von Ihnen erstellten und zentral verwalteten Organisation konsolidieren können. Sie können Ihre Konten in Organisationseinheiten (OUs) gruppieren und jeder OU unterschiedliche Richtlinien zuweisen, um Ihre Budget-, Sicherheits- und Compliance-Anforderungen zu erfüllen. Sie können auch steuern, wie AWS-Services für künstliche Intelligenz (KI) und Machine Learning (ML) Daten erfassen und speichern können, und die Mehrkonten-Verwaltung der mit Organizations integrierten AWS-Services verwenden.
1. **Integration von AWS Organizations mit AWS-Services:** Wenn Sie einen AWS-Service zur Ausführung von Aufgaben in Ihrem Namen in den Mitgliedskonten Ihrer Organisation verwenden, erstellt AWS Organizations in jedem Mitgliedskonto eine serviceverknüpfte IAM-Rolle (SLR, Service-linked Role) für den jeweiligen Service. Sie sollten den vertrauenswürdigen Zugriff mit der AWS-Managementkonsole, den AWS-APIs oder der AWS CLI verwalten. Verbindliche Anleitungen zur Aktivierung des vertrauenswürdigen Zugriffs finden Sie unter [Verwendung von AWS Organizations mit anderen AWS-Services](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) und unter [AWS-Services, die Sie mit Organizations verwenden können](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html).
1. **Einrichtung eines Datenperimeters:** Ein Datenperimeter schafft eine klare Grenze zwischen Vertrauen und Zuständigkeit. In AWS wird er in der Regel als Ihre AWS-Organisation dargestellt, die von AWS Organizations verwaltet wird, zusammen mit allen On-Premises-Netzwerken oder -Systemen, die auf Ihre AWS-Ressourcen zugreifen. Das Ziel des Datenperimeters besteht darin, zu überprüfen, ob der Zugriff erlaubt ist, wenn die Identität und die Ressource vertrauenswürdig sind und es sich um ein erwartetes Netzwerk handelt. Die Einrichtung eines Datenperimeters ist jedoch kein Einheitslösung für alle. Evaluieren und übernehmen Sie die im [Whitepaper „Perimeter in AWS erstellen“](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/welcome.html) erläuterten Kontrollziele auf der Grundlage Ihrer spezifischen Sicherheitsrisikomodelle und -anforderungen. Sie sollten Ihre individuelle Risikosituation sorgfältig abwägen und die Perimeterkontrollen implementieren, die Ihren Sicherheitsanforderungen entsprechen.
1. **Gemeinsame Nutzung von Ressourcen in AWS-Services und entsprechende Einschränkung:** Viele AWS-Services ermöglichen es Ihnen, Ressourcen mit einem anderen Konto gemeinsam zu nutzen oder eine Ressource in einem anderen Konto als Ziel zu verwenden, z. B. [Amazon Machine Images (AMIs)](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/AMIs.html) und [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/getting-started-sharing.html). Beschränken Sie die `ModifyImageAttribute`-API auf die Angabe der vertrauenswürdigen Konten, mit denen das AMI geteilt werden soll. Geben Sie bei der Verwendung von AWS RAM die `ram:RequestedAllowsExternalPrincipals`-Bedingung an, um die gemeinsame Nutzung nur auf Ihre Organisation zu beschränken, sodass der Zugriff durch nicht vertrauenswürdige Identitäten verhindert wird. Verbindliche Hinweise und Überlegungen finden Sie unter [Gemeinsame Nutzung von Ressourcen und externe Ziele](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/perimeter-implementation.html).
1. **Verwendung von AWS RAM für die sichere gemeinsame Nutzung in einem Konto oder mit anderen AWS-Konten:** [AWS RAM](https://aws.amazon.com/ram/) unterstützt die sichere gemeinsame Nutzung der Ressourcen, die Sie erstellt haben, mit Rollen und Benutzern in Ihrem Konto sowie mit anderen AWS-Konten. In einer Mehrkonten-Umgebung ermöglicht AWS RAM die einmalige Erstellung einer Ressource und ihre Freigabe für andere Konten. Dies reduziert Ihren operationalen Aufwand und sorgt für Konsistenz, Transparenz und Prüfbarkeit durch Integrationen mit Amazon CloudWatch und AWS CloudTrail, die bei Verwendung eines kontoübergreifenden Zugriffs nicht möglich sind.
Wenn Sie über Ressourcen verfügen, die Sie zuvor mithilfe einer ressourcenbasierten Richtlinie gemeinsam genutzt haben, können Sie die [`PromoteResourceShareCreatedFromPolicy`-API](https://docs.aws.amazon.com/ram/latest/APIReference/API_PromoteResourceShareCreatedFromPolicy.html) oder eine gleichwertige Lösung verwenden, um die gemeinsame Nutzung auf eine vollständige AWS RAM-Ressourcenfreigabe hochzustufen.
In manchen Fällen müssen Sie möglicherweise weitere Schritte unternehmen, um Ressourcen freizugeben. Um beispielsweise einen verschlüsselten Snapshot zu teilen, müssen Sie [einen AWS KMS-Schlüssel freigeben](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/ebs-modifying-snapshot-permissions.html#share-kms-key).
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](sec_permissions_analyze_cross_account.md)
+ [SEC03-BP09 Sicheres Teilen von Ressourcen mit Dritten](sec_permissions_share_securely_third_party.md)
+ [SEC05-BP01 Erstellen von Netzwerkebenen](sec_network_protection_create_layers.md)
**Zugehörige Dokumente:**
+ [Bucket-Besitzer gewährt kontoübergreifende Berechtigung für Objekte, die er nicht besitzt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [Verwendung von Vertrauensrichtlinien mit IAM](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Erstellen von Datenperimetern in AWS](https://docs.aws.amazon.com/whitepapers/latest/building-a-data-perimeter-on-aws/building-a-data-perimeter-on-aws.html)
+ [Verwenden einer externen ID, um Dritten Zugriff auf Ihre AWS-Ressourcen zu gewähren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
+ [AWS-Services, die Sie mit AWS Organizations verwenden können](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services_list.html)
+ [ Einrichtung eines Datenperimeters in AWS: Nur vertrauenswürdigen Identitäten den Zugriff auf Unternehmensdaten gestatten ](https://aws.amazon.com/blogs/security/establishing-a-data-perimeter-on-aws-allow-only-trusted-identities-to-access-company-data/)
**Zugehörige Videos:**
+ [Granulärer Zugriff mit AWS Resource Access Manager](https://www.youtube.com/watch?v=X3HskbPqR2s)
+ [Schutz Ihres Datenperimeters mit VPC-Endpunkten](https://www.youtube.com/watch?v=iu0-o6hiPpI)
+ [ Einrichten eines Datenperimeters in AWS](https://www.youtube.com/watch?v=SMi5OBjp1fI)
**Zugehörige Tools:**
+ [ Beispiele für Richtlinien für Datenperimeter ](https://github.com/aws-samples/data-perimeter-policy-examples)
# SEC03-BP09 Sicheres Teilen von Ressourcen mit Dritten
Die Sicherheit Ihrer Cloud-Umgebung endet nicht bei Ihrer Organisation. Möglicherweise stützt sich Ihre Organisation auf eine Drittpartei, um einen Teil Ihrer Daten zu verwalten. Das Berechtigungsmanagement für das von Dritten verwaltete System sollte dem Prinzip des Just-in-time-Zugriffs und dem der geringsten Berechtigung mit temporären Anmeldeinformationen folgen. Durch die enge Zusammenarbeit mit einer Drittpartei können Sie die möglichen Auswirkungen und das Risiko unbeabsichtigter Zugriffe gemeinsam senken.
**Gewünschtes Ergebnis:** Sie vermeiden die Verwendung von langfristigen AWS Identity and Access Management (IAM)-Anmeldeinformationen wie Zugriffsschlüsseln und geheimen Schlüsseln, da diese bei Missbrauch ein Sicherheitsrisiko darstellen. Stattdessen verwenden Sie IAM-Rollen und temporäre Anmeldeinformationen, um Ihre Sicherheitslage zu verbessern und den operativen Aufwand für die Verwaltung langfristiger Anmeldeinformationen zu minimieren. Wenn Sie Dritten Zugriff erteilen, verwenden Sie eine universell eindeutige Kennung (UUID, Universally Unique Identifier) als externe ID in der IAM-Vertrauensrichtlinie und lassen die IAM-Richtlinien an die Rolle unter Ihrer Kontrolle angefügt, um einen Zugriff mit geringsten Berechtigungen sicherzustellen. Eine verbindliche Anleitung für die Analyse extern freigegebener Ressourcen finden Sie unter [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html).
**Typische Anti-Muster:**
+ Verwendung der Standard-IAM-Vertrauensrichtlinie ohne Bedingungen
+ Verwenden langfristiger IAM-Anmeldeinformationen und Zugriffsschlüssel
+ Wiederverwendung externer IDs
**Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel
## Implementierungsleitfaden
Möglicherweise möchten Sie die Freigabe von Ressourcen außerhalb von AWS Organizations zulassen oder einer Drittpartei den Zugriff auf Ihr Konto gewähren. So könnte etwa eine Drittpartei eine Überwachungslösung bereitstellen, die auf Ressourcen in Ihrem Konto zugreifen muss. In solchen Fällen sollten Sie eine kontoübergreifende IAM-Rolle erstellen, die nur über die von der Drittpartei benötigten Berechtigungen verfügt. Definieren Sie außerdem eine Vertrauensrichtlinie mithilfe der [externen ID-Bedingung](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html). Wenn eine externe ID verwendet wird, können Sie oder die Drittpartei eine eindeutige ID für jede(n) Kunden, Drittpartei oder Tenancy generieren. Die eindeutige ID sollte nach ihrer Erstellung ausschließlich von Ihnen kontrolliert werden. Die Drittpartei muss einen Prozess implementieren, durch den die externe ID in sicherer, prüfbarer und reproduzierbarer Weise dem Kunden zugeordnet wird.
Sie können [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) auch verwenden, um IAM-Rollen für Anwendungen außerhalb von AWS zu verwalten, die AWS-APIs verwenden.
Wenn die Drittpartei keinen Zugriff mehr auf Ihre Umgebung benötigt, entfernen Sie die Rolle. Vermeiden Sie die Weitergabe langfristiger Anmeldeinformationen an Dritte. Informieren Sie sich über andere AWS-Services zur Unterstützung von Freigaben, z. B. AWS Well-Architected Tool, der das [Freigeben eines Workloads](https://docs.aws.amazon.com/wellarchitected/latest/userguide/workloads-sharing.html) für andereAWS-Konten unterstützt, und [AWSResource Access Manager](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html), der Ihnen hilft, eine AWS-Ressource in Ihrem Besitz auf sichere Weise für andere Konten freizugeben.
### Implementierungsschritte
1. **Verwenden Sie kontoübergreifende Rollen, um Zugriff auf externe Konten zu gewähren.** [Kontoübergreifende Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html) reduzieren die Menge vertraulicher Informationen, die von externen Konten und Dritten gespeichert werden, um ihre Kunden zu betreuen. Kontoübergreifende Rollen ermöglichen die sichere Gewährung des Zugriffs auf AWS-Ressourcen in Ihrem Konto für Drittparteien wie AWS-Partner oder andere Konten in Ihrer Organisation. Gleichzeitig wird die Möglichkeit gewahrt, diesen Zugriff zu verwalten und zu überprüfen. Möglicherweise stellt Ihnen die Drittpartei Dienstleistungen aus einer hybriden Infrastruktur heraus bereit oder ruft Daten zu einem anderen Standort ab. Mit [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) können Ihre Drittanbieter-Workloads sicher mit Ihren AWS-Workloads interagieren und die Notwendigkeit für langfristige Anmeldeinformationen weiter reduzieren.
Sie sollten keine langfristigen Anmeldeinformationen oder Benutzern zugeordnete Zugriffsschlüssel verwenden, um externen Zugriff auf Konten zu erteilen. Verwenden Sie stattdessen kontoübergreifende Rollen, um kontoübergreifenden Zugriff zu gewähren.
1. **Führen Sie Due-Diligence-Prüfungen durch und sorgen Sie für einen sicheren Zugriff für SaaS-Drittanbieter.** Führen Sie bei der Freigabe von Ressourcen für SaaS-Drittanbieter eine gründliche Due-Diligence-Prüfung durch, um sicherzustellen, dass diese beim Zugriff auf Ihre AWS-Ressourcen sicher und verantwortungsbewusst vorgehen. Evaluieren Sie ihr Modell der gemeinsamen Verantwortung, um zu verstehen, welche Sicherheitsmaßnahmen diese Drittanbieter bereitstellen und für welche Bereiche Sie verantwortlich sind. Stellen Sie sicher, dass die SaaS-Anbieter über einen sicheren und überprüfbaren Prozess für den Zugriff auf Ihre Ressourcen verfügen, einschließlich der Verwendung [externer IDs](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html) und des Prinzips des geringsten Zugriffs. Die Verwendung externer IDs trägt dazu bei, das [Confused-Deputy-Problem](https://aws.amazon.com/blogs/security/how-to-use-external-id-when-granting-access-to-your-aws-resources/) zu lösen.
Implementieren Sie Sicherheitskontrollen, um einen sicheren Zugriff und die Einhaltung des Prinzips der geringsten Berechtigung sicherzustellen, wenn Sie SaaS-Drittanbietern Zugriff erteilen. Dies kann die Verwendung von externen IDs, Universally Unique Identifiers (UUIDs) und IAM-Vertrauensrichtlinien umfassen, die den Zugriff auf das unbedingt Notwendige einschränken. Arbeiten Sie eng mit dem SaaS-Anbieter zusammen, um sichere Zugriffsmechanismen einzurichten, den Zugriff auf Ihre AWS-Ressourcen regelmäßig zu überprüfen und Audits durchzuführen, um die Einhaltung Ihrer Sicherheitsanforderungen sicherzustellen.
1. **Verwenden Sie vom Kunden bereitgestellte langfristige Anmeldeinformationen nicht mehr.** Beenden Sie die Verwendung langfristiger Anmeldeinformationen, und verwenden Sie kontoübergreifende Rollen oder IAM Roles Anywhere. Wenn Sie langfristige Anmeldeinformationen verwendet müssen, formulieren Sie einen Plan für die Migration rollenbasierter Zugriffe. Einzelheiten zur Verwaltung von Schlüsseln finden Sie unter [Identitätsverwaltung](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/identity-management.html). Sie sollten außerdem zusammen mit Ihrem AWS-Konto-Team und dem Drittanbieter ein Runbook für die Risikominderung erstellen. Verbindliche Anleitungen für Reaktionen auf Sicherheitsvorfälle und die Minderung ihrer potenziellen Auswirkungen finden Sie unter [Vorfallsreaktion](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/incident-response.html).
1. **Stellen Sie sicher, dass die Einrichtung über verbindliche Anleitungen verfügt oder automatisiert ist.** Die externe ID wird nicht als Secret behandelt, ihr Wert darf aber nicht leicht zu erraten sein wie etwa eine Telefonnummer, ein Name oder eine Konto-ID. Machen Sie die externe ID zu einem schreibgeschützten Feld, damit sie nicht für illegitime Einrichtungen geändert werden kann.
Die externe ID kann von Ihnen oder von der Drittpartei generiert werden. Richten Sie einen Prozess ein, um festzulegen, wer für die Generierung der ID verantwortlich ist. Unabhängig von der Entität, die die externe ID erstellt, setzt die Drittpartei Eindeutigkeit und Formate in konsistenter Weise für alle Kunden durch.
Die Richtlinie, die für den kontoübergreifenden Zugriff in Ihren Konten erstellt wurde, muss dem [Prinzip der geringsten Berechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#grant-least-privilege) entsprechen. Die Drittpartei muss ein Rollenrichtliniendokument oder einen automatisierten Einrichtungsmechanismus bereitstellen, der eine AWS CloudFormation-Vorlage oder ein Äquivalent verwendet. Dies reduziert die Gefahr von Fehlern durch die manuelle Erstellung von Richtlinien und bietet einen Überwachungspfad. Weitere Informationen zur Verwendung einer AWS CloudFormation-Vorlage zum Erstellen kontoübergreifender Rollen finden Sie unter [Kontoübergreifende Rollen](https://aws.amazon.com/blogs/apn/tag/cross-account-roles/).
Die Drittpartei muss einen automatisierten und prüfbaren Einrichtungsmechanismus bereitstellen. Sie sollten jedoch die Einrichtung der Rolle automatisieren, indem Sie das Rollenrichtliniendokument verwenden, das den erforderlichen Zugriff angibt. Sie sollten mithilfe der AWS CloudFormation-Vorlage oder einer gleichwertigen Methode Änderungen überwachen. Die Erkennung von Abweichungen sollte Teil dieser Überwachung sein.
1. **Berücksichtigen Sie Änderungen.** Ihre Kontostruktur und Ihr Bedarf an einer Drittpartei bzw. deren Serviceangebots können sich über Nacht ändern. Sie sollten Änderungen und Ausfälle antizipieren und mit den richtigen Personen, Prozessen und Technologielösungen entsprechend planen. Prüfen Sie regelmäßig das von Ihnen bereitgestellte Zugriffsniveau und implementieren Sie Erkennungsverfahren, die Sie auf unerwartete Änderungen aufmerksam machen. Überwachen und prüfen Sie die Verwendung der externen Rolle und den Datenspeicher der externen IDs. Sie sollten darauf vorbereitet sein, den Zugriff der Drittpartei temporär oder dauerhaft zu widerrufen, wenn sich unerwartete Änderungen oder Zugriffsmuster ergeben. Messen Sie auch die Auswirkungen Ihrer Widerrufaktion, einschließlich der dafür benötigten Zeit, der involvierten Personen, der Kosten und der Auswirkungen auf andere Ressourcen.
Verbindliche Anleitungen zu Erkennungsmethoden finden Sie unter [Bewährte Methoden zur Erkennung](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html).
## Ressourcen
**Zugehörige bewährte Methoden:**
+ [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_unique.html)
+ [SEC03-BP05 Definieren eines Integritätsschutzes für Berechtigungen in Ihrer Organisation](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_define_guardrails.html)
+ [SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_lifecycle.html)
+ [SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_permissions_analyze_cross_account.html)
+ [SEC04 Erkennung](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/detection.html)
**Zugehörige Dokumente:**
+ [Bucket-Besitzer gewährt kontoübergreifende Berechtigung für Objekte, die er nicht besitzt](https://docs.aws.amazon.com/AmazonS3/latest/userguide/example-walkthroughs-managing-access-example4.html)
+ [Verwenden von Vertrauensrichtlinien mit IAM-Rollen](https://aws.amazon.com/blogs/security/how-to-use-trust-policies-with-iam-roles/)
+ [Delegieren des Zugriffs für AWS-Konten mithilfe von IAM-Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_cross-account-with-roles.html)
+ [Wie greife ich mithilfe von IAM auf Ressourcen in einem anderen AWS-Konto zu?](https://aws.amazon.com/premiumsupport/knowledge-center/cross-account-access-iam/)
+ [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)
+ [Logik für die kontoübergreifende Richtlinienauswertung](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_evaluation-logic-cross-account.html)
+ [Verwenden einer externen ID beim Erteilen von Zugriff auf Ihre AWS-Ressourcen für Dritte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create_for-user_externalid.html)
+ [Sammeln von Informationen in AWS CloudFormation-Ressourcen, die in externen Konten mit benutzerdefinierten Ressourcen erstellt wurden](https://aws.amazon.com/blogs/apn/collecting-information-from-aws-cloudformation-resources-created-in-external-accounts-with-custom-resources/)
+ [Sichere Verwendung einer externen ID für den Zugriff auf AWS-Konten im Besitz anderer Benutzer](https://aws.amazon.com/blogs/apn/securely-using-external-id-for-accessing-aws-accounts-owned-by-others/)
+ [Erweitern von IAM-Rollen auf Workloads außerhalb von IAM mithilfe von IAM Roles Anywhere](https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/)
**Zugehörige Videos:**
+ [Wie erteile ich Benutzern oder Rollen in einem separaten AWS-Konto Zugriff auf mein AWS-Konto?](https://www.youtube.com/watch?v=20tr9gUY4i0)
+ [AWS re:Invent 2018: Experte für IAM-Richtlinien in unter 60 Minuten](https://www.youtube.com/watch?v=YQsK4MtsELU)
+ [AWS Knowledge Center Live: Bewährte IAM-Methoden und Entwurfsentscheidungen](https://www.youtube.com/watch?v=xzDFPIQy4Ks)
**Zugehörige Beispiele:**
+ [Kontenübergreifenden Zugriff auf Amazon DynamoDB konfigurieren](https://docs.aws.amazon.com/prescriptive-guidance/latest/patterns/configure-cross-account-access-to-amazon-dynamodb.html)
+ [AWS STS Network Query Tool](https://github.com/aws-samples/aws-sts-network-query-tool)