Einrichten des Berechtigungs-Integritätsschutzes mithilfe von Datenperimetern - AWS Identitäts- und Zugriffsverwaltung
Datenperimeter-KontrollenIdentitätsperimeterRessourcenperimeterNetzwerkperimeterRessourcen, um mehr über Datenperimeter zu erfahren

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Einrichten des Berechtigungs-Integritätsschutzes mithilfe von Datenperimetern

Leitplanken an den Datengrenzen dienen als ständig verfügbare Grenzen, um Ihre Daten über eine Vielzahl von Konten und Ressourcen hinweg zu schützen. AWS Datenperimeter folgen den bewährten IAM-Sicherheitsmethoden, um Schutzmaßnahmen über mehrere Konten hinweg einzurichten. Dieser unternehmensweite Berechtigungs-Integritätsschutz ersetzt nicht Ihre vorhandenen fein abgestuften Zugriffskontrollen. Stattdessen fungieret es als grob abgestufte Zugriffskontrollen, die zur Verbesserung Ihrer Sicherheitsstrategie beitragen, indem sie sicherstellen, dass Benutzer, Rollen und Ressourcen eine Reihe definierter Sicherheitsstandards einhalten.

Bei einem Datenperimeter handelt es sich um eine Reihe von Schutzplanken in Ihrer AWS Umgebung, die sicherstellen, dass nur Ihre vertrauenswürdigen Identitäten auf vertrauenswürdige Ressourcen aus den erwarteten Netzwerken zugreifen.

  • Vertrauenswürdige Identitäten: Prinzipale (IAM-Rollen oder Benutzer) in Ihren AWS Konten und Diensten, die in Ihrem Namen handeln. AWS

  • Vertrauenswürdige Ressourcen: Ressourcen, die Ihren AWS Konten oder AWS Diensten gehören, die in Ihrem Namen handeln.

  • Erwartete Netzwerke: Ihre lokalen Rechenzentren und virtuellen privaten Clouds (VPCs) oder Netzwerke von AWS Diensten, die in Ihrem Namen agieren.

Anmerkung

In manchen Fällen müssen Sie Ihr Datenperimeter erweitern, um auch den Zugriff durch Ihre vertrauenswürdigen Geschäftspartner einzuschließen. Sie sollten alle beabsichtigten Datenzugriffsmuster berücksichtigen, wenn Sie eine Definition vertrauenswürdiger Identitäten, vertrauenswürdiger Ressourcen und erwarteter Netzwerke erstellen, die speziell auf Ihr Unternehmen und Ihre Nutzung der AWS-Services zugeschnitten ist.

Datenperimeterkontrollen sollten wie jede andere Sicherheitskontrolle im Rahmen des Informationssicherheits- und Risikomanagementprogramms behandelt werden. Dies bedeutet, dass Sie eine Bedrohungsanalyse durchführen sollten, um potenzielle Risiken in Ihrer Cloud-Umgebung zu identifizieren und dann basierend auf Ihrer eigenen Risikoakzeptanzkriterien geeignete Datenperimeterkontrollen auswählen und implementieren sollten. Um den iterativen, risikobasierten Ansatz zur Implementierung von Datenperimetern besser zu informieren, müssen Sie verstehen, welche Sicherheitsrisiken und Bedrohungsvektoren durch Datenperimeterkontrollen berücksichtigt werden und welche Sicherheitsprioritäten Sie haben.

Datenperimeter-Kontrollen

Mithilfe grob abgestufter Datenperimeterkontrollen können Sie durch die Implementierung verschiedener Kombinationen aus Richtlinientypen und Bedingungsschlüsseln sechs verschiedene Sicherheitsziele über drei Datenperimeter hinweg erreichen.

Perimeter Ziel der Kontrolle Die Verwendung von Angewandt auf Globale Bedingungskontextschlüssel

Identität

Nur vertrauenswürdige Identitäten können auf meine Ressourcen zugreifen

RCP

Ressourcen

aws: ID PrincipalOrg

war: PrincipalOrgPaths

war: PrincipalAccount

war: PrincipalIsAwsService

aws: SourceOrg ID

war: SourceOrgPath

war: SourceAccount

Aus meinem Netzwerk sind nur vertrauenswürdige Identitäten zugelassen

VPC-Endpunktrichtlinie

Netzwerk

Ressourcen

Ihre Identitäten können nur auf vertrauenswürdige Ressourcen zugreifen

SCP

Identitäten

aws: ResourceOrg ID

war: ResourceOrgPaths

war: ResourceAccount

Von Ihrem Netzwerk aus kann nur auf vertrauenswürdige Ressourcen zugegriffen werden

VPC-Endpunktrichtlinie

Netzwerk

Netzwerk

Ihre Identitäten können nur auf Ressourcen aus erwarteten Netzwerken zugreifen

SCP

Identitäten

war: SourceIp

war: SourceVpc

war: SourceVpce

war: VpceAccount

war: VpceOrgPaths

aws: VpceOrg ID

AWS: über AWSService

war: PrincipalIsAwsService

Auf Ihre Ressourcen kann nur über die erwarteten Netzwerke zugegriffen werden

RCP

Ressourcen

Sie können sich Datenperimeter so vorstellen, als würden Sie eine feste Grenze um Ihre Daten herum schaffen, um unbeabsichtigte Zugriffsmuster zu verhindern. Obwohl Datenperimeter einen weitreichenden, unbeabsichtigten Zugriff verhindern können, müssen Sie dennoch Entscheidungen zur differenzierten Zugriffssteuerung treffen. Die Einrichtung eines Datenperimeters mindert nicht die Notwendigkeit, Berechtigungen mithilfe von Tools wie IAM Access Analyzer kontinuierlich zu optimieren, um das Prinzip der geringsten Berechtigungen zu erreichen.

Um Datenperimeterkontrollen für Ressourcen durchzusetzen, die derzeit nicht von unterstützt werden RCPs, können Sie ressourcenbasierte Richtlinien verwenden, die Ressourcen direkt zugeordnet sind. Eine Liste der Dienste, die ressourcenbasierte Richtlinien unterstützen, finden Sie unter Richtlinien zur Ressourcenkontrolle () RCPs und. RCPs AWS Dienste, die mit IAM funktionieren

Um Kontrollen am Netzwerkperimeter durchzusetzen, empfehlen wir,, und aws:VpceAccount nur dann zu verwenden aws:VpceOrgIDaws:VpceOrgPaths, wenn alle Dienste, auf die Sie den Zugriff einschränken möchten, derzeit unterstützt werden. Die Verwendung dieser Bedingungsschlüssel bei nicht unterstützten Diensten kann zu unbeabsichtigten Autorisierungsergebnissen führen. Eine Liste der Dienste, die diese Schlüssel unterstützen, finden Sie unter. AWS Kontextschlüssel für globale Bedingungen Wenn Sie die Kontrollen für ein breiteres Spektrum von Diensten durchsetzen müssen, sollten Sie aws:SourceVpce stattdessen aws:SourceVpc und verwenden.

Identitätsperimeter

Bei einem Identitätsperimeter handelt es sich um eine Reihe grob abgestufter präventiver Zugriffskontrollen, die sicherstellen, dass nur vertrauenswürdige Identitäten auf Ihre Ressourcen zugreifen können und nur vertrauenswürdige Identitäten aus Ihrem Netzwerk zugelassen werden. Zu den vertrauenswürdigen Identitäten gehören in der Regel Principals (Rollen oder Benutzer) in Ihren AWS Konten und AWS Diensten, die in Ihrem Namen handeln. Alle anderen Identitäten gelten als nicht vertrauenswürdig und werden durch den Identitätsperimeter blockiert, sofern keine ausdrückliche Ausnahme gewährt wird.

Die folgenden globalen Bedingungsschlüssel helfen Ihnen dabei, Kontrollen am Identitätsrand auf der Grundlage Ihrer Definition vertrauenswürdiger Identitäten durchzusetzen. Verwenden Sie diese Schlüssel in Ressourcensteuerungsrichtlinien, um den Zugriff auf Ressourcen einzuschränken, oder in VPC-Endpunktrichtlinien, um den Zugriff auf Ihre Netzwerke einzuschränken.

Identitäten, die Ihnen gehören

Sie können die folgenden Bedingungsschlüssel verwenden, um IAM-Prinzipale zu definieren, die Sie in Ihrem erstellen und verwalten. AWS-Konten

  • aws:PrincipalOrgID – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass IAM-Prinzipale, die die Anfrage stellen, zur angegebenen Organisation in AWS Organizations gehören.

  • aws:PrincipalOrgPaths— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass der IAM-Benutzer, die IAM-Rolle, der AWS STS Verbundbenutzerprinzipal, der SAML-Bundprinzipal, der OIDC-Verbundprinzipal oder der, für den die Anfrage gestellt wurde, Root-Benutzer des AWS-Kontos zu der angegebenen Organisationseinheit (OU) in gehören. AWS Organizations

  • aws:PrincipalAccount – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass nur das in der Richtlinie angegebene Hauptkonto auf Ressourcen zugreifen kann.

Identitäten von Diensten, die in Ihrem Namen handeln AWS

Sie können die folgenden Bedingungsschlüssel verwenden, um es AWS Diensten zu ermöglichen, ihre eigenen Identitäten für den Zugriff auf Ihre Ressourcen zu verwenden, wenn sie in Ihrem Namen handeln.

Weitere Informationen finden Sie unter Einrichtung eines Datenperimeters unter AWS: Nur vertrauenswürdigen Identitäten den Zugriff auf Unternehmensdaten erlauben.

Ressourcenperimeter

Ein Ressourcenperimeter ist eine Reihe grob abgestufter, präventiver Zugriffskontrollen, die sicherstellen, dass Ihre Identitäten nur auf vertrauenswürdige Ressourcen zugreifen können und von Ihrem Netzwerk aus nur auf vertrauenswürdige Ressourcen zugegriffen werden kann. Zu den vertrauenswürdigen Ressourcen gehören in der Regel Ressourcen, die Ihren AWS Konten oder AWS Diensten gehören, die in Ihrem Namen handeln.

Die folgenden globalen Bedingungsschlüssel helfen Ihnen dabei, die Kontrolle des Ressourcenumfangs auf der Grundlage Ihrer Definition vertrauenswürdiger Ressourcen durchzusetzen. Verwenden Sie diese Schlüssel in Dienststeuerungsrichtlinien (SCPs), um einzuschränken, auf welche Ressourcen über Ihre Identitäten zugegriffen werden kann, oder in VPC-Endpunktrichtlinien, um einzuschränken, auf welche Ressourcen von Ihren Netzwerken aus zugegriffen werden kann.

Ressourcen, die Ihnen gehören

Sie können die folgenden Bedingungsschlüssel verwenden, um AWS Ressourcen zu definieren, die Sie in Ihrem erstellen und verwalten AWS-Konten.

  • aws:ResourceOrgID – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zur angegebenen Organisation in AWS Organizations gehört.

  • aws:ResourceOrgPaths – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zur angegebenen Organisationseinheit (OE) in AWS Organizations gehört.

  • aws:ResourceAccount— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass die Ressource, auf die zugegriffen wird, zu der angegebenen gehört AWS-Konto.

Ressourcen von AWS Diensten, die in Ihrem Namen handeln

In einigen Fällen müssen Sie möglicherweise den Zugriff auf AWS eigene Ressourcen gewähren, d. h. auf Ressourcen, die nicht zu Ihrer Organisation gehören und auf die Ihre Prinzipale oder in Ihrem Namen handelnde AWS Dienste zugreifen. Weitere Informationen zu diesen Szenarien finden Sie unter Einrichtung eines Datenperimeters unter AWS: Nur vertrauenswürdige Ressourcen aus meiner Organisation zulassen.

Netzwerkperimeter

Bei einem Netzwerkperimeter handelt es sich um eine Reihe grob abgestufter präventiver Zugriffskontrollen, die sicherstellen, dass Ihre Identitäten nur über erwartete Netzwerke auf Ressourcen zugreifen können und dass auf Ihre Ressourcen nur über erwartete Netzwerke zugegriffen werden kann. Zu den erwarteten Netzwerken gehören in der Regel Ihre lokalen Rechenzentren und virtuelle private Clouds (VPCs) sowie Netzwerke von AWS Diensten, die in Ihrem Namen agieren.

Die folgenden globalen Bedingungsschlüssel helfen dabei, Netzwerkperimeterkontrollen auf der Grundlage Ihrer Definition der erwarteten Netzwerke durchzusetzen. Verwenden Sie diese Schlüssel in Dienststeuerungsrichtlinien (SCPs), um Netzwerke einzuschränken, von denen aus Ihre Identitäten kommunizieren können, oder in Ressourcenkontrollrichtlinien (RCPs), um den Ressourcenzugriff auf erwartete Netzwerke einzuschränken.

Netzwerke, die Ihnen gehören

Sie können die folgenden Bedingungsschlüssel verwenden, um Netzwerke zu definieren, über die Ihre Mitarbeiter und Anwendungen voraussichtlich auf Ihre Ressourcen zugreifen, z. B. den IP-CIDR-Bereich Ihres Unternehmens und Ihr VPCs

  • aws:SourceIp – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die IP-Adresse des Anforderers innerhalb eines angegebenen IP-Bereichs liegt.

  • aws:SourceVpc – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass der VPC-Endpunkt, durch den die Anfrage läuft, zur angegebenen VPC gehört.

  • aws:SourceVpce – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Anfrage über den angegebenen VPC-Endpunkt läuft.

  • aws:VpceAccount— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass Anfragen über VPC-Endpunkte kommen, die dem angegebenen AWS Konto gehören.

  • aws:VpceOrgPaths— Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die IAM-Prinzipale, die die Anfrage stellen, der angegebenen Organisationseinheit (OU) in angehören. AWS Organizations

  • aws:VpceOrgID— Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass Anfragen über VPC-Endpunkte kommen, die Konten in der angegebenen Organisation in gehören. AWS Organizations

aws:VpceAccountaws:VpceOrgPaths, und aws:VpceOrgID sind besonders nützlich für die Implementierung von Netzwerkperimeterkontrollen, die automatisch mit der Nutzung Ihrer VPC-Endgeräte skaliert werden, ohne dass Richtlinien aktualisiert werden müssen, wenn Sie neue Endpoints erstellen. Eine Liste der Schlüssel, AWS Kontextschlüssel für globale Bedingungen die diese Schlüssel unterstützen AWS-Services , finden Sie in der.

Netzwerke von AWS Diensten, die in Ihrem Namen handeln

Sie können die folgenden Bedingungsschlüssel verwenden, um AWS Diensten den Zugriff auf Ihre Ressourcen von ihren Netzwerken aus zu ermöglichen, wenn sie in Ihrem Namen handeln.

Es gibt weitere Szenarien, in denen Sie AWS-Services den Zugriff auf Ihre Ressourcen von außerhalb Ihres Netzwerks zulassen müssen. Weitere Informationen finden Sie unter Einrichtung eines Datenperimeters unter AWS: Zugriff auf Unternehmensdaten nur von erwarteten Netzwerken aus zulassen.

Ressourcen, um mehr über Datenperimeter zu erfahren

Die folgenden Ressourcen können Ihnen dabei helfen, mehr über Datenperimeter in AWS zu erfahren.