Datenperimeter-Kontrollen Identitätsperimeter Ressourcenperimeter Netzwerkperimeter Ressourcen, um mehr über Datenperimeter zu erfahren

Einrichten des Berechtigungs-Integritätsschutzes mithilfe von Datenperimetern

Datenperimeter-Integritätsschutz soll als ständig aktive Grenze dienen, um Ihre Daten über eine Vielzahl von AWS-Konten und Ressourcen hinweg zu schützen. Datenperimeter folgen den bewährten IAM-Sicherheitsmethoden, um Schutzmaßnahmen über mehrere Konten hinweg einzurichten. Dieser unternehmensweite Berechtigungs-Integritätsschutz ersetzt nicht Ihre vorhandenen fein abgestuften Zugriffskontrollen. Stattdessen fungieret es als grob abgestufte Zugriffskontrollen, die zur Verbesserung Ihrer Sicherheitsstrategie beitragen, indem sie sicherstellen, dass Benutzer, Rollen und Ressourcen eine Reihe definierter Sicherheitsstandards einhalten.

Ein Datenperimeter ist ein Satz von Berechtigungs-Integritätsschutz in Ihrer AWS-Umgebung, die dazu beitragen, dass nur Ihre vertrauenswürdigen Identitäten auf vertrauenswürdige Ressourcen aus erwarteten Netzwerken zugreifen.

Vertrauenswürdige Identitäten: Prinzipale (IAM-Rollen oder Benutzer) in Ihren AWS-Konten und AWS-Services, die in Ihrem Namen handeln.
Vertrauenswürdige Ressourcen: Ressourcen, die Ihren AWS-Konten oder AWS-Services gehören, die in Ihrem Namen handeln.
Erwartete Netzwerke: Ihre On-Premises-Rechenzentren und Virtual Private Clouds (VPCs) oder Netzwerke von AWS-Services, die in Ihrem Namen handeln.

Anmerkung

In manchen Fällen müssen Sie Ihr Datenperimeter erweitern, um auch den Zugriff durch Ihre vertrauenswürdigen Geschäftspartner einzuschließen. Sie sollten alle beabsichtigten Datenzugriffsmuster berücksichtigen, wenn Sie eine Definition vertrauenswürdiger Identitäten, vertrauenswürdiger Ressourcen und erwarteter Netzwerke erstellen, die speziell auf Ihr Unternehmen und Ihre Nutzung der AWS-Services zugeschnitten ist.

Datenperimeterkontrollen sollten wie jede andere Sicherheitskontrolle im Rahmen des Informationssicherheits- und Risikomanagementprogramms behandelt werden. Dies bedeutet, dass Sie eine Bedrohungsanalyse durchführen sollten, um potenzielle Risiken in Ihrer Cloud-Umgebung zu identifizieren und dann basierend auf Ihrer eigenen Risikoakzeptanzkriterien geeignete Datenperimeterkontrollen auswählen und implementieren sollten. Um den iterativen, risikobasierten Ansatz zur Implementierung von Datenperimetern besser zu informieren, müssen Sie verstehen, welche Sicherheitsrisiken und Bedrohungsvektoren durch Datenperimeterkontrollen berücksichtigt werden und welche Sicherheitsprioritäten Sie haben.

Datenperimeter-Kontrollen

Mithilfe grob abgestufter Datenperimeterkontrollen können Sie durch die Implementierung verschiedener Kombinationen aus Richtlinientypen und Bedingungsschlüsseln sechs verschiedene Sicherheitsziele über drei Datenperimeter hinweg erreichen.

Perimeter	Ziel der Kontrolle	Verwenden	Angewandt auf	Globale Bedingungskontextschlüssel
Identität	Nur vertrauenswürdige Identitäten können auf meine Ressourcen zugreifen	RCP	Ressourcen	aws:PrincipalOrgID aws:PrincipalOrgPaths aws:PrincipalAccount aws:PrincipalIsAwsService aws:SourceOrgID aws:SourceOrgPath aws:SourceAccount
Identität	Aus meinem Netzwerk sind nur vertrauenswürdige Identitäten zugelassen	VPC-Endpunktrichtlinie	Netzwerk
Ressourcen	Ihre Identitäten können nur auf vertrauenswürdige Ressourcen zugreifen	SCP	Identitäten	aws:ResourceOrgID aws:ResourceOrgPaths aws:ResourceAccount
Ressourcen	Von Ihrem Netzwerk aus kann nur auf vertrauenswürdige Ressourcen zugegriffen werden	VPC-Endpunktrichtlinie	Netzwerk
Netzwerk	Ihre Identitäten können nur auf Ressourcen aus erwarteten Netzwerken zugreifen	SCP	Identitäten	aws:SourceIp aws:SourceVpc aws:SourceVpce aws:VpceAccount aws:VpceOrgPaths aws:VpceOrgID aws:ViaAWSService aws:PrincipalIsAwsService
Netzwerk	Auf Ihre Ressourcen kann nur über die erwarteten Netzwerke zugegriffen werden	RCP	Ressourcen

Sie können sich Datenperimeter so vorstellen, als würden Sie eine feste Grenze um Ihre Daten herum schaffen, um unbeabsichtigte Zugriffsmuster zu verhindern. Obwohl Datenperimeter einen weitreichenden, unbeabsichtigten Zugriff verhindern können, müssen Sie dennoch Entscheidungen zur differenzierten Zugriffssteuerung treffen. Die Einrichtung eines Datenperimeters mindert nicht die Notwendigkeit, Berechtigungen mithilfe von Tools wie IAM Access Analyzer kontinuierlich zu optimieren, um das Prinzip der geringsten Berechtigungen zu erreichen.

Um Datenperimeterkontrollen für Ressourcen durchzusetzen, die derzeit nicht von RCPs unterstützt werden, können Sie ressourcenbasierte Richtlinien verwenden, die direkt an die Ressourcen angefügt sind. Eine Liste der Services, die RCPs und ressourcenbasierte Richtlinien unterstützen, finden Sie unter Ressourcenkontrollrichtlinien (RCPs) und AWS-Services, die mit IAM funktionieren.

Um die Kontrolle der Netzwerkgrenzen durchzusetzen, empfehlen wir aws:VpceOrgID, aws:VpceOrgPaths und aws:VpceAccount nur zu verwenden, wenn alle Services, auf die Sie den Zugriff einschränken möchten, derzeit unterstützt werden. Die Verwendung dieser Bedingungsschlüssel mit nicht unterstützten Services kann zu unbeabsichtigten Autorisierungsergebnissen führen. Eine Liste der Services, die die Schlüssel unterstützen, finden Sie unter AWS Globale Bedingungskontextschlüssel. Wenn Sie die Kontrollen für ein breiteres Spektrum von Services durchsetzen müssen, sollten Sie stattdessen aws:SourceVpc und aws:SourceVpce verwenden.

Identitätsperimeter

Bei einem Identitätsperimeter handelt es sich um eine Reihe grob abgestufter präventiver Zugriffskontrollen, die sicherstellen, dass nur vertrauenswürdige Identitäten auf Ihre Ressourcen zugreifen können und nur vertrauenswürdige Identitäten aus Ihrem Netzwerk zugelassen werden. Zu den vertrauenswürdigen Identitäten gehören in der Regel Prinzipale (Rollen oder Benutzer) in Ihren AWS-Konten und AWS-Services, die in Ihrem Namen handeln. Alle anderen Identitäten gelten als nicht vertrauenswürdig und werden durch den Identitätsperimeter blockiert, sofern keine ausdrückliche Ausnahme gewährt wird.

Die folgenden globalen Bedingungsschlüssel helfen bei der Durchsetzung von Identitätsperimeterkontrollen auf Grundlage Ihrer Definition vertrauenswürdiger Identitäten. Verwenden Sie diese Schlüssel in Ressourcenkontrollrichtlinien, um den Zugriff auf Ressourcen einzuschränken, oder in VPC-Endpunktrichtlinien, um den Zugriff auf Ihre Netzwerke einzuschränken.

Identitäten, die Ihnen gehören

Sie können die folgenden Bedingungsschlüssel verwenden, um IAM-Prinzipale zu definieren, die Sie in AWS-Konten erstellen und verwalten.

aws:PrincipalOrgID – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass IAM-Prinzipale, die die Anfrage stellen, zur angegebenen Organisation in AWS Organizations gehören.
aws:PrincipalOrgPaths – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass der IAM-Benutzer, die IAM-Rolle, der AWS STS-Verbundbenutzerprinzipal, der SAML-Verbundprinzipal, der OIDC-Verbundprinzipal oder der Root-Benutzer des AWS-Kontos, der die Anfrage stellt, zur angegebenen Organisationseinheit (OE) in AWS Organizations gehört.
aws:PrincipalAccount – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass nur das in der Richtlinie angegebene Hauptkonto auf Ressourcen zugreifen kann.

Identitäten von AWS-Services, die in Ihrem Namen handeln

Sie können die folgenden Bedingungsschlüssel verwenden, um es AWS-Services zu ermöglichen, ihre eigenen Identitäten für den Zugriff auf Ihre Ressourcen zu verwenden, wenn sie in Ihrem Namen handeln.

aws:PrincipalIsAWSService und aws:SourceOrgID (oder aws:SourceOrgPaths und aws:SourceAccount) – Mit diesen Bedingungsschlüsseln können Sie sicherstellen, dass AWS-Service-Prinzipale beim Zugriff auf Ihre Ressourcen dies nur im Namen einer Ressource in der angegebenen Organisation, Organisationseinheit oder einem Konto in AWS Organizations tun.

Weitere Informationen finden Sie unter Einrichtung eines Datenperimeters in AWS: Nur vertrauenswürdigen Identitäten Zugriff auf Unternehmensdaten gewähren.

Ressourcenperimeter

Ein Ressourcenperimeter ist eine Reihe grob abgestufter, präventiver Zugriffskontrollen, die sicherstellen, dass Ihre Identitäten nur auf vertrauenswürdige Ressourcen zugreifen können und von Ihrem Netzwerk aus nur auf vertrauenswürdige Ressourcen zugegriffen werden kann. Zu vertrauenswürdigen Ressourcen gehören in der Regel Ressourcen, die Ihren AWS-Konten oder in Ihrem Namen handelnden AWS-Services angehören.

Die folgenden globalen Bedingungsschlüssel helfen bei der Durchsetzung von Ressourcenperimeterkontrollen auf Grundlage Ihrer Definition vertrauenswürdiger Ressourcen. Verwenden Sie diese Schlüssel in Service-Kontrollrichtlinien (SCPs), um einzuschränken, auf welche Ressourcen Ihre Identitäten zugreifen können, oder in VPC-Endpunktrichtlinien, um einzuschränken, auf welche Ressourcen von Ihren Netzwerken aus zugegriffen werden kann.

Ressourcen in Ihrem Besitz

Sie können die folgenden Bedingungsschlüssel verwenden, um AWS-Ressourcen zu definieren, die Sie in AWS-Konten erstellen und verwalten.

aws:ResourceOrgID – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zur angegebenen Organisation in AWS Organizations gehört.
aws:ResourceOrgPaths – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zur angegebenen Organisationseinheit (OE) in AWS Organizations gehört.
aws:ResourceAccount – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Ressource, auf die zugegriffen wird, zum angegebenen AWS-Konto gehört.

Ressourcen von AWS-Services, die in Ihrem Namen handeln

In einigen Fällen müssen Sie möglicherweise den Zugriff auf AWS-Ressourcen zulassen, also auf Ressourcen, die nicht zu Ihrer Organisation gehören und auf die Ihre Prinzipale oder in Ihrem Namen handelnde AWS-Services zugreifen. Weitere Informationen zu diesen Szenarien finden Sie unter Einrichtung eines Datenperimeters in AWS: Nur vertrauenswürdige Ressourcen aus meiner Organisation zulassen.

Netzwerkperimeter

Bei einem Netzwerkperimeter handelt es sich um eine Reihe grob abgestufter präventiver Zugriffskontrollen, die sicherstellen, dass Ihre Identitäten nur über erwartete Netzwerke auf Ressourcen zugreifen können und dass auf Ihre Ressourcen nur über erwartete Netzwerke zugegriffen werden kann. Zu den erwarteten Netzwerken gehören in der Regel Ihre On-Premises-Rechenzentren und Virtual Private Clouds (VPCs) sowie Netzwerke von AWS-Services, die in Ihrem Namen handeln.

Die folgenden globalen Bedingungsschlüssel helfen bei der Durchsetzung von Netzwerkperimeterkontrollen auf Grundlage Ihrer Definition erwarteter Netzwerke. Verwenden Sie diese Schlüssel in Service-Kontrollrichtlinien (SCPs), um Netzwerke einzuschränken, über die Ihre Identitäten kommunizieren können, oder in Ressourcenkontrollrichtlinien (RCPs), um den Ressourcenzugriff auf erwartete Netzwerke einzuschränken.

Netzwerke, die Ihnen gehören

Sie können die folgenden Bedingungsschlüssel verwenden, um Netzwerke zu definieren, die Ihre Mitarbeiter und Anwendungen für den Zugriff auf Ihre Ressourcen verwenden sollen, z. B. den IP-CIDR-Bereich Ihres Unternehmens und Ihre VPCs.

aws:SourceIp – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die IP-Adresse des Anforderers innerhalb eines angegebenen IP-Bereichs liegt.
aws:SourceVpc – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass der VPC-Endpunkt, durch den die Anfrage läuft, zur angegebenen VPC gehört.
aws:SourceVpce – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass die Anfrage über den angegebenen VPC-Endpunkt läuft.
aws:VpceAccount – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass Anfragen über VPC-Endpunkte im Besitz des angegebenen AWS-Kontos laufen.
aws:VpceOrgPaths – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass IAM-Prinzipale, die die Anfrage stellen, zur angegebenen Organisationseinheit (OU) in AWS Organizations gehören.
aws:VpceOrgID – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass Anfragen über VPC-Endpunkte im Besitz von Konten in der angegebenen Organisation in AWS Organizations laufen.

aws:VpceAccount, aws:VpceOrgPaths und aws:VpceOrgID sind besonders nützlich für die Implementierung von Netzwerkperimeterkontrollen, die automatisch mit der Nutzung Ihrer VPC-Endpunkte skaliert werden, ohne dass Richtlinien aktualisiert werden müssen, wenn Sie neue Endpunkte erstellen. Eine Liste der AWS-Services, die diese Schlüssel unterstützen, finden Sie unter AWS Globale Bedingungskontextschlüssel.

Netzwerke von AWS-Services, die in Ihrem Namen handeln

Sie können die folgenden Bedingungsschlüssel verwenden, um es AWS-Services zu ermöglichen, Ihre Ressourcen von ihren Netzwerken aus aufzurufen, wenn sie in Ihrem Namen handeln.

aws:ViaAWSService – Sie können diesen Bedingungsschlüssel verwenden, um sicherzustellen, dass AWS-Services im Namen Ihres Prinzipals Anfragen über Forward Access Sessions (FAS) (FAS) stellen kann.
aws:PrincipalIsAWSService – Mit diesem Bedingungsschlüssel können Sie sicherstellen, dass AWS-Services über AWS-Dienstauftraggeber auf Ihre Ressourcen zugreifen kann.

Es gibt weitere Szenarien, in denen Sie AWS-Services den Zugriff auf Ihre Ressourcen von außerhalb Ihres Netzwerks zulassen müssen. Weitere Informationen finden Sie unter Einrichtung eines Datenperimeters in AWS: Zugriff auf Unternehmensdaten kann nur von erwarteten Netzwerken aus zulassen.

Ressourcen, um mehr über Datenperimeter zu erfahren

Die folgenden Ressourcen können Ihnen dabei helfen, mehr über Datenperimeter in AWS zu erfahren.

Datenperimeter in AWS – Erfahren Sie mehr über Datenperimeter, ihre Vorteile und Anwendungsfälle.
Blog-Beitragsreihe: Einrichtung eines Datenperimeters in AWS – Diese Blogbeiträge enthalten präskriptive Anleitungen zum Einrichten Ihres Datenperimeters im großen Maßstab, einschließlich wichtiger Sicherheits- und Implementierungsaspekte.
Beispiele für Datenperimeterrichtlinien – Dieses GitHub-Repository enthält Beispielrichtlinien, die einige gängige Muster abdecken, um Sie bei der Implementierung eines Datenperimeters in AWS zu unterstützen.
Datenperimeter-Helfer – Dieses Tool unterstützt Sie bei der Gestaltung und Prognose der Auswirkungen Ihrer Datenperimeter-Kontrollen, indem es die Zugriffsaktivität in Ihren AWS CloudTrail-Protokollen analysiert.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Veraltete, von AWS verwaltete Richtlinien

Berechtigungsgrenzen