Schlüsselkonzepte für die Verwendung zertifikatsbasierter Zugriffskontrollen in AWS - AWS Präskriptive Leitlinien
Geringste RechteZertifikatbasierte AuthentifizierungVertrauensanker und VertrauensmodelleTemporäre SicherheitsanmeldeinformationenDual-Layer-Berechtigungen in IAMAWS Credential Helper

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Schlüsselkonzepte für die Verwendung zertifikatsbasierter Zugriffskontrollen in AWS

Zertifikatsbasierte Zugriffskontrollen AWS erfordern das Verständnis mehrerer voneinander abhängiger Authentifizierungs- und Autorisierungskonzepte. Beispielsweise bestimmt das Prinzip der geringsten Rechte den Umfang der Berechtigungen, die im Rahmen der zertifikatsbasierten Authentifizierung erteilt werden, was sich direkt auf die Rollen- und Richtliniengestaltung AWS Identity and Access Management (IAM) auswirkt. Die zertifikatsbasierte Authentifizierung selbst basiert auf der Validierung von X.509-Zertifikaten anhand konfigurierter Vertrauensanker, die die kryptografische Vertrauenskette für die Zertifikatsverifizierung definieren. Die durch diesen Prozess generierten temporären Sicherheitsnachweise weisen spezifische Lebenszyklusmerkmale auf, die sich auf die Sitzungsverwaltung und die Strategien zur Rotation von Anmeldeinformationen auswirken. Darüber hinaus wird ein duales Berechtigungsmodell AWS Identity and Access Management Roles Anywhere implementiert, bei dem sowohl IAM-Rollenrichtlinien als auch Profilkonfigurationen den Zugriff autorisieren müssen. Ohne zu verstehen, wie diese Konzepte zusammenwirken, können Implementierungen zu Authentifizierungsfehlern, überprivilegiertem Zugriff oder Sicherheitslücken in der Zertifikatsvalidierungskette führen. Diese Konzepte bilden die technische Grundlage, die für die korrekte Konfiguration von Vertrauensbeziehungen, Berechtigungsgrenzen und Lebenszyklen von Anmeldeinformationen in zertifikatsbasierten Zugriffskontrollsystemen erforderlich ist. AWS

Geringste Rechte

Das Prinzip der geringsten Rechte ist ein Sicherheitskonzept, das empfiehlt, Benutzern, Programmen oder Systemen nur die Mindestzugriffsebene (oder Berechtigungen) zu gewähren, die für die Ausführung ihrer Aufgaben erforderlich sind. Die Leitphilosophie ist einfach: Je weniger Berechtigungen ein Unternehmen hat, desto geringer ist das Risiko böswilliger oder versehentlicher Schäden.

In diesem Zusammenhang ist dieser Grundsatz besonders relevant. AWS AWS bietet eine breite Palette von Ressourcen und Diensten, von virtuellen Maschinen bis hin zu Speicherressourcen. Beim Aufbau und der Verwaltung Ihrer AWS Infrastruktur wird durch die Anwendung des Prinzips der geringsten Rechte sichergestellt, dass jede Entität (ein Benutzer, Dienst oder Anwendung) nur über die erforderlichen Berechtigungen verfügt, um ordnungsgemäß zu funktionieren, und nicht mehr.

Die Implementierung der Methode der geringsten Rechte AWS bietet die folgenden Vorteile:

  • Sicherheit — Indem Sie den Zugriff einschränken, reduzieren Sie die potenziellen Auswirkungen einer Sicherheitsverletzung. Wenn ein Benutzer oder Dienst über Mindestberechtigungen verfügt, verringert sich das Schadensrisiko erheblich.

  • Einhaltung der Vorschriften — Viele regulatorische Rahmenbedingungen erfordern strenge Zugriffskontrollen. Die Einhaltung des Prinzips der geringsten Rechte hilft Ihnen, diese Compliance-Anforderungen zu erfüllen.

  • Einfache Bedienung — Die Verwaltung von Berechtigungen kann komplex werden. Durch die Anwendung der geringsten Rechte können Konfigurationen so einfach und überschaubar wie möglich gehalten werden.

Zertifikatbasierte Authentifizierung

Bei der zertifikatsbasierten Authentifizierung werden digitale Zertifikate verwendet, um die Identität eines Geräts, Dienstes oder einer Anwendung zu überprüfen. X.509-Zertifikate enthalten Attribute, die die Entität identifizieren, und sind von einer vertrauenswürdigen Zertifizierungsstelle signiert. Diese Authentifizierungsmethode macht statische Anmeldeinformationen überflüssig und bietet eine kryptografisch sichere Methode, um Vertrauen aufzubauen.

Während die identitätsbasierte Authentifizierung auf Anmeldeinformationen basiert, die direkt mit einer IAM-Rolle oder einem IAM-Benutzer verknüpft sind, verwendet die zertifikatsbasierte Authentifizierung X.509-Zertifikate zur Identitätsfeststellung. Die zertifikatsbasierte Authentifizierung bietet in Hybridumgebungen Vorteile, da sie ein stärkeres Sicherheitsniveau, eine automatische Rotation von Anmeldeinformationen und die Möglichkeit bietet, Attribute zu verschlüsseln, die für eine detaillierte Zugriffskontrolle verwendet werden können.

Vertrauensanker und Vertrauensmodelle

Sie schaffen Vertrauen zwischen IAM Roles Anywhere und Ihrer Zertifizierungsstelle (CA), indem Sie einen Vertrauensanker erstellen. Ein Vertrauensanker ist ein Verweis auf eine externe Zertifizierungsstelle AWS Private CAoder auf eine externe Zertifizierungsstelle. Ihre Workloads außerhalb von AWS authentifizieren sich mit dem Vertrauensanker, indem Sie Zertifikate verwenden, die von der vertrauenswürdigen Zertifizierungsstelle im Austausch gegen temporäre AWS Anmeldeinformationen ausgestellt wurden. In einem können mehrere Vertrauensanker enthalten sein. AWS-Konto Weitere Informationen finden Sie unter IAM Roles Anywhere Vertrauensmodell. Das Vertrauensmodell definiert, wie Zertifikate validiert werden und welche Zertifikatsattribute für eine erfolgreiche Authentifizierung erforderlich sind.

Temporäre Sicherheitsanmeldeinformationen

Temporäre Sicherheitsanmeldedaten ermöglichen einen zeitlich begrenzten Zugriff auf AWS Ressourcen, der in der Regel zwischen einigen Minuten und mehreren Stunden dauert. Im Gegensatz zu langfristigen Zugriffsschlüsseln laufen diese Anmeldeinformationen automatisch ab. Dadurch wird das Risiko einer Kompromittierung von Anmeldeinformationen erheblich reduziert und die Zugriffsverwaltung über verteilte Systeme hinweg vereinfacht. Weitere Informationen zu temporären Anmeldeinformationen finden Sie in der IAM-Dokumentation unter Erfordern Sie, dass Workloads temporäre Anmeldeinformationen mit IAM-Rollen verwenden müssen, um auf AWS bewährte Methoden zuzugreifen.

Dual-Layer-Berechtigungen in IAM

IAM Roles Anywhere implementiert ein duales Berechtigungsmodell durch die Kombination von IAM-Rollen und -Profilen. In einem Profil können Sie IAM-Sitzungsrichtlinien definieren, die die für eine Sitzung erstellten Berechtigungen einschränken. Ein Profil kann viele IAM-Rollen, aber nur eine Sitzungsrichtlinie haben. Das duale Berechtigungsmodell bietet erhöhte Sicherheit, da Berechtigungen auf beiden Ebenen explizit erteilt werden müssen, bevor der Zugriff gewährt wird. Im Folgenden sind die beiden Ebenen aufgeführt:

  • Die IAM-Rollenebene definiert Folgendes:

    • Vertrauensrichtlinien, die festlegen, welche Entität die Rolle übernehmen kann

    • Berechtigungsrichtlinien, die angeben, auf welche AWS Ressourcen die Rolle zugreifen kann und welche Aktionen sie ausführen kann

    • Bedingungselemente, die den Zugriff auf der Grundlage bestimmter Kriterien weiter einschränken können

  • Die IAM Roles Anywhere Profilebene hat folgende Aufgaben:

    • Definiert, über welche IAM-Rollen übernommen werden können IAM Roles Anywhere

    • Stellt zusätzliche Steuerelemente für die Rollenübernahme bereit

    • Fungiert als Berechtigungsfilter, auch wenn die IAM-Rolle selbst einen umfassenderen Zugriff ermöglicht

Wenn eine IAM-Rolle beispielsweise den Zugriff auf Amazon Simple Storage Service (Amazon S3) und Amazon DynamoDB ermöglicht, das Profil jedoch nur Amazon S3 S3-Zugriff zulässt, kann die Anwendung nur auf Amazon S3-Ressourcen zugreifen. Bei diesem dualen Ansatz wird das Prinzip der geringsten Rechte durchgesetzt, indem auf beiden Ebenen eine ausdrückliche Genehmigung erforderlich ist.

AWS Credential Helper

Wenn Sie Credential Helper (GitHub) für verwenden IAM Roles Anywhere, definieren Sie über die AWS Command Line Interface (AWS CLI), welchen Vertrauensanker, welches Profil und welche Rolle Sie verwenden möchten, wenn Sie der Anwendung den Zugriff auf die AWS Ressourcen erlauben. Im Folgenden finden Sie einen Beispielaufruf, der das AWS Credential Helper-Tool verwendet:

./aws_signing_helper credential-process 
   \--certificate <Path to certificate>
   \--private-key <Path to private key> 
   \--trust-anchor-arn <Trust anchor ARN> 
   \--profile-arn <Profile 1 ARN>
   \--role-arn <Role 1 ARN>

Dieses Tool ist mit der credential_process Funktion kompatibel, die in der gesamten Sprache SDKs verfügbar ist. Bei Verwendung mit einem AWS SDK werden diese Anmeldeinformationen automatisch aktualisiert, bevor sie ablaufen, sodass keine zusätzliche Implementierung für die Erneuerung der Anmeldeinformationen erforderlich ist. Credential Helper verwaltet den Prozess der Erstellung einer Signatur mit dem Zertifikat und des Aufrufs des Endpunkts, um die Anmeldeinformationen für die Sitzung abzurufen. Anschließend werden die temporären Sicherheitsanmeldedaten in einem standardmäßigen JSON-Format an den aufrufenden Prozess zurückgegeben.

Weitere Informationen finden Sie unter Temporäre Sicherheitsanmeldedaten abrufen von IAM Roles Anywhere.