Verwendung von AWS Organizations aus Sicherheitsgründen - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von AWS Organizations aus Sicherheitsgründen

Beeinflussen Sie die future der AWS Security Reference Architecture (AWS SRA), indem Sie an einer kurzen Umfrage teilnehmen.

AWS Organizations hilft Ihnen dabei, Ihre Umgebung zentral zu verwalten und zu steuern, während Sie Ihre AWS-Ressourcen erweitern und skalieren. Mithilfe von AWS Organizations können Sie programmgesteuert neue AWS-Konten erstellen, Ressourcen zuweisen, Konten gruppieren, um Ihre Workloads zu organisieren, und Richtlinien auf Konten oder Kontogruppen zur Verwaltung anwenden. Eine AWS-Organisation konsolidiert Ihre AWS-Konten, sodass Sie sie als eine Einheit verwalten können. Sie hat ein Verwaltungskonto sowie null oder mehr Mitgliedskonten. Die meisten Ihrer Workloads befinden sich in Mitgliedskonten, mit Ausnahme einiger zentral verwalteter Prozesse, die entweder im Verwaltungskonto oder in Konten gespeichert sein müssen, die als delegierte Administratoren für bestimmte AWS-Services zugewiesen wurden. Sie können Ihrem Sicherheitsteam Tools und Zugriff von einem zentralen Ort aus bereitstellen, um die Sicherheitsanforderungen im Namen einer AWS-Organisation zu verwalten. Sie können die Verdoppelung von Ressourcen reduzieren, indem Sie wichtige Ressourcen innerhalb Ihrer AWS-Organisation gemeinsam nutzen. Sie können Konten in AWS-Organisationseinheiten (OUs) gruppieren, die je nach den Anforderungen und dem Zweck des Workloads unterschiedliche Umgebungen repräsentieren können. AWS Organizations bietet auch mehrere Richtlinien, mit denen Sie zusätzliche Sicherheitskontrollen zentral auf alle Mitgliedskonten in Ihren Organisationen anwenden können. Dieser Abschnitt konzentriert sich auf Richtlinien zur SCPs Servicekontrolle (), Ressourcenkontrollrichtlinien (RCPs) und deklarative Richtlinien.

Mit AWS Organizations können Sie Genehmigungsrichtlinien RCPsauf AWS-Organisations SCPs-, OU- oder Kontoebene verwenden und anwenden. SCPs sind Leitplanken, die für Principals innerhalb des Kontos einer Organisation gelten, mit Ausnahme des Verwaltungskontos (was ein Grund dafür ist, Workloads nicht in diesem Konto auszuführen). Wenn Sie ein SCP an eine Organisationseinheit anhängen, wird das SCP vom Kind OUs und den Konten, die dieser Organisationseinheit unterstehen, übernommen. SCPs gewähren keine Berechtigungen. Stattdessen geben sie die maximalen Berechtigungen für eine AWS-Organisation, Organisationseinheit oder ein AWS-Konto an. Sie müssen den Prinzipalen oder Ressourcen in Ihren AWS-Konten weiterhin identitäts- oder ressourcenbasierte Richtlinien zuordnen, um ihnen tatsächlich Berechtigungen zu erteilen. Wenn ein SCP beispielsweise den Zugriff auf Amazon S3 verweigert, hat ein vom SCP betroffener Principal keinen Zugriff auf Amazon S3, selbst wenn ihm der Zugriff durch eine IAM-Richtlinie ausdrücklich gewährt wird. Weitere Informationen darüber, wie IAM-Richtlinien bewertet werden, welche Rolle sie spielen und wie der Zugriff letztlich gewährt oder verweigert wird SCPs, finden Sie in der IAM-Dokumentation unter Bewertungslogik für Richtlinien.

RCPs sind Leitplanken, die für Ressourcen innerhalb der Konten einer Organisation gelten, unabhängig davon, ob die Ressourcen derselben Organisation gehören. SCPsBeeinträchtigen RCPs Sie zum Beispiel nicht die Ressourcen im Verwaltungskonto und gewähren Sie keine Berechtigungen. Wenn Sie ein RCP an eine Organisationseinheit anhängen, wird das RCP vom Kind OUs und den Konten unter der Organisationseinheit übernommen. RCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation und unterstützen derzeit eine Teilmenge von AWS-Services. Wir empfehlen Ihnen OUs, bei der Planung SCPs Ihrer Änderungen den IAM-Richtliniensimulator zu verwenden. Sie sollten auch die Daten des Service, auf den zuletzt zugegriffen wurde, in IAM überprüfen und AWS verwenden CloudTrail , um die Servicenutzung auf API-Ebene zu protokollieren, um die potenziellen Auswirkungen von SCP-Änderungen zu verstehen.

SCPs und RCPs sind unabhängige Kontrollen. Je nach den Zugriffskontrollen, die Sie durchsetzen möchten RCPs, können Sie wählen, ob Sie nur SCPs oder beide Richtlinientypen aktivieren oder beide Richtlinientypen zusammen verwenden möchten. Wenn Sie beispielsweise verhindern möchten, dass die Prinzipale Ihrer Organisation auf Ressourcen außerhalb Ihrer Organisation zugreifen, setzen Sie diese Kontrolle durch, indem SCPs Sie Wenn Sie den Zugriff externer Identitäten auf Ihre Ressourcen einschränken oder verhindern möchten, setzen Sie diese Kontrolle durch, indem Sie RCPs Weitere Informationen und Anwendungsfälle für RCPs und finden Sie unter SCPs Using SCPs and RCPs in der Dokumentation zu AWS Organizations.

Sie können die deklarativen Richtlinien von AWS Organizations verwenden, um Ihre gewünschte Konfiguration für einen bestimmten AWS-Service im gesamten Unternehmen zentral zu deklarieren und durchzusetzen. Sie können beispielsweise den öffentlichen Internetzugang zu Amazon VPC-Ressourcen in Ihrer gesamten Organisation blockieren. Im Gegensatz zu Autorisierungsrichtlinien wie SCPs und RCPs werden deklarative Richtlinien in der Kontrollebene eines AWS durchgesetzt. Autorisierungsrichtlinien regeln den Zugriff auf APIs, während deklarative Richtlinien direkt auf Serviceebene angewendet werden, um dauerhafte Absichten durchzusetzen. Diese Richtlinien tragen dazu bei, dass die Basiskonfiguration für einen AWS-Service immer beibehalten wird, auch wenn der Service neue Funktionen einführt oder APIs. Die Basiskonfiguration wird auch beibehalten, wenn einer Organisation neue Konten hinzugefügt werden oder wenn neue Prinzipale und Ressourcen erstellt werden. Deklarative Richtlinien können auf eine gesamte Organisation oder auf bestimmte OUs Konten angewendet werden.

Jedes AWS-Konto hat einen einzelnen Root-Benutzer, der standardmäßig über vollständige Berechtigungen für alle AWS-Ressourcen verfügt.  Aus Sicherheitsgründen empfehlen wir, den Root-Benutzer nicht zu verwenden, außer für einige Aufgaben, für die ausdrücklich ein Root-Benutzer erforderlich ist. Wenn Sie mehrere AWS-Konten über AWS Organizations verwalten, können Sie die Root-Anmeldung zentral deaktivieren und dann Root-privilegierte Aktionen für alle Mitgliedskonten ausführen. Nachdem Sie den Root-Zugriff für Mitgliedskonten zentral verwaltet haben, können Sie das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate löschen und die Multi-Faktor-Authentifizierung (MFA) für Mitgliedskonten deaktivieren. Neue Konten, die im Rahmen des zentral verwalteten Root-Zugriffs erstellt werden, haben standardmäßig keine Root-Benutzeranmeldedaten. Mitgliedskonten können sich nicht mit ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen.

AWS Control Tower bietet eine vereinfachte Möglichkeit, mehrere Konten einzurichten und zu verwalten. Es automatisiert die Einrichtung von Konten in Ihrer AWS-Organisation, automatisiert die Bereitstellung, wendet Leitplanken an (einschließlich präventiver und detektiver Kontrollen) und bietet Ihnen ein Dashboard für Transparenz. Eine zusätzliche IAM-Verwaltungsrichtlinie, eine Berechtigungsgrenze, ist bestimmten IAM-Entitäten (Benutzern oder Rollen) zugeordnet und legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einer IAM-Entität gewähren kann.

AWS Organizations hilft Ihnen bei der Konfiguration von AWS-Services, die für alle Ihre Konten gelten. Sie können beispielsweise die zentrale Protokollierung aller Aktionen konfigurieren, die in Ihrer AWS-Organisation mithilfe von AWS ausgeführt werden CloudTrail, und verhindern, dass Mitgliedskonten die Protokollierung deaktivieren. Sie können auch Daten für Regeln, die Sie mithilfe von AWS Config definiert haben, zentral aggregieren, sodass Sie Ihre Workloads auf Einhaltung überprüfen und schnell auf Änderungen reagieren können. Sie können AWS verwenden CloudFormation StackSets, um CloudFormation AWS-Stacks kontenübergreifend und OUs in Ihrer AWS-Organisation zentral zu verwalten, sodass Sie automatisch ein neues Konto einrichten können, um Ihre Sicherheitsanforderungen zu erfüllen.

Die Standardkonfiguration von AWS Organizations unterstützt die Verwendung von SCPs Ablehnungslisten. Mithilfe einer Strategie für Ablehnungslisten können Administratoren von Mitgliedskonten alle Dienste und Aktionen delegieren, bis Sie einen SCP erstellen und anhängen, der einen bestimmten Service oder eine Reihe von Aktionen ablehnt. Deny-Statements erfordern weniger Wartung als eine Zulassungsliste, da Sie sie nicht aktualisieren müssen, wenn AWS neue Services hinzufügt. Ablehnungsbefehle haben in der Regel eine kürzere Zeichenlänge, sodass es einfacher ist, die maximale Größe einzuhalten SCPs. In einer Anweisung, bei der das Effect Element den Wert von hatDeny, können Sie auch den Zugriff auf bestimmte Ressourcen einschränken oder Bedingungen definieren, unter denen sie gültig SCPs sind. Im Gegensatz dazu gilt eine Allow-Anweisung in einem SCP für alle Ressourcen ("*") und kann nicht durch Bedingungen eingeschränkt werden. Weitere Informationen und Beispiele finden Sie unter Strategie für die Verwendung SCPs in der Dokumentation zu AWS Organizations.

Designüberlegungen

  • Um es SCPs als Zulassungsliste zu verwenden, müssen Sie alternativ das von AWS verwaltete FullAWSAccess SCP durch ein SCP ersetzen, das ausdrücklich nur die Services und Aktionen zulässt, die Sie zulassen möchten. Damit eine Berechtigung für ein bestimmtes Konto aktiviert werden kann, muss jeder SCP (vom Root-Konto bis zu jeder Organisationseinheit im direkten Pfad zum Konto und sogar mit dem Konto selbst verknüpft) diese Berechtigung gewähren. Dieses Modell ist restriktiver und eignet sich möglicherweise für stark regulierte und sensible Workloads. Bei diesem Ansatz müssen Sie jeden IAM-Service oder jede IAM-Aktion auf dem Pfad vom AWS-Konto zur Organisationseinheit explizit zulassen.

  • Idealerweise würden Sie eine Kombination aus Strategien für Ablehnungslisten und Zulassungslisten verwenden. Verwenden Sie die Zulassungsliste, um die Liste der erlaubten AWS-Services zu definieren, die für die Nutzung innerhalb einer AWS-Organisation zugelassen sind, und fügen Sie diesen SCP dem Stammverzeichnis Ihrer AWS-Organisation hinzu. Wenn für Ihre Entwicklungsumgebung eine andere Gruppe von Services zulässig ist, würden Sie die entsprechenden Services SCPs an jede Organisationseinheit anhängen. Anschließend können Sie mithilfe der Ablehnungsliste Unternehmensleitlinien definieren, indem Sie bestimmte IAM-Aktionen explizit ablehnen.

  • RCPs gelten für Ressourcen für eine Teilmenge der AWS-Services. Weitere Informationen finden Sie in der Dokumentation zu AWS Organizations unter Liste RCPs der unterstützten AWS-Services. Die Standardkonfiguration von AWS Organizations unterstützt die Verwendung RCPs von Ablehnungslisten. Wenn Sie RCPs in Ihrer Organisation aktivieren, RCPFullAWSAccess wird eine von AWS verwaltete Richtlinie namens automatisch dem Organisationsstamm, jeder Organisationseinheit und jedem Konto in Ihrer Organisation angehängt. Sie können diese Richtlinie nicht trennen. Dieses Standard-RCP ermöglicht es allen Prinzipalen und Aktionen, auf die zugegriffen wird, die RCP-Bewertung zu durchlaufen. Das heißt, bis Sie mit dem Erstellen und Anhängen beginnen RCPs, funktionieren alle Ihre vorhandenen IAM-Berechtigungen weiterhin wie bisher. Diese von AWS verwaltete Richtlinie gewährt keinen Zugriff. Sie können dann eine neue Liste mit RCPs Ablehnungsaussagen erstellen, um den Zugriff auf Ressourcen in Ihrer Organisation zu blockieren.