Aus AWS Organizations Sicherheitsgründen verwenden - AWS Präskriptive Leitlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Aus AWS Organizations Sicherheitsgründen verwenden

Beeinflussen Sie die future der AWS Security Reference Architecture (AWS SRA), indem Sie an einer kurzen Umfrage teilnehmen.

AWS Organizationshilft Ihnen dabei, Ihre Umgebung zentral zu verwalten und zu steuern, während Sie Ihre AWS Ressourcen erweitern und skalieren. Mithilfe dieser Funktion können Sie programmgesteuert neue Konten erstellen AWS Organizations, Ressourcen zuweisen AWS-Konten, Konten gruppieren, um Ihre Workloads zu organisieren, und Richtlinien für die Verwaltung auf Konten oder Gruppen von Konten anwenden. Eine AWS Organisation konsolidiert Ihre, AWS-Konten sodass Sie sie als eine einzige Einheit verwalten können. Sie hat ein Verwaltungskonto sowie null oder mehr Mitgliedskonten. Die meisten Ihrer Workloads befinden sich in Mitgliedskonten, mit Ausnahme einiger zentral verwalteter Prozesse, die entweder im Verwaltungskonto oder in Konten gespeichert sein müssen, die bestimmten Benutzern als delegierte Administratoren zugewiesen wurden. AWS-Services Sie können Ihrem Sicherheitsteam Tools und Zugriff von einem zentralen Ort aus bereitstellen, um die Sicherheitsanforderungen im Namen einer Organisation zu verwalten. AWS Sie können die Verdoppelung von Ressourcen reduzieren, indem Sie wichtige Ressourcen innerhalb Ihrer AWS Organisation gemeinsam nutzen. Sie können Konten in AWS Organisationseinheiten (OUs) gruppieren, die je nach den Anforderungen und dem Zweck des Workloads unterschiedliche Umgebungen repräsentieren können. AWS Organizations bietet außerdem mehrere Richtlinien, mit denen Sie zusätzliche Sicherheitskontrollen zentral auf alle Mitgliedskonten in Ihren Organisationen anwenden können. Dieser Abschnitt konzentriert sich auf Richtlinien zur Dienststeuerung (SCPs), Ressourcensteuerungsrichtlinien (RCPs) und deklarative Richtlinien.

Mit AWS Organizations können Sie Richtlinien für Berechtigungen RCPsauf AWS Organisations SCPs-, OU- oder Kontoebene verwenden und anwenden. SCPs sind Leitplanken, die für Principals innerhalb eines Unternehmenskontos gelten, mit Ausnahme des Verwaltungskontos (was ein Grund dafür ist, Workloads nicht in diesem Konto auszuführen). Wenn Sie einer Organisationseinheit einen SCP zuordnen, wird der SCP vom Kind OUs und den Konten unter dieser Organisationseinheit übernommen. SCPs gewähren keine Berechtigungen. Stattdessen geben sie die maximalen Berechtigungen an, die Ihren Prinzipalen in einer AWS Organisation, Organisationseinheit oder einem Konto zur Verfügung stehen. Sie müssen den Prinzipalen oder Ressourcen in Ihrer Umgebung dennoch identitäts- oder ressourcenbasierte Richtlinien zuordnen, um ihnen tatsächlich Berechtigungen AWS-Konten zu erteilen. Wenn ein SCP beispielsweise den Zugriff auf Amazon S3 verweigert, hat ein vom SCP betroffener Principal keinen Zugriff auf Amazon S3, selbst wenn ihm der Zugriff durch eine IAM-Richtlinie ausdrücklich gewährt wird. Weitere Informationen darüber, wie IAM-Richtlinien bewertet werden, welche Rolle sie spielen und wie der Zugriff letztlich gewährt oder verweigert wird SCPs, finden Sie unter Bewertungslogik für Richtlinien in der IAM-Dokumentation.

RCPs sind Leitplanken, die für Ressourcen innerhalb der Konten einer Organisation gelten, unabhängig davon, ob die Ressourcen derselben Organisation gehören. SCPsBeeinträchtigen RCPs Sie zum Beispiel nicht die Ressourcen im Verwaltungskonto und gewähren Sie keine Berechtigungen. Wenn Sie ein RCP an eine Organisationseinheit anhängen, wird das RCP vom Kind OUs und den Konten unter der Organisationseinheit übernommen. RCPs bieten eine zentrale Kontrolle über die maximal verfügbaren Berechtigungen für Ressourcen in Ihrer Organisation und unterstützen derzeit eine Teilmenge von. AWS-Services Wir empfehlen Ihnen OUs, bei der Planung SCPs Ihrer Änderungen den IAM-Richtliniensimulator zu verwenden. Sie sollten auch die Daten des Dienstes, auf den zuletzt zugegriffen wurde, in IAM überprüfen und die Dienstnutzung auf API-Ebene protokollieren, um die potenziellen Auswirkungen von SCP-Änderungen zu verstehen.AWS CloudTrail

SCPs und RCPs sind unabhängige Kontrollen. Je nach den Zugriffskontrollen, die Sie durchsetzen möchten RCPs, können Sie wählen, ob Sie nur SCPs oder beide Richtlinientypen aktivieren oder beide Richtlinientypen zusammen verwenden möchten. Wenn Sie beispielsweise verhindern möchten, dass die Prinzipale Ihrer Organisation auf Ressourcen außerhalb Ihrer Organisation zugreifen, setzen Sie diese Kontrolle durch, indem SCPs Sie Wenn Sie den Zugriff externer Identitäten auf Ihre Ressourcen einschränken oder verhindern möchten, setzen Sie diese Kontrolle durch, indem Sie. RCPs Weitere Informationen und Anwendungsfälle für RCPs und SCPs finden Sie RCPs in der AWS Organizations Dokumentation unter Verwenden von SCPs und.

Sie können AWS Organizations deklarative Richtlinien verwenden, um Ihre gewünschte Konfiguration für eine bestimmte Größe AWS-Service im gesamten Unternehmen zentral zu deklarieren und durchzusetzen. Sie können beispielsweise den öffentlichen Internetzugang zu Amazon VPC-Ressourcen in Ihrer gesamten Organisation blockieren. Im Gegensatz zu Autorisierungsrichtlinien wie SCPs und RCPs werden deklarative Richtlinien auf der Kontrollebene eines AWS Dienstes durchgesetzt. Autorisierungsrichtlinien regeln den Zugriff auf APIs, während deklarative Richtlinien direkt auf Serviceebene angewendet werden, um dauerhafte Absichten durchzusetzen. Diese Richtlinien tragen dazu bei, dass die Basiskonfiguration für einen immer beibehalten AWS-Service wird, auch wenn der Dienst neue Funktionen einführt oder APIs. Die Basiskonfiguration wird auch beibehalten, wenn einer Organisation neue Konten hinzugefügt werden oder wenn neue Prinzipale und Ressourcen erstellt werden. Deklarative Richtlinien können auf eine gesamte Organisation oder auf bestimmte OUs Konten angewendet werden.

Jeder AWS-Konto hat einen einzelnen Root-Benutzer, der standardmäßig über vollständige Berechtigungen für alle AWS Ressourcen verfügt.  Aus Sicherheitsgründen empfehlen wir, den Root-Benutzer nicht zu verwenden, außer für einige Aufgaben, für die ausdrücklich ein Root-Benutzer erforderlich ist. Wenn Sie mehrere Konten verwalten AWS-Konten AWS Organizations, können Sie die Root-Anmeldung zentral deaktivieren und dann für alle Mitgliedskonten Aktionen mit Root-Rechten ausführen. Nachdem Sie den Root-Zugriff für Mitgliedskonten zentral verwaltet haben, können Sie das Root-Benutzerkennwort, die Zugriffsschlüssel und die Signaturzertifikate löschen und die Multi-Faktor-Authentifizierung (MFA) für Mitgliedskonten deaktivieren. Neue Konten, die im Rahmen des zentral verwalteten Root-Zugriffs erstellt werden, haben standardmäßig keine Root-Benutzeranmeldedaten. Mitgliedskonten können sich nicht mit ihrem Root-Benutzer anmelden oder eine Passwortwiederherstellung für ihren Root-Benutzer durchführen.

AWS Control Towerbietet eine vereinfachte Möglichkeit, mehrere Konten einzurichten und zu verwalten. Es automatisiert die Einrichtung von Konten in Ihrem AWS Unternehmen, automatisiert die Bereitstellung, wendet Kontrollen an (einschließlich präventiver und detektiver Kontrollen) und bietet Ihnen ein Dashboard für mehr Transparenz. Eine zusätzliche IAM-Verwaltungsrichtlinie, eine Berechtigungsgrenze, ist bestimmten IAM-Prinzipalen (Benutzern oder Rollen) zugeordnet und legt die maximalen Berechtigungen fest, die eine identitätsbasierte Richtlinie einem IAM-Prinzipal gewähren kann.

AWS Organizations hilft Ihnen bei der Konfiguration, die für alle Ihre Konten AWS-Servicesgilt. Sie können beispielsweise die zentrale Protokollierung aller Aktionen konfigurieren, die in Ihrer AWS Organisation ausgeführt werden, indem Sie die Protokollierung durch Mitgliedskonten deaktivieren CloudTrail, und verhindern, dass Mitgliedskonten die Protokollierung deaktivieren. Sie können auch Daten für Regeln, die Sie mithilfe von Use definiert haben, zentral aggregieren AWS Config, sodass Sie Ihre Workloads auf Einhaltung überprüfen und schnell auf Änderungen reagieren können. Sie können CloudFormation Stacks AWS CloudFormation StackSetsfür alle Konten und OUs in Ihrer AWS Organisation zentral verwalten, sodass Sie automatisch ein neues Konto einrichten können, das Ihren Sicherheitsanforderungen entspricht.

Die Standardkonfiguration von AWS Organizations unterstützt die Verwendung von SCPs Sperrlisten. Mithilfe einer Strategie für Ablehnungslisten können Administratoren von Mitgliedskonten alle Dienste und Aktionen delegieren, bis Sie einen SCP erstellen und anhängen, der einen bestimmten Dienst oder eine Reihe von Aktionen verweigert. Ablehnungsbefehle erfordern weniger Wartung als eine Zulassungsliste, da Sie sie nicht aktualisieren müssen, wenn neue Dienste AWS hinzugefügt werden. Deny-Anweisungen haben in der Regel eine kürzere Zeichenlänge, sodass es einfacher ist, die maximale Größe einzuhalten SCPs. In einer Anweisung, bei der das Effect Element den Wert von hatDeny, können Sie auch den Zugriff auf bestimmte Ressourcen einschränken oder Bedingungen definieren, unter denen sie gültig SCPs sind. Im Gegensatz dazu gilt eine Allow Aussage in einem SCP für alle Ressourcen ("*") und kann nicht durch Bedingungen eingeschränkt werden. Weitere Informationen und Beispiele finden Sie SCPs in der AWS Organizations Dokumentation unter Strategien für die Verwendung.

Designüberlegungen

  • Um es SCPs als Zulassungsliste zu verwenden, müssen Sie alternativ das von AWS verwaltete FullAWSAccess SCP durch ein SCP ersetzen, das ausdrücklich nur die Services und Aktionen zulässt, die Sie zulassen möchten. Damit eine Berechtigung für ein bestimmtes Konto aktiviert werden kann, muss jeder SCP (vom Root-Konto bis zu jeder Organisationseinheit im direkten Pfad zum Konto und sogar mit dem Konto selbst verknüpft) diese Berechtigung gewähren. Dieses Modell ist restriktiver und eignet sich möglicherweise für stark regulierte und sensible Workloads. Bei diesem Ansatz müssen Sie jeden IAM-Dienst oder jede IAM-Aktion auf dem Pfad von der AWS-Konto zur Organisationseinheit explizit zulassen.

  • Idealerweise würden Sie eine Kombination aus Deny-List- und Allow-List-Strategien verwenden. Verwenden Sie die Zulassungsliste, um die Liste der AWS-Services zugelassenen Personen zu definieren, die innerhalb einer AWS Organisation verwendet werden dürfen, und fügen Sie diesen SCP an das Stammverzeichnis Ihrer AWS Organisation an. Wenn Sie für Ihre Entwicklungsumgebung eine andere Gruppe von Diensten zugelassen haben, fügen Sie die entsprechenden Dienste an jede Organisationseinheit SCPs an. Anschließend können Sie mithilfe der Ablehnungsliste Unternehmensleitlinien definieren, indem Sie bestimmte IAM-Aktionen explizit ablehnen.

  • RCPs gelten für Ressourcen für eine Teilmenge von. AWS-Services Weitere Informationen finden Sie RCPs in der AWS Organizations Dokumentation unter Liste AWS-Services dieser Unterstützungen. Die Standardkonfiguration von AWS Organizations unterstützt die Verwendung RCPs von Ablehnungslisten. Wenn Sie die Option RCPs in Ihrer Organisation aktivieren, RCPFullAWSAccess wird eine so genannte AWS verwaltete Richtlinie automatisch an den Organisationsstamm, jede Organisationseinheit und jedes Konto in Ihrer Organisation angehängt. Sie können diese Richtlinie nicht trennen. Dieses Standard-RCP ermöglicht es allen Prinzipalen und Aktionen, auf die zugegriffen wird, die RCP-Bewertung zu durchlaufen. Das heißt, bis Sie mit dem Erstellen und Anhängen beginnen RCPs, funktionieren alle Ihre vorhandenen IAM-Berechtigungen weiterhin wie bisher. Diese AWS verwaltete Richtlinie gewährt keinen Zugriff. Sie können dann eine neue Liste mit RCPs Ablehnungsaussagen erstellen, um den Zugriff auf Ressourcen in Ihrer Organisation zu blockieren.