Bewährte Methoden für Richtlinien Aktualisierungen identitätsbasierter Richtlinien Identitätsbasierte Richtlinie für den administrativen Zugriff Identitätsbasierte Richtlinie für schreibgeschützten Zugriff

Wir stellen vor: ein neues Konsolenerlebnis für AWS WAF

Sie können das aktualisierte Erlebnis jetzt verwenden, um überall in der Konsole auf AWS WAF Funktionen zuzugreifen. Weitere Details finden Sie unter Arbeiten mit der aktualisierten Konsolenerfahrung.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beispiele für identitätsbasierte Richtlinien für AWS Shield Network Security Director

Anmerkung

Wenn Sie mit der Verwendung von AWS Shield Network Security Director beginnen, erstellen wir automatisch eine dienstbezogene Rolle, die alle Mindestanforderungen an Berechtigungen erfüllt. Das Erstellen und Verwalten Ihrer eigenen identitätsbasierten Richtlinien ist optional.

Um den entsprechenden Zugriff auf Network Security Director zu ermöglichen, können Sie identitätsbasierte Richtlinien erstellen, die die erforderlichen Berechtigungen für den administrativen und schreibgeschützten Zugriff gewähren.

Weitere Informationen zum Erstellen und Verwalten von IAM-Richtlinien finden Sie unter Verwaltete Richtlinien und Inline-Richtlinien im IAM-Benutzerhandbuch.

Diese Berechtigungen ermöglichen es dem AWS Shield Network Security Director, umfassende Sicherheitsanalysen durchzuführen und genaue Empfehlungen zur Netzwerksicherheit abzugeben. Die in diesem Handbuch enthaltenen Beispielrichtlinien sind für allgemeine Anwendungsfälle konzipiert. Sie können diese Richtlinien als Ausgangspunkt verwenden und sie nach Bedarf an Ihre spezifischen Anforderungen anpassen.

Beispielrichtlinien in diesem Handbuch

Identitätsbasierte Richtlinie für den administrativen Zugriff
Identitätsbasierte Richtlinie für schreibgeschützten Zugriff

Bewährte Methoden für Richtlinien

Identitätsbasierte Richtlinien legen fest, ob jemand Network Security Director-Ressourcen in Ihrem Konto erstellen, darauf zugreifen oder sie löschen kann. Dies kann zusätzliche Kosten für Ihr verursachen AWS-Konto. Befolgen Sie beim Erstellen oder Bearbeiten identitätsbasierter Richtlinien die folgenden Anleitungen und Empfehlungen:

Erste Schritte mit AWS verwalteten Richtlinien und Umstellung auf Berechtigungen mit den geringsten Rechten — Um Ihren Benutzern und Workloads zunächst Berechtigungen zu gewähren, verwenden Sie die AWS verwalteten Richtlinien, die Berechtigungen für viele gängige Anwendungsfälle gewähren. Sie sind in Ihrem verfügbar. AWS-Konto Wir empfehlen Ihnen, die Berechtigungen weiter zu reduzieren, indem Sie vom AWS Kunden verwaltete Richtlinien definieren, die speziell auf Ihre Anwendungsfälle zugeschnitten sind. Weitere Informationen finden Sie unter AWS -verwaltete Richtlinien oder AWS -verwaltete Richtlinien für Auftrags-Funktionen im IAM-Benutzerhandbuch.
Anwendung von Berechtigungen mit den geringsten Rechten – Wenn Sie mit IAM-Richtlinien Berechtigungen festlegen, gewähren Sie nur die Berechtigungen, die für die Durchführung einer Aufgabe erforderlich sind. Sie tun dies, indem Sie die Aktionen definieren, die für bestimmte Ressourcen unter bestimmten Bedingungen durchgeführt werden können, auch bekannt als die geringsten Berechtigungen. Weitere Informationen zur Verwendung von IAM zum Anwenden von Berechtigungen finden Sie unter Richtlinien und Berechtigungen in IAM im IAM-Benutzerhandbuch.
Verwenden von Bedingungen in IAM-Richtlinien zur weiteren Einschränkung des Zugriffs – Sie können Ihren Richtlinien eine Bedingung hinzufügen, um den Zugriff auf Aktionen und Ressourcen zu beschränken. Sie können beispielsweise eine Richtlinienbedingung schreiben, um festzulegen, dass alle Anforderungen mithilfe von SSL gesendet werden müssen. Sie können auch Bedingungen verwenden, um Zugriff auf Serviceaktionen zu gewähren, wenn diese für einen bestimmten Zweck verwendet werden AWS-Service, z. AWS CloudFormation B. Weitere Informationen finden Sie unter IAM-JSON-Richtlinienelemente: Bedingung im IAM-Benutzerhandbuch.
Verwenden von IAM Access Analyzer zur Validierung Ihrer IAM-Richtlinien, um sichere und funktionale Berechtigungen zu gewährleisten – IAM Access Analyzer validiert neue und vorhandene Richtlinien, damit die Richtlinien der IAM-Richtliniensprache (JSON) und den bewährten IAM-Methoden entsprechen. IAM Access Analyzer stellt mehr als 100 Richtlinienprüfungen und umsetzbare Empfehlungen zur Verfügung, damit Sie sichere und funktionale Richtlinien erstellen können. Weitere Informationen finden Sie unter Richtlinienvalidierung mit IAM Access Analyzer im IAM-Benutzerhandbuch.
Multi-Faktor-Authentifizierung (MFA) erforderlich — Wenn Sie ein Szenario haben, das IAM-Benutzer oder einen Root-Benutzer in Ihrem System erfordert AWS-Konto, aktivieren Sie MFA für zusätzliche Sicherheit. Um MFA beim Aufrufen von API-Vorgängen anzufordern, fügen Sie Ihren Richtlinien MFA-Bedingungen hinzu. Weitere Informationen finden Sie unter Sicherer API-Zugriff mit MFA im IAM-Benutzerhandbuch.

Weitere Informationen zu bewährten Methoden in IAM finden Sie unter Bewährte Methoden für die Sicherheit in IAM im IAM-Benutzerhandbuch.

Aktualisierungen identitätsbasierter Richtlinien

Wenn Network Security Director um Updates und Funktionen erweitert wird, müssen Sie möglicherweise Ihre identitätsbasierten Richtlinien aktualisieren, um zusätzliche Berechtigungen einzubeziehen. In diesem Handbuch finden Sie Informationen zu neuen Berechtigungen, die möglicherweise erforderlich sind.

Im Gegensatz zu AWS verwalteten Richtlinien werden vom Kunden verwaltete Richtlinien nicht automatisch aktualisiert. Sie sind dafür verantwortlich, diese Richtlinien bei Bedarf aufrechtzuerhalten und zu aktualisieren.

Weitere Informationen finden Sie unter Hinzufügen von Berechtigungen zu einem Benutzer im IAM-Benutzerhandbuch.

Identitätsbasierte Richtlinie für den administrativen Zugriff

Erstellen Sie anhand des folgenden Beispiels eine identitätsbasierte Richtlinie, um vollen administrativen Zugriff auf die Vorgänge des Network Security Directors zu gewähren und die erforderliche dienstbezogene Rolle zu erstellen.

Name der Richtlinie: NetworkSecurityDirectorAdminPolicy

Beschreibung der Richtlinie: Ermöglicht vollen Administratorzugriff auf die Vorgänge des AWS Shield Network Security Directors und ermöglicht außerdem das Erstellen oder Löschen der dienstbezogenen Rolle für Network Security Director.



 {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-secusrity-director:*"
       ],
       "Resource": "*"
     },
     {
       "Effect": "Allow",
       "Action": [
         "iam:CreateServiceLinkedRole"
       ],
       "Resource": "arn:aws:iam::*:role/aws-service-role/network-security-director.amazonaws.com/AWSServiceRoleForNetworkSecurityDirector"
     }
   ]
 }

Identitätsbasierte Richtlinie für schreibgeschützten Zugriff

Erstellen Sie eine identitätsbasierte Richtlinie mit dem folgenden Richtlinienbeispiel, um schreibgeschützten Zugriff auf Network Security Director-Operationen zu gewähren.

Name der Richtlinie: NetworkSecurityDirectorReadOnlyPolicy

Beschreibung der Richtlinie: Ermöglicht den schreibgeschützten Zugriff auf AWS Shield Network Security Director.



 {
   "Version": "2012-10-17",
   "Statement": [
     {
       "Effect": "Allow",
       "Action": [
         "network-security-director:Get*",
         "network-security-director:List*"
       ],
       "Resource": "*"
     }
   ]
 }

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Identitäts- und Zugriffsverwaltung

Verwenden von serviceverknüpften Rollen