# SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen
<a name="sec_identities_audit"></a>

 Wenn Sie sich nicht auf temporäre Anmeldeinformationen verlassen können und langfristige Anmeldeinformationen benötigen, prüfen Sie die Anmeldeinformationen, um sicherzustellen, dass die definierten Kontrollen (z. B. Multi-Faktor-Authentifizierung, MFA) erzwungen und regelmäßig rotiert werden sowie über die entsprechende Zugriffsebene verfügen. Eine regelmäßige Validierung, vorzugsweise durch ein automatisiertes Tool, ist erforderlich, um zu überprüfen, ob die richtigen Kontrollen angewendet werden. Für Personenidentitäten sollten Sie festlegen, dass Benutzer ihre Passwörter regelmäßig ändern und anstelle von Zugriffsschlüsseln temporäre Anmeldeinformationen verwenden. Bei der Umstellung von AWS Identity and Access Management-Benutzern (IAM) zu zentralisierten Identitäten können Sie [einen Bericht zu Anmeldeinformationen generieren ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html), um Ihre IAM-Benutzer zu überprüfen. Wir empfehlen außerdem, dass Sie die MFA-Einstellungen in Ihrem Identitätsanbieter erzwingen. Sie können [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) einrichten, um diese Einstellungen zu überwachen. Für Maschinenidentitäten sollten Sie sich auf temporäre Anmeldeinformationen mit IAM-Rollen verlassen. In Situationen, in denen dies nicht möglich ist, ist eine häufige Prüfung und Änderung von Zugriffsschlüsseln erforderlich. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Prüfen Sie Anmeldeinformationen regelmäßig: Verwenden Sie Berichte zu Anmeldeinformationen und Identify and Access Management (IAM) Access Analyzer, um IAM-Anmeldeinformationen und -Berechtigungen zu prüfen. 
  +  [IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) 
  +  [Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) 
  +  [Übung: Automated IAM user cleanup (Automatisierte Bereinigung von IAM-Benutzern)](https://wellarchitectedlabs.com/Security/200_Automated_IAM_User_Cleanup/README.html?ref=wellarchitected-tool) 
+  Verwenden Sie Zugriffsebenen, um IAM-Berechtigungen zu prüfen: Um die Sicherheit Ihres AWS-Konto-Kontos zu erhöhen, sollten Sie Ihre IAM-Richtlinien regelmäßig überprüfen und überwachen. Sorgen Sie dafür, dass mit den Richtlinien Zugriffsrechte nur in dem Umfang erteilt werden, wie sie für die jeweiligen Aktionen erforderlich sind. 
  +  [Überprüfen von IAM-Berechtigungen mithilfe von Zugriffsebenen](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#use-access-levels-to-review-permissions) 
+  Erwägen Sie, die Erstellung und Aktualisierung von IAM-Ressourcen zu automatisieren: Mit AWS CloudFormation kann die Bereitstellung von IAM-Ressourcen einschließlich Rollen und Richtlinien automatisiert werden. So lässt sich die Zahl menschlicher Fehler verringern, da die Vorlagen verifiziert und ihre Versionen kontrolliert werden können. 
  +  [Übung: Automated deployment of IAM groups and roles (Automatisierte Bereitstellung von IAM-Gruppen und -Rollen)](https://wellarchitectedlabs.com/Security/200_Automated_Deployment_of_IAM_Groups_and_Roles/README.html) 

## Ressourcen
<a name="resources"></a>

 **Zugehörige Dokumente:** 
+  [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html) 

 **Relevante Videos:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc)