SEC03-BP07 Analysieren des öffentlichen und kontoübergreifenden Zugriffs

Überwachen Sie kontinuierlich Ergebnisse, die den öffentlichen und kontoübergreifenden Zugriff betreffen. Beschränken Sie den öffentlichen und kontoübergreifenden Zugriff ausschließlich auf Ressourcen, die diese Art von Zugriff benötigen.

Typische Anti-Muster:

Fehlen eines Prozesses für die Kontrolle des kontoübergreifenden und öffentlichen Zugriffs auf Ressourcen

Risikostufe, wenn diese bewährte Methode nicht genutzt wird: Niedrig

Implementierungsleitfaden

In AWS können Sie Zugriff auf Ressourcen in einem anderen Konto gewähren. Sie gewähren direkten kontoübergreifenden Zugriff über an Ressourcen angefügte Richtlinien (zum Beispiel Amazon Simple Storage Service (Amazon S3)-Bucket-Richtlinien) oder indem Sie zulassen, dass eine Identität eine IAM-Rolle in einem anderen Konto annimmt. Prüfen Sie bei der Verwendung von Ressourcenrichtlinien, dass der Zugriff Identitäten in Ihrer Organisation gewährt wird und dass Sie die Ressourcen wirklich öffentlich machen wollen. Definieren Sie einen Prozess für die Genehmigung aller Ressourcen, die öffentlich verfügbar sein müssen.

IAM Access Analyzer verwendet nachweisbare Sicherheit , um alle Zugriffspfade zu einer Ressource von außerhalb ihres Kontos zu identifizieren. Dieser Service überprüft Ressourcenrichtlinien kontinuierlich und meldet Ergebnisse des öffentlichen und kontoübergreifenden Zugriffs, um Ihnen die Analyse potenziell umfassender Zugriffe zu erleichtern. Ziehen Sie die Konfiguration von IAM Access Analyzer mit AWS Organizations in Betracht, um Transparenz für alle Ihre Konten zu gewährleisten. IAM Access Analyzer ermöglicht Ihnen auch die Voranzeige von Access-Analyzer-Ergebnissen, bevor Sie Ressourcenberechtigungen bereitstellen. So können Sie sicherstellen, dass mit den Richtlinienänderungen nur der beabsichtigte öffentliche und kontoübergreifende Zugriff auf Ihre Ressourcen gewährt wird. Bei der Arbeit für den Mehrkonten-Zugriff können Sie Vertrauensrichtlinien verwenden, um zu steuern, in welchen Fällen eine Rolle angenommen werden kann. So könnten Sie beispielsweise die Annahme von Rollen auf einen bestimmten Quell-IP-Bereich einschränken.

Sie können auch AWS Config verwenden, um Ressourcen für versehentliche Konfigurationen mit öffentlichem Zugriff durch AWS Config-Richtlinienprüfungen zu melden und zu korrigieren. Services wie AWS Control Tower und AWS Security Hub vereinfachen die Bereitstellung von Prüfungen und Integritätsschutz über eine AWS Organizations hinweg, um öffentlich zugängliche Ressourcen zu identifizieren und zu korrigieren. Beispielsweise verfügt AWS Control Tower über verwalteten Integritätsschutz, der erkennen kann, ob Amazon EBS-Snapshots von allen AWS-Konten wiederhergestellt werden können.

Ressourcen

Zugehörige Dokumente:

Zugehörige Videos:

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus

SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen