# SEC 2. Was ist bei der Verwaltung der Authentifizierung für Personen und Rechner zu beachten?
<a name="sec-02"></a>

 Beim Betrieb sicherer AWS-Workloads gibt es zwei Arten von Identitäten, die Sie verwalten müssen. Wenn Sie verstehen, welche Arten von Identitäten Sie verwalten und Zugriff gewähren müssen, können Sie sicherstellen, dass die richtigen Identitäten unter den richtigen Bedingungen Zugriff auf die richtigen Ressourcen haben. 

Menschliche Identitäten: Ihre Administratoren, Entwickler, Bediener und Endbenutzer benötigen eine Identität für den Zugriff auf Ihre AWS-Umgebungen und -Anwendungen. Dies sind Mitglieder Ihrer Organisation oder externe Benutzer, mit denen Sie zusammenarbeiten, und die mit Ihren AWS-Ressourcen über einen Webbrowser, eine Client-Anwendung oder interaktive Befehlszeilen-Tools interagieren. 

Maschinenidentitäten: Ihre Service-Anwendungen, betrieblichen Tools und Workloads benötigen eine Identität, um Anforderungen an AWS-Services zu stellen, z. B. um Daten zu lesen. Zu diesen Identitäten gehören Maschinen, die in Ihrer AWS-Umgebung ausgeführt werden, z. B. Amazon EC2-Instances oder AWS Lambda-Funktionen. Sie können auch Maschinenidentitäten für externe Parteien verwalten, die Zugriff benötigen. Darüber hinaus verfügen Sie möglicherweise auch über Maschinen außerhalb von AWS, die Zugriff auf Ihre AWS-Umgebung benötigen. 

**Topics**
+ [SEC02-BP01 Verwenden von starken Anmeldemechanismen](sec_identities_enforce_mechanisms.md)
+ [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](sec_identities_unique.md)
+ [SEC02-BP03 Sicheres Speichern und Verwenden von Secrets](sec_identities_secrets.md)
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md)
+ [SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen](sec_identities_audit.md)
+ [SEC02-BP06 Nutzen von Benutzergruppen und Attributen](sec_identities_groups_attributes.md)

# SEC02-BP01 Verwenden von starken Anmeldemechanismen
<a name="sec_identities_enforce_mechanisms"></a>

Anmeldungen (die Authentifizierung unter Verwendung von Anmeldeinformationen) kann risikobehaftet sein, wenn nicht Mechanismen wie die Multi-Faktor-Authentifizierung (MFA) verwendet werden, besonders in Situationen, in denen Anmeldeinformationen unbeabsichtigt offengelegt wurden oder leicht zu erraten sind. Verwenden Sie starke Anmeldemechanismen in Form von MFA und Richtlinien für sichere Passwörter, um diese Risiken zu reduzieren. 

 **Gewünschtes Ergebnis:** Senkung des Risikos unbeabsichtigter Zugriffe auf Anmeldeinformationen in AWS durch die Verwendung starker Anmeldemechanismen für [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)-Benutzer, den [Root-Benutzer des AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html), [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) (Nachfolger von AWS Single Sign-On) und externe Identitätsanbieter. Dies bedeutet das Erfordern von MFA, das Durchsetzen von Richtlinien zur Verwendung starker Passwörter und das Erkennen anomaler Anmeldeverhaltensweisen. 

 **Typische Anti-Muster:** 
+  keine Durchsetzung einer Richtlinie zur Verwendung starker Passwörter für Ihre Identitäten, einschließlich komplexer Passwörter und MFA. 
+  gemeinsame Nutzung derselben Anmeldeinformationen durch mehrere Benutzer. 
+  keine Verwendung von Kontrollmechanismen für verdächtige Anmeldevorgänge. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Es gibt viele Möglichkeiten zur Anmeldung für menschliche Identitäten bei AWS. Eine bewährte AWS-Methode besteht darin, einen zentralisierten Identitätsanbieter mit Verbundverfahren (direkter Verbund oder unter Verwendung von AWS IAM Identity Center) für die Authentifizierung bei AWS zu verwenden. In diesem Fall sollten Sie einen sicheren Anmeldeprozess mit Ihrem Identitätsanbieter oder Microsoft Active Directory einrichten. 

 Wenn Sie ein AWS-Konto zum ersten Mal einrichten, beginnen Sie mit einem Root-Benutzer für das AWS-Konto. Sie sollten den Root-Benutzer des Kontos nur zur Einrichtung des Zugriffs für Ihre Benutzer (und für [Aufgaben, die den Root-Benutzer erfordern](https://docs.aws.amazon.com/accounts/latest/reference/root-user-tasks.html)) verwenden. Es ist wichtig, MFA für den Root-Benutzer des Kontos sofort nach der Einrichtung Ihres AWS-Konto zu aktivieren, und den Root-Benutzer anhand der [Anleitung zu bewährten Methoden](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_aws_account.html) von AWS zu schützen. 

 Wenn Sie in AWS IAM Identity Center Benutzer erstellen, dann sollten Sie auch den Anmeldeprozess in diesem Service schützen. Für Verbraucheridentitäten können Sie [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/index.html) verwenden und den Anmeldeprozess in diesem Service schützen oder indem Sie einen der von Amazon Cognito user pools unterstützten Identitätsanbieter verwenden. 

 Wenn Sie [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/)-Benutzer verwenden, schützen Sie den Anmeldeprozess mit IAM. 

 Unabhängig vom Anmeldeverfahren ist es wichtig, eine strenge Anmelderichtlinie durchzusetzen. 

 **Implementierungsschritte** 

 Es folgen allgemeine Empfehlungen für starke Anmeldeverfahren. Die tatsächlich konfigurierten Einstellungen sollten von Ihrer Unternehmensrichtlinie oder von einem Standard wie [NIST 800-63](https://pages.nist.gov/800-63-3/sp800-63b.html) vorgegeben werden. 
+  Setzen Sie MFA voraus. Ein bewährtes [IAM-Verfahren besteht darin, MFA](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html#enable-mfa-for-privileged-users) für menschliche Identitäten und Workloads vorauszusetzen. Die Aktivierung von MFA bietet eine zusätzliche Sicherheitsebene, die verlangt, dass Benutzer Anmeldeinformationen und ein Einmalpasswort (OTP) oder eine kryptographisch verifizierte und generierte Zeichenfolge von einem Hardware-Gerät vorlegen. 
+  Verlangen Sie eine Mindestlänge für Passwörter als primären Faktor für die Passwortstärke. 
+  Verlangen Sie Passwortkomplexität, um das Erraten von Passwörtern zu erschweren. 
+  Erlauben Sie Benutzern, Ihr eigenes Passwort zu ändern. 
+  Erstellen Sie individuelle Identitäten anstelle gemeinsam genutzter Anmeldeinformationen. Durch das Erstellen individueller Identitäten können Sie jedem Benutzer einen einmaligen Satz mit Sicherheitsanmeldeinformationen zuweisen. Individuelle Benutzer bieten die Möglichkeit, die Aktivität der einzelnen Benutzer zu prüfen. 

 Empfehlungen für IAM Identity Center: 
+  Bei Verwendung des Standardverzeichnisses bietet IAM Identity Center eine vordefinierte [Passwortrichtlinie](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html), die die Passwortlänge, -komplexität und die Anforderungen im Zusammenhang mit der erneuten Verwendung festlegt. 
+  [Aktivieren Sie MFA](https://docs.aws.amazon.com/singlesignon/latest/userguide/mfa-enable-how-to.html) und konfigurieren Sie die kontextsensitive oder ständig aktive Einstellung für MFA, wenn die Identitätsquelle das Standardverzeichnis, AWS Managed Microsoft AD oder AD Connector ist. 
+  Erlauben Sie Benutzern die [Registrierung ihrer eigenen MFA-Geräte](https://docs.aws.amazon.com/singlesignon/latest/userguide/how-to-allow-user-registration.html). 

 Verzeichnisempfehlungen für Amazon Cognito user pools: 
+  Konfigurieren Sie die Einstellungen für die [Passwortstärke](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html). 
+  [Verlangen Sie MFA](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-mfa.html) für Benutzer. 
+  Verwenden Sie die erweiterten [Sicherheitseinstellungen](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-advanced-security.html) von Amazon Cognito user pools für Funktionen wie die [adaptive Authentifizierung](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-pool-settings-adaptive-authentication.html), die verdächtige Anmeldeversuche blockieren können. 

 IAM-Benutzerempfehlungen: 
+  Idealerweise verwenden Sie IAM Identity Center oder den direkten Verbund. Möglicherweise benötigen Sie aber auch IAM-Benutzer. Richten Sie in diesem Fall [eine Passwortrichtlinie](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html) für IAM-Benutzer ein. Sie können die Passwortrichtlinie verwenden, um Anforderungen wie Mindestlänge zu definieren oder ob das Passwort nicht-alphanumerische Zeichen beinhalten sollte. 
+  Erstellen Sie eine IAM-Richtlinie, um die [MFA-Anmeldung zu erzwingen](https://docs.aws.amazon.com/IAM/latest/UserGuide/tutorial_users-self-manage-mfa-and-creds.html#tutorial_mfa_step1), damit Benutzer ihre eigenen Passwörter und MFA-Geräte verwalten können. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC02-BP03 Sicheres Speichern und Verwenden von Secrets](sec_identities_secrets.md) 
+  [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md) 
+  [SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation](sec_permissions_share_securely.md) 

 **Zugehörige Dokumente:** 
+ [AWS IAM Identity Center (successor to AWS Single Sign-On) Password Policy ](https://docs.aws.amazon.com/singlesignon/latest/userguide/password-requirements.html) (Passwortrichtlinie von AWS IAM Identity Center (Nachfolger von AWS Singe Sign-On))
+ [ IAM-Benutzer-Passwortrichtlinie ](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_account-policy.html)
+ [ Setting the AWS-Konto root user password](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) (Einrichten des Root-Benutzerpassworts für das AWS-Konto)
+ [ Amazon Cognito-Passwortrichtlinie ](https://docs.aws.amazon.com/cognito/latest/developerguide/user-pool-settings-policies.html)
+ [AWS-Anmeldeinformationen](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html)
+ [Bewährte Methoden für die Sicherheit in IAM ](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html)

 **Zugehörige Videos:** 
+  [Managing user permissions at scale with AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) (Beherrschen der Identität auf jeder Ebene) 

# SEC02-BP02 Verwenden von temporären Anmeldeinformationen
<a name="sec_identities_unique"></a>

 Bei Authentifizierungen jeder Art, sollten am besten temporäre anstelle langfristiger Anmeldeinformationen verwendet werden, um Risiken zu reduzieren oder zu eliminieren, etwa durch die unbeabsichtigte Offenlegung, die Weitergabe oder den Diebstahl von Anmeldeinformationen. 

**Gewünschtes Ergebnis:** Senkung des Risikos im Zusammenhang mit langfristigen Anmeldeinformationen durch die Verwendung temporärer Anmeldeinformationen, wo immer dies für menschliche und maschinelle Identitäten möglich ist. Langfristige Anmeldeinformationen sind mit vielen Risiken verbunden, so kann es beispielsweise vorkommen, dass sie in Code in öffentliche GitHub-Repositorys hochgeladen werden. Durch die Verwendung temporärer Anmeldeinformationen können Sie die Gefahr der Kompromittierung von Anmeldeinformationen deutlich senken. 

**Typische Anti-Muster:**
+  Entwickler verwenden langfristige Zugriffsschlüssel von IAM users, anstatt sich temporäre Anmeldeinformationen per Verbund von der CLI zu beschaffen. 
+  Entwickler betten langfristige Zugriffsschlüssel in ihren Code ein und laden diese in öffentliche Git-Repositorys hoch. 
+  Entwickler betten langfristige Zugriffsschlüssel in Mobil-Apps ein, die dann in App-Stores verfügbar gemacht werden. 
+  Benutzer geben langfristige Zugriffsschlüssel an andere Benutzer weiter, oder Mitarbeiter verlassen das Unternehmen und besitzen weiterhin langfristige Zugriffsschlüssel. 
+  Verwendung langfristiger Zugriffsschlüssel für Maschinenidentitäten, obwohl temporäre Anmeldeinformationen verwendet werden könnten. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Verwenden Sie temporäre anstelle langfristiger Anmeldeinformationen für alle AWS-API- und ‑CLI-Anfragen. API- und CLI-Anfragen an AWS müssen in fast jedem Fall mit [AWS-Zugriffsschlüsseln](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html) signiert werden. Diese Anfragen können mit temporären oder langfristigen Anmeldeinformationen signiert werden. Sie sollten langfristige Anmeldeinformationen (bzw. Zugriffsschlüssel) nur nutzen, wenn Sie einen [IAM-Benutzer](https://docs.aws.amazon.com//latest/UserGuide/id_users.html) oder den [Root-Benutzer des AWS-Konto](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html) verwenden. Wenn Sie einen Verbund mit AWS nutzen oder eine [IAM-Rolle](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html) über andere Methoden annehmen, werden temporäre Anmeldeinformationen generiert. Selbst wenn Sie mit Anmeldeinformationen auf die AWS-Managementkonsole zugreifen, werden für Sie temporäre Anmeldeinformationen für Aufrufe von AWS-Services generiert. Es gibt nur wenige Situationen, in denen Sie langfristige Anmeldeinformationen benötigen, und fast alle Aufgaben lassen sich mit temporären Anmeldeinformationen erledigen. 

 Das Vermeiden der Verwendung langfristiger zugunsten temporärer Anmeldeinformationen sollte von einer Strategie zur Reduzierung der Verwendung von IAM-Benutzern gegenüber Verbundverfahren und IAM-Rollen begleitet werden. Zwar wurden früher IAM-Benutzer für menschliche und maschinelle Identitäten verwendet, wir empfehlen heute jedoch, dies nicht mehr zu tun, um die mit der Verwendung langfristiger Zugriffsschlüssel verbundenen Risiken auszuschalten. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 Für menschliche Identitäten wie Mitarbeiter, Administratoren, Entwickler, Bediener und Kunden: 
+  Sie sollten [einen zentralisierten Identitätsanbieter nutzen](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_identity_provider.html) und [von menschlichen Benutzern die Verwendung von Verbundverfahren mit einem Identitätsanbieter verlangen, damit mit temporären Anmeldeinformationen auf AWS zugegriffen wird](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-users-federation-idp). Ein Verbund für Ihre Benutzer kann per [direktem Verbund zu jedem AWS-Konto](https://aws.amazon.com/identity/federation/) oder mit [AWSIAM Identity Center (Nachfolger von AWS IAM Identity Center)](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html) und dem Identitätsanbieter Ihrer Wahl erreicht werden. Ein Verbund bietet eine Reihe von Vorteilen gegenüber der Verwendung von IAM-Benutzern und eliminiert langfristige Anmeldeinformationen. Ihre Benutzer können auch temporäre Anmeldeinformationen aus der Befehlszeile für einen [direkten Verbund](https://aws.amazon.com/blogs/security/how-to-implement-federated-api-and-cli-access-using-saml-2-0-and-ad-fs/) oder mit [IAM Identity Center](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) anfordern. Dies bedeutet, dass es nur wenige Anwendungsfälle gibt, für die IAM-Benutzer oder langfristige Anmeldeinformationen für Ihre Benutzer erforderlich sind.  
+  Wenn Dritten, wie beispielsweise Anbietern von Software as a Service (SaaS), der Zugriff auf Ressourcen in Ihrem AWS-Konto gewährt wird, können Sie [kontoübergreifende Rollen](https://docs.aws.amazon.com//latest/UserGuide/tutorial_cross-account-with-roles.html) und [ressourcenbasierende Richtlinien](https://docs.aws.amazon.com//latest/UserGuide/access_policies_identity-vs-resource.html) verwenden. 
+  Wenn Sie Verbraucheranwendungen oder Kunden Zugriff auf Ihre AWS-Ressourcen gewähren müssen, können Sie [Amazon Cognito-Identitätspools](https://docs.aws.amazon.com/cognito/latest/developerguide/identity-pools.html) oder [Amazon Cognito user pools](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html) verwenden, um temporäre Anmeldeinformationen bereitzustellen. Die Berechtigungen für die Anmeldeinformationen werden über IAM-Rollen konfiguriert. Sie können auch eine separate IAM-Rolle mit eingeschränkten Berechtigungen für Gastbenutzer definieren, die nicht authentifiziert sind. 

 Für Maschinenidentitäten müssen Sie möglicherweise langfristige Anmeldeinformationen verwenden. In solchen Fällen sollten Sie [verlangen, dass Workloads temporäre Anmeldeinformationen mit IAM-Rollen zum Zugriff auf AWS verwenden](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#bp-workloads-use-roles). 
+  Für [Amazon Elastic Compute Cloud](https://aws.amazon.com/pm/ec2/) (Amazon EC2) können Sie [Rollen für Amazon EC2](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html) verwenden. 
+  [AWS Lambda](https://aws.amazon.com/lambda/) ermöglicht die Konfiguration einer [Lambda-Ausführungsrolle, um dem Service Berechtigungen](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) zum Ausführen von AWS-Aktionen unter Verwendung temporärer Anmeldeinformationen zu erteilen. Es gibt zahlreiche ähnliche Modelle für AWS-Services zum Gewähren temporärer Anmeldeinformationen mit IAM-Rollen. 
+  Für IoT-Geräte können Sie den [Anmeldeinformationenanbieter von AWS IoT Core](https://docs.aws.amazon.com/iot/latest/developerguide/authorizing-direct-aws.html) zur Anfrage nach temporären Anmeldeinformationen verwenden. 
+  Für On-Premises-Systeme oder außerhalb von AWS ausgeführte Systeme, die Zugriff auf AWS-Ressourcen benötigen, können Sie [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) verwenden. 

 Es gibt Szenarien, in denen temporäre Anmeldeinformationen nicht in Frage kommen und stattdessen langfristige Anmeldeinformationen verwendet werden müssen. In solchen Fällen sollten Sie [die Anmeldeinformationen regelmäßig prüfen und rotieren](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/sec_identities_audit.html) sowie die [Zugriffsschlüssel für Anwendungsfälle, die langfristige Anmeldeinformationen erfordern, regelmäßig wechseln.](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html#rotate-credentials) Beispiele, bei denen langfristige Anmeldeinformationen erforderlich sind, sind etwa WordPress-Plugins und AWS-Clients von Drittanbietern. In Situationen, die langfristige Anmeldeinformationen erfordern, oder für andere Anmeldeinformationen als AWS-Zugriffsschlüssel, wie z. B. Datenbankanmeldungen, können Sie einen Service verwenden, der für die Verwaltung von Secrets gedacht ist, wie etwa [AWS Secrets Manager](https://aws.amazon.com/secrets-manager/). Secrets Manager erleichtert die Verwaltung, das Rotieren und die Speicherung verschlüsselter Secrets unter Verwendung [unterstützter Services](https://docs.aws.amazon.com/secretsmanager/latest/userguide/integrating.html). Weitere Informationen zur Rotation langfristiger Anmeldeinformationen finden Sie unter [Rotation von Zugriffsschlüsseln](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey). 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+ [SEC02-BP03 Sicheres Speichern und Verwenden von Secrets](sec_identities_secrets.md) 
+ [SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter](sec_identities_identity_provider.md) 
+ [SEC03-BP08 Sicheres gemeinsames Nutzen von Ressourcen in Ihrer Organisation](sec_permissions_share_securely.md) 

 **Zugehörige Dokumente:** 
+  [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html) 
+  [AWS-Anmeldeinformationen](https://docs.aws.amazon.com/general/latest/gr/aws-sec-cred-types.html) 
+  [Bewährte Methoden für die Sicherheit in IAM](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html) 
+  [IAM-Rollen](https://docs.aws.amazon.com//latest/UserGuide/id_roles.html) 
+  [IAM Identity Center](https://aws.amazon.com/iam/identity-center/) 
+  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html) 
+  [Rotieren der Zugriffsschlüssel](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey) 
+  [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Der Root-Benutzer des AWS-Kontos](https://docs.aws.amazon.com//latest/UserGuide/id_root-user.html) 

 **Zugehörige Videos:** 
+  [Managing user permissions at scale with AWS IAM Identity Center (successor to AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E) (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center (Nachfolger von AWS IAM Identity Center)) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) (Beherrschen der Identität auf jeder Ebene) 

# SEC02-BP03 Sicheres Speichern und Verwenden von Secrets
<a name="sec_identities_secrets"></a>

 Ein Workload muss seine Identität automatisch gegenüber Datenbanken, Ressourcen und Services von Drittanbietern authentifizieren können. Dazu dienen geheime Zugriffsanmeldeinformationen wie etwa API-Zugriffsschlüssel, Passwörter und OAuth-Tokens. Die Verwendung eines dedizierten Services zur Speicherung, Verwaltung und Rotation der Anmeldeinformationen hilft dabei, die Gefahr der Kompromittierung dieser Anmeldeinformationen zu verringern. 

**Gewünschtes Ergebnis:** Implementierung eines Mechanismus für die sichere Verwaltung von Anwendungsanmeldeinformationen, der die folgenden Ziele erreicht: 
+  Identifikation der für den Workload erforderlichen Secrets 
+  Reduzierung der Anzahl der erforderlichen langfristigen Anmeldeinformationen durch ihren Austausch gegen kurzfristige Anmeldeinformationen, wo dies möglich ist 
+  Einrichtung der sicheren Speicherung und der automatischen Rotation der verbleibenden langfristigen Anmeldeinformationen 
+  Überwachung des Zugriffs auf in dem Workload vorhandene Secrets 
+  Kontinuierliche Überwachung, um sicherzustellen, dass im Rahmen des Entwicklungsprozesses keine Secrets in den Quellcode eingebettet werden 
+  Reduzieren der Gefahr unbeabsichtigter Offenlegungen von Anmeldeinformationen 

**Typische Anti-Muster:**
+  keine rotierenden Anmeldeinformationen 
+  Speichern langfristiger Anmeldeinformationen in Quellcode oder Konfigurationsdateien 
+  Speichern von Anmeldeinformationen im Ruhezustand ohne Verschlüsselung 

 **Vorteile der Nutzung dieser bewährten Methode:**
+  Secrets werden im Ruhezustand und in Übertragung verschlüsselt gespeichert. 
+  Organisation des Zugriffs auf Anmeldeinformationen über eine API (vorstellbar als *Automat für Anmeldeinformationen*) 
+  Prüfung und Protokollierung des Zugriffs (Lese- und Schreibzugriff) auf Anmeldeinformationen 
+  Trennung möglicher Problemquellen: Die Rotation der Anmeldeinformationen wird von einer separaten Komponente vorgenommen, die vom Rest der Architektur isoliert werden kann. 
+  Secrets werden automatisch bei Bedarf an Softwarekomponenten verteilt und die Rotation erfolgt an einem zentralen Ort. 
+  Der Zugriff auf Anmeldeinformationen kann detailliert kontrolliert werden. 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Früher wurden Anmeldeinformationen für die Authentifizierung bei Datenbanken, APIs von Dritten, Tokens und andere Secrets möglicherweise in eingebettetem Quellcode oder in Umgebungsdateien gespeichert. AWS bietet mehrere Mechanismen, um diese Anmeldeinformationen sicher zu speichern, sie automatisch zu rotieren und ihre Verwendung zu prüfen. 

 Das beste Verfahren für die Verwaltung von Secrets besteht besteht darin, den Anweisungen zum Entfernen, Ersetzen und Rotieren zu folgen. Die sichersten Anmeldeinformationen sind diejenigen, die Sie nicht speichern, verwalten oder handhaben müssen. Möglicherweise gibt es Anmeldeinformationen, die für die Funktion des Workloads nicht mehr benötigt werden und sicher entfernt werden können. 

 Bei Anmeldeinformationen, die für die korrekte Funktion des Workloads weiterhin benötigt werden, besteht die Möglichkeit, langfristige Anmeldeinformationen durch temporäre oder kurzfristige zu ersetzen. So könnten Sie beispielsweise anstelle der Hartkodierung eines geheimen AWS-Zugriffsschlüssels diese langfristige Anmeldeinformation durch eine temporäre unter Verwendung von IAM-Rollen ersetzen. 

 Manche langfristigen Secrets können möglicherweise nicht entfernt oder ersetzt werden. Diese Secrets können in einem Service wie [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) gespeichert werden, wo sie zentral aufbewahrt, verwaltet und regelmäßig rotiert werden. 

 Eine Prüfung des Quellcodes und der Konfigurationsdateien des Workloads kann verschiedene Arten von Anmeldeinformationen zutage fördern. Die folgende Tabelle fasst Strategien für den Umgang mit verbreiteten Arten von Anmeldeinformationen zusammen: 


|  Credential type  |  Description  |  Suggested strategy  | 
| --- | --- | --- | 
|  IAM access keys  |  AWS IAM access and secret keys used to assume IAM roles inside of a workload  |  Replace: Use [IAM-Rollen](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios.html) assigned to the compute instances (such as [Amazon EC2](https://docs.aws.amazon.com//latest/UserGuide/id_roles_use_switch-role-ec2.html) or [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html)) instead. For interoperability with third parties that require access to resources in your AWS-Konto, ask if they support [Kontoübergreifender AWS-Zugriff](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios_third-party.html). For mobile apps, consider using temporary credentials through [Amazon Cognito-Identitätspools (Verbundidentitäten)](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-identity.html). For workloads running outside of AWS, consider [IAM Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html) or [AWS Systems Manager Hybride Aktivierungen](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html).  | 
|  SSH keys  |  Secure Shell private keys used to log into Linux EC2 instances, manually or as part of an automated process  |  Replace: Use [AWS Systems Manager](https://aws.amazon.com/blogs/mt/vr-beneficios-session-manager/) or [EC2 Instance Connect](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Connect-using-EC2-Instance-Connect.html) to provide programmatic and human access to EC2 instances using IAM roles.  | 
|  Application and database credentials  |  Passwords – plain text string  |  Rotate: Store credentials in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and establish automated rotation if possible.  | 
|  Amazon RDS and Aurora Admin Database credentials  |  Passwords – plain text string  |  Replace: Use the [Secrets Manager-Integration mit Amazon RDS](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html) or [Amazon Aurora](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/rds-secrets-manager.html). In addition, some RDS database types can use IAM roles instead of passwords for some use cases (for more detail, see [IAM-Datenbankauthentifizierung](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/UsingWithRDS.DBAuth.html)).  | 
|  OAuth tokens  |  Secret tokens – plain text string  |  Rotate: Store tokens in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and configure automated rotation.  | 
|  API tokens and keys  |  Secret tokens – plain text string  |  Rotate: Store in [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) and establish automated rotation if possible.  | 

 Ein typisches Anti-Muster ist die Einbettung von IAM-Zugriffsschlüsseln in Quellcode, Konfigurationsdateien oder Mobil-Apps. Wenn ein IAM-Zugriffsschlüssel für die Kommunikation mit einem AWS-Service erforderlich ist, verwenden Sie [temporäre (kurzfristige) Sicherheitsanmeldeinformationen](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html). Diese kurzfristigen Anmeldeinformationen können über [IAM-Rollen für EC2](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/iam-roles-for-amazon-ec2.html)-Instances, [Ausführungsrollen](https://docs.aws.amazon.com/lambda/latest/dg/lambda-intro-execution-role.html) für Lambda-Funktionen, [Cognito-IAM-Rollen](https://docs.aws.amazon.com/cognito/latest/developerguide/iam-roles.html) für den mobilen Benutzerzugriff und [IoT-Core-Richtlinien](https://docs.aws.amazon.com/iot/latest/developerguide/iot-policies.html) für IoT-Geräte bereitgestellt werden. Bei Verbindungen mit Drittparteien sollten Sie [den Zugriff lieber über eine IAM-Rolle](https://docs.aws.amazon.com//latest/UserGuide/id_roles_common-scenarios_third-party.html) mit dem erforderlichen Zugriff auf die Ressourcen Ihres Kontos delegieren, anstatt einen IAM-Benutzer zu konfigurieren und der Drittpartei den geheimen Zugriffsschlüssel für diesen Benutzer zuzusenden. 

 Es gibt viele Fälle, in denen der Workload die Speicherung von Secrets erfordert, um mit anderen Services und Ressourcen zusammenwirken zu können. [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html) wurde speziell entwickelt, um solche Anmeldeinformationen sowie die Speicherung, Verwendung und Rotation von API-Tokens, Passwörtern und anderer Anmeldeinformationen sicher zu handhaben. 

 AWS Secrets Manager bietet fünf entscheidende Funktionen, die für die sichere Speicherung und Handhabung sensitiver Anmeldeinformationen sorgen: [Verschlüsselung im Ruhezustand](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html), [Verschlüsselung in Übertragung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/data-protection.html), [Umfassende Prüfungen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html), [detaillierte Zugriffssteuerung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/auth-and-access.html) und [erweiterbare Rotation von Anmeldeinformationen](https://docs.aws.amazon.com/secretsmanager/latest/userguide/rotating-secrets.html). Andere Secret-Managementservices von AWS-Partnern oder lokal entwickelte Lösungen mit ähnlichen Funktionen und Sicherungen sind ebenfalls akzeptabel. 

### Implementierungsschritte
<a name="implementation-steps"></a>

1.  Identifizieren Sie Code-Pfade mit hartkodierten Anmeldeinformationen mithilfe automatisierter Tools wie etwa [Amazon CodeGuru](https://aws.amazon.com/codeguru/features/). 
   +  Scannen Sie Ihre Code-Repositorys mit Amazon CodeGuru. Sobald die Prüfung abgeschlossen ist, filtern sie nach `Type=Secrets` in CodeGuru, um problematische Codezeilen zu finden. 

1.  Identifizieren Sie Anmeldeinformationen, die entfernt oder ersetzt werden können. 

   1.  Identifizieren Sie Anmeldeinformationen, die nicht mehr benötigt werden, und markieren Sie sie zum Entfernen. 

   1.  Ersetzen Sie AWS-Geheimschlüssel, die in Quellcode eingebettet sind, durch IAM-Rollen, die mit den erforderlichen Ressourcen verbunden sind. Wenn sich ein Teil Ihres Workloads außerhalb von AWS befindet, er jedoch IAM-Anmeldeinformationen für den Zugriff auf AWS-Ressourcen benötigt, können Sie [IAM Roles Anywhere](https://aws.amazon.com/blogs/security/extend-aws-iam-roles-to-workloads-outside-of-aws-with-iam-roles-anywhere/) oder [AWS Systems Manager Hybride Aktivierungen](https://docs.aws.amazon.com/systems-manager/latest/userguide/activations.html) verwenden. 

1.  Integrieren Sie für andere langfristige Secrets von Dritten, die die Rotationsstrategie erfordern, Secrets Manager in Ihren Code, um die externen Secrets zur Laufzeit abzurufen. 

   1.  Die CodeGuru-Konsole kann automatisch [ein Secret in Secrets Manager](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/) unter Verwendung der erkannten Anmeldeinformationen erstellen. 

   1.  Integrieren Sie den Secret-Abruf von Secrets Manager in Ihren Anwendungscode. 
      +  Serverless-Lambda-Funktionen können eine sprachneutrale [Lambda-Erweiterung](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets_lambda.html) verwenden. 
      +  Für EC2-Instances oder Container bietet AWS [clientseitigen Beispielcode für den Abruf von Secrets von Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/retrieving-secrets.html) in verschiedenen verbreiteten Programmiersprachen. 

1.  Prüfen Sie Ihre Codebasis regelmäßig und wiederholen Sie dies, um sicherzustellen, dass dem Code keine neuen Secrets hinzugefügt wurden. 
   +  Erwägen Sie die Verwendung eines Tools wie etwa [git-secrets](https://github.com/awslabs/git-secrets), um zu vermeiden, dass neue Secrets in Ihr Quellcode-Repository eingebracht werden. 

1.  [Überwachen Sie die Secrets Manager-Aktivität](https://docs.aws.amazon.com/secretsmanager/latest/userguide/monitoring.html) auf Anzeichen für unerwartete Nutzungen, den unautorisierten Zugriff auf Secrets oder versuche, Secrets zu löschen. 

1.  Reduzieren Sie menschliche Interaktionen mit Anmeldeinformationen. Schränken Sie den Zugriff zum Lesen, Schreiben und Ändern von Anmeldeinformationen auf eine für diesen Zweck dedizierte IAM-Rolle ein und erlauben Sie die Übernahme dieser Rolle nur einem kleinen Teil der betrieblichen Nutzer. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+ [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](sec_identities_unique.md)
+ [SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen](sec_identities_audit.md)

 **Zugehörige Dokumente:** 
+  [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html) 
+  [Amazon CodeGuru Introduces Secrets Detector](https://aws.amazon.com/blogs/aws/codeguru-reviewer-secrets-detector-identify-hardcoded-secrets/) (Amazon CodeGuru stellt Secrets Detector vor) 
+  [How AWS Secrets Manager uses AWS Key Management Service](https://docs.aws.amazon.com/kms/latest/developerguide/services-secrets-manager.html) (Wie AWS Secrets Manager AWS Key Management Service verwendet) 
+  [Secret encryption and decryption in Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/security-encryption.html) (Secret-Ver- und Entschlüsselung in Secrets Manager) 
+  [Blog-Einträge zu Secrets Manager](https://aws.amazon.com/blogs/security/tag/aws-secrets-manager/) 
+  [Amazon RDS announces integration with AWS Secrets Manager](https://aws.amazon.com/about-aws/whats-new/2022/12/amazon-rds-integration-aws-secrets-manager/) (Amazon RDS kündigt Integration mit AWS Secrets Manager an) 

 **Zugehörige Videos:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale](https://youtu.be/qoxxRlwJKZ4) (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang) 
+  [Find Hard-Coded Secrets Using Amazon CodeGuru Secrets Detector](https://www.youtube.com/watch?v=ryK3PN--oJs) (Finden hartkodierter Secrets mit CodeGuru Secrets Detector) 
+  [Securing Secrets for Hybrid Workloads Using AWS Secrets Manager](https://www.youtube.com/watch?v=k1YWhogGVF8) (Sichern von Secrets für hybride Workloads mit AWS Secrets Manager) 

 **Zugehörige Workshops:** 
+  [Store, retrieve, and manage sensitive credentials in AWS Secrets Manager](https://catalog.us-east-1.prod.workshops.aws/workshops/497b4908-169f-4e6f-b80d-ef10be3038d3/en-US) (Speichern, Abrufen und verwalten sensitiver Anmeldeinformationen in AWS Secrets Manager) 
+  [AWS Systems Manager Hybride Aktivierungen](https://mng.workshop.aws/ssm/capability_hands-on_labs/hybridactivations.html) 

# SEC02-BP04 Verlassen auf einen zentralen Identitätsanbieter
<a name="sec_identities_identity_provider"></a>

 Verlassen Sie sich im Zusammenhang mit Identitäten für Ihre Belegschaft (Mitarbeiter und Auftragnehmer) auf einen Identitätsanbieter, mit dem Sie Identitäten zentral verwalten können. Dadurch ist es einfacher, den Zugriff über mehrere Anwendungen und Systeme hinweg zu verwalten, da Sie den Zugriff von einem einzigen Standort aus erstellen, zuweisen, verwalten, widerrufen und überwachen. 

 **Gewünschtes Ergebnis:** Sie verfügen über einen zentralen Identitätsanbieter, mit dem Sie Benutzer im Unternehmen, Authentifizierungsrichtlinien (z. B. die Anforderung einer Multi-Faktor-Authentifizierung, MFA) und die Autorisierung für Systeme und Anwendungen zentral verwalten (z. B. die Zuweisung von Zugriffsberechtigungen auf Grundlage der Gruppenmitgliedschaft oder der Attribute eines Benutzers). Die Benutzer in Ihrer Belegschaft melden sich beim zentralen Identitätsanbieter an und bilden einen Verbund (Single Sign-On) mit internen und externen Anwendungen, sodass sich die Benutzer nicht mehrere Anmeldeinformationen merken müssen. Ihr Identitätsanbieter ist in Ihre Personalverwaltungssysteme integriert, sodass Personaländerungen automatisch mit Ihrem Identitätsanbieter synchronisiert werden. Wenn beispielsweise jemand Ihr Unternehmen verlässt, können Sie den Zugriff auf alle Anwendungen und Systeme im Verbund (einschließlich AWS) widerrufen. Sie haben die detaillierte Auditprotokollierung in Ihrem Identitätsanbieter aktiviert und überwachen diese Protokolle auf ungewöhnliches Benutzerverhalten. 

 **Typische Anti-Muster:** 
+  Sie verwenden keinen Verbund mit Single-Sign-On. Die Benutzer in Ihrer Belegschaft erstellen separate Benutzerkonten und Anmeldeinformationen für mehrere Anwendungen und Systeme. 
+  Sie haben den Lebenszyklus von Identitäten für Benutzer in Ihrer Belegschaft nicht automatisiert, indem Sie beispielsweise Ihren Identitätsanbieter in Ihre Personalverwaltungssysteme integriert haben. Wenn ein Benutzer Ihre Organisation verlässt oder die Position wechselt, folgen Sie einem manuellen Prozess, um seine Datensätze in mehreren Anwendungen und Systemen zu löschen oder zu aktualisieren. 

 **Vorteile der Nutzung dieser bewährten Methode:** Durch die Verwendung eines zentralen Identitätsanbieters haben Sie die Möglichkeit, Benutzeridentitäten und Richtlinien für Ihre Mitarbeiter von einem zentralen Ort aus zu verwalten, Benutzern und Gruppen Zugriff auf Anwendungen zuzuweisen und die Anmeldeaktivitäten der Benutzer zu überwachen. Wenn ein Benutzer die Position wechselt, werden durch die Integration in Ihre Personalverwaltungssysteme Änderungen mit dem Identitätsanbieter synchronisiert und die ihm zugewiesenen Anwendungen und Berechtigungen werden automatisch aktualisiert. Wenn ein Benutzer Ihre Organisation verlässt, wird seine Identität automatisch im Identitätsanbieter deaktiviert, wodurch ihm der Zugriff auf Anwendungen und Systeme im Verbund entzogen wird. 

 **Risikostufe bei fehlender Befolgung dieser Best Practice:**: Hoch 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 **Leitfaden für Benutzer im Unternehmen, die auf AWS zugreifen** 

 Benutzer in Ihrer Belegschaft, z. B. Mitarbeiter und Auftragnehmer in Ihrer Organisation, benötigen möglicherweise Zugriff auf AWS über die AWS-Managementkonsole oder AWS Command Line Interface (AWS CLI), um ihre Aufgaben auszuführen. Sie können diesen Benutzern Zugriff auf AWS gewähren, indem Sie einen Verbund von Ihrem zentralen Identitätsanbieter zu AWS auf zwei Ebenen einrichten: ein direkter Verbund mit jedem AWS-Konto oder ein Verbund mit mehreren Konten in Ihrem [AWS Unternehmen](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_getting-started_concepts.html). 
+  Um die Benutzer in Ihrem Unternehmen direkt mit jedem AWS-Konto zu verbinden, können Sie einen zentralen Identitätsanbieter für den Verbund mit [AWS Identity and Access Management](https://aws.amazon.com/iam/) in diesem Konto verwenden. Die Flexibilität von IAM ermöglicht es Ihnen, einen separaten [SAML 2.0-](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_saml.html) oder [Open ID Connect (OIDC)-](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_create_oidc.html) Identitätsanbieter für jedes AWS-Konto zu aktivieren und Verbundbenutzerattribute für die Zugriffskontrolle zu verwenden. Die Benutzer in Ihrer Belegschaft verwenden ihren Webbrowser, um sich beim Identitätsanbieter anzumelden, indem sie ihre Anmeldeinformationen (wie Passwörter und MFA-Tokencodes) angeben. Der Identitätsanbieter gibt eine SAML-Zusicherung an den Browser aus, die an die Anmelde-URL der AWS-Managementkonsole gesendet wird. Dies ermöglicht den Benutzern das Single Sign-On (SSO) bei der [AWS-Managementkonsole, indem sie eine IAM-Rolle annehmen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers_enable-console-saml.html). Ihre Benutzer können außerdem temporäre AWS-API-Anmeldeinformationen für die Verwendung in der [AWS CLI](https://aws.amazon.com/cli/) oder [AWS SDKs](https://aws.amazon.com/developer/tools/) von [AWS STS](https://docs.aws.amazon.com/STS/latest/APIReference/welcome.html) erhalten, indem [sie die IAM-Rolle mit einer SAML-Zusicherung](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRoleWithSAML.html) des Identitätsanbieters annehmen. 
+  Für den Verbund der Benutzer in Ihrer Belegschaft mit mehreren Konten in Ihrer AWS-Organisation können Sie [https://aws.amazon.com/single-sign-on/](https://aws.amazon.com/single-sign-on/) verwenden und damit den Zugriff für Ihre Belegschaftsbenutzer auf AWS-Konten und Anwendungen zentral verwalten. Sie aktivieren Identity Center für Ihre Organisation und konfigurieren Ihre Identitätsquelle. IAM Identity Center stellt ein Standard-Identitätsquellenverzeichnis bereit, mit dem Sie Ihre Benutzer und Gruppen verwalten können. Alternativ können Sie eine externe Identitätsquelle auswählen, indem Sie eine [https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-idp.html) über SAML 2.0 herstellen und [automatisch](https://docs.aws.amazon.com/singlesignon/latest/userguide/provision-automatically.html) Benutzer und Gruppen mit SCIM bereitstellen oder [https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-ad.html) mit [Directory Service](https://aws.amazon.com/directoryservice/)herstellen. Sobald eine Identitätsquelle konfiguriert wurde, können Sie Benutzern und Gruppen Zugriff auf AWS-Konten zuweisen, indem Sie Richtlinien nach dem Prinzip der geringsten Berechtigungen in Ihrem [Berechtigungssatz](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsetsconcept.html)definieren. Die Benutzer in Ihrer Belegschaft können sich über Ihren zentralen Identitätsanbieter authentifizieren, um sich beim [AWS-Zugangsportal](https://docs.aws.amazon.com/singlesignon/latest/userguide/using-the-portal.html) anzumelden. Außerdem können sie sich so per Single-Sign-On bei den AWS-Konten und Cloud-Anwendungen anmelden, die ihnen zugewiesen sind. Ihre Benutzer können [AWS CLI v2](https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html) konfigurieren, um sich bei Identity Center zu authentifizieren und Anmeldeinformationen für die Ausführung von AWS CLI-Befehlen zu erhalten. Identity Center ermöglicht außerdem den Single-Sign-On-Zugriff auf AWS-Anwendungen wie [Amazon SageMaker AI Studio](https://docs.aws.amazon.com/sagemaker/latest/dg/onboard-sso-users.html) und [AWS IoT Sitewise Monitor-Portale](https://docs.aws.amazon.com/iot-sitewise/latest/userguide/monitor-getting-started.html). 

 Nachdem Sie die obigen Anweisungen befolgt haben, müssen die Benutzer in Ihrer Belegschaft bei der Verwaltung von Workloads in AWS für den normalen Betrieb keine IAM users und -Gruppen mehr verwenden. Stattdessen werden Ihre Benutzer und Gruppen außerhalb von AWS verwaltet und Benutzer können auf AWS-Ressourcen als *Identitätsverbund*zugreifen. Bei einem Identitätsverbund werden die Gruppen verwendet, die von Ihrem zentralen Identitätsanbieter definiert wurden. Sie sollten IAM-Gruppen, IAM users und langlebige Benutzeranmeldeinformationen (Passwörter und Zugriffsschlüssel) identifizieren und entfernen, die in Ihren AWS-Konten nicht mehr benötigt werden. Sie können [ungenutzte Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html) mit [IAM-Berichten zu Anmeldeinformationen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) suchen, [die entsprechenden IAM users löschen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_manage.html) und [IAM-Gruppen entfernen.](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_groups_manage_delete.html) Sie können eine [Service-Kontrollrichtlinie (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html) auf Ihre Organisation anwenden, mit der das Erstellen neuer IAM users und -Gruppen verhindert und erzwungen wird, dass der Zugriff auf AWS über Verbundidentitäten erfolgt. 

 **Leitfaden für Benutzer Ihrer Anwendungen** 

 Sie können die Identitäten der Benutzer Ihrer Anwendungen, z. B. einer mobilen App, mithilfe von [https://aws.amazon.com/cognito/](https://aws.amazon.com/cognito/) als zentralem Identitätsanbieter verwalten. Amazon Cognito ermöglicht die Authentifizierung, Autorisierung und Benutzerverwaltung für Ihre Web- und mobilen Apps. Amazon Cognito bietet einen Identitätsspeicher, der auf Millionen von Benutzern skaliert werden kann, unterstützt den Identitätsverbund für soziale Netzwerke und Unternehmen und bietet erweiterte Sicherheitsfunktionen zum Schutz Ihrer Benutzer und Ihres Unternehmens. Sie können Ihre benutzerdefinierte Web- oder Mobilanwendung in Amazon Cognito integrieren, um Ihren Anwendungen innerhalb von Minuten Benutzerauthentifizierung und Zugriffskontrolle hinzuzufügen. Amazon Cognito basiert auf offenen Identitätsstandards wie SAML und Open ID Connect (OIDC), unterstützt verschiedene Compliance-Vorschriften und lässt sich in Frontend- und Backend-Entwicklungsressourcen integrieren. 

### Implementierungsschritte
<a name="implementation-steps"></a>

 **Schritte für Benutzer im Unternehmen, die auf AWS zugreifen** 
+  Erstellen Sie für die Benutzer in Ihrer Belegschaft unter Verwendung eines zentralen Identitätsanbieters einen Verbund mit AWS. Nutzen Sie dabei einen der folgenden Ansätze: 
  +  Verwenden Sie IAM Identity Center, um Single Sign-On für mehrere AWS-Konten in Ihrer AWS-Organisation zu aktivieren, indem Sie einen Verbund mit Ihrem Identitätsanbieter erstellen. 
  +  Verwenden Sie IAM, um Ihren Identitätsanbieter direkt mit jedem AWS-Konto zu verbinden und so einen differenzierten Verbundzugriff zu ermöglichen. 
+  Identifizieren und entfernen Sie IAM users und -Gruppen, die durch Verbundidentitäten ersetzt werden. 

 **Schritte für Benutzer Ihrer Anwendungen** 
+  Verwenden Sie Amazon Cognito als zentralen Identitätsanbieter für Ihre Anwendungen. 
+  Integrieren Sie Ihre benutzerdefinierten Anwendungen mithilfe von OpenID Connect und OAuth mit Amazon Cognito. Sie können Ihre benutzerdefinierten Anwendungen mithilfe der Amplify-Bibliotheken entwickeln, die einfache Schnittstellen für die Integration in eine Vielzahl von AWS-Services bieten, z. B. Amazon Cognito für die Authentifizierung. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden für Well-Architected:** 
+  [SEC02-BP06 Nutzen von Benutzergruppen und Attributen](sec_identities_groups_attributes.md) 
+  [SEC03-BP02 Gewähren des Zugriffs mit den geringsten Berechtigungen](sec_permissions_least_privileges.md) 
+  [SEC03-BP06 Zugriffsverwaltung basierend auf dem Lebenszyklus](sec_permissions_lifecycle.md) 

 **Zugehörige Dokumente:** 
+  [AWS-Identitätsverbund](https://aws.amazon.com/identity/federation/) 
+  [Bewährte Sicherheitsmethoden in IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Bewährte Methoden für AWS Identity and Access Management](https://aws.amazon.com/iam/resources/best-practices/) 
+  [Getting started with IAM Identity Center delegated administration (Erste Schritte mit der delegierten IAM Identity Center-Verwaltung)](https://aws.amazon.com/blogs/security/getting-started-with-aws-sso-delegated-administration/) 
+  [How to use customer managed policies in IAM Identity Center for advanced use cases (Verwenden von vom Kunden verwalteten Richtlinien in IAM Identity Center für fortgeschrittene Anwendungsfälle)](https://aws.amazon.com/blogs/security/how-to-use-customer-managed-policies-in-aws-single-sign-on-for-advanced-use-cases/) 
+  [AWS CLI v2: IAM Identity Center-Anbieter für Anmeldeinformationen](https://docs.aws.amazon.com/sdkref/latest/guide/feature-sso-credentials.html) 

 **Zugehörige Videos:** 
+  [AWS re:Inforce 2022 - AWS Identity and Access Management (IAM) deep dive (AWS re:inforce 2022 – AWS Identity and Access Management (IAM) zur Vertiefung)](https://youtu.be/YMj33ToS8cI) 
+  [AWS re:Invent 2022 - Simplify your existing workforce access with IAM Identity Center (AWS re:Invent 2022 – Vereinfachen des vorhandenen Mitarbeiterzugriffs mit IAM Identity Center)](https://youtu.be/TvQN4OdR_0Y) 
+  [AWS re:Invent 2018: Mastering identity at every layer of the cake (AWS re:Invent 2018: Beherrschen der Identität auf jeder Ebene)](https://youtu.be/vbjFjMNVEpc) 

 **Zugehörige Beispiele:** 
+  [Workshop: Using AWS IAM Identity Center to achieve strong identity management (Verwenden von IAM Identity Center für eine robuste Identitätsverwaltung)](https://catalog.us-east-1.prod.workshops.aws/workshops/590f8439-42c7-46a1-8e70-28ee41498b3a/en-US) 
+  [Workshop: Serverless identity (Serverless-Identität)](https://identity-round-robin.awssecworkshops.com/serverless/) 

 **Zugehörige Tools:** 
+  [AWS Security Competency Partners: Identity and Access Management](https://aws.amazon.com/security/partner-solutions/) 
+  [saml2aws](https://github.com/Versent/saml2aws) 

# SEC02-BP05 Regelmäßiges Überprüfen und Rotieren von Anmeldeinformationen
<a name="sec_identities_audit"></a>

Prüfen und rotieren Sie Anmeldeinformationen regelmäßig, um die Zeit zu begrenzen, für die diese zum Zugriff auf Ihre Ressourcen genutzt werden können. Langfristig gültige Anmeldeinformationen sind mit Risiken verbunden, die durch die regelmäßige Rotation dieser Informationen reduziert werden können.

 **Gewünschtes Ergebnis:** Implementierung der Rotation von Anmeldeinformationen zur Reduzierung der mit der Nutzung langfristiger Anmeldeinformationen verbundenen Risiken. Prüfen und korrigieren Sie regelmäßig fehlende Compliance mit Richtlinien zur Rotation von Anmeldeinformationen. 

 **Typische Anti-Muster:** 
+  keine Prüfung der Verwendung von Anmeldeinformationen 
+  unnötiges Verwenden langfristiger Anmeldeinformationen 
+  Verwendung langfristiger Anmeldeinformationen, ohne diese regelmäßig zu rotieren 

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** mittel 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>

 Wenn Sie sich nicht auf temporäre Anmeldeinformationen verlassen können und langfristige Anmeldeinformationen benötigen, prüfen Sie die definierten Anmeldeinformationen, um sicherzustellen, dass die definierten Kontrollen (z. B. Multi-Faktor-Authentifizierung (MFA)) erzwungen und regelmäßig rotiert werden sowie über die entsprechende Zugriffsebene verfügen. 

 Eine regelmäßige Validierung, vorzugsweise durch ein automatisiertes Tool, ist notwendig, um zu überprüfen, ob die richtigen Kontrollen angewendet werden. Für Personenidentitäten sollten Sie festlegen, dass Benutzer ihre Passwörter regelmäßig ändern und anstelle von Zugriffsschlüsseln temporäre Anmeldeinformationen verwenden. Wenn Sie von AWS Identity and Access Management (IAM)-Benutzern zu zentralisierten Identitäten übergehen, können Sie einen [Anmeldeinformationenbericht für die Prüfung Ihrer Benutzer generieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html). 

 Wir empfehlen außerdem, dass Sie MFA in Ihrem Identitätsanbieter erzwingen. Sie können [AWS-Config-Regeln](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html) einrichten oder [Sicherheitsstandards von AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-standards-fsbp-controls.html#fsbp-iam-3) verwenden, um festzustellen, ob Benutzer MFA aktiviert haben. Erwägen Sie die Nutzung von IAM Roles Anywhere zur Bereitstellung temporärer Anmeldeinformationen für Maschinenidentitäten. In Situationen, in denen die Verwendung von IAM-Rollen und temporären Anmeldeinformationen nicht möglich ist, ist eine häufige Prüfung und Rotation von Zugriffsschlüsseln erforderlich. 

 **Implementierungsschritte** 
+  **Prüfen Sie die Anmeldeinformationen regelmäßig:** Durch die Prüfung der Identitäten, die in Ihrem Identitätsanbieter und IAM konfiguriert sind, können Sie sicherstellen, dass nur autorisierte Identitäten Zugriff auf Ihre Workload haben. Solche Identitäten können unter anderem IAM-Benutzer, Benutzer von AWS IAM Identity Center, Active-Directory-Benutzer oder Benutzer in einem anderen vorgelagerten Identitätsanbieter sein. Entfernen sie beispielsweise Personen, die die Organisation verlassen. Entfernen Sie auch kontoübergreifende Rollen, die nicht mehr erforderlich sind. Sie benötigen einen Prozess zum regelmäßigen Prüfen von Berechtigungen für die Dienste, auf die eine IAM-Entität zugreift. Dadurch können Sie die Richtlinien identifizieren, die Sie ändern müssen, um nicht genutzte Berechtigungen zu entfernen. Verwenden Sie Berichte zu Anmeldeinformationen und [AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html), um IAM-Anmeldeinformationen und -Berechtigungen zu überprüfen. Sie können mit [Amazon CloudWatch Alarme für bestimmte API-Aufrufe](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) innerhalb Ihrer AWS-Umgebung einrichten. [Amazon GuardDuty kann Sie auch bei unerwarteten Aktivitäten benachrichtigen](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_finding-types-iam.html), die auf zu großzügige Zugriffsrechte hindeuten können, sowie auf nicht beabsichtigte Zugriffe auf IAM-Anmeldeinformationen. 
+  **Regelmäßige Rotation von Anmeldeinformationen:** Wenn Sie keine temporären Anmeldeinformationen verwenden können, rotieren Sie IAM-Zugriffsschlüssel regelmäßig (maximal alle 90 Tage). Wenn ein Zugriffsschlüssel ohne Ihr Wissen kompromittiert wurde, wird dadurch begrenzt, für wie lange die Anmeldeinformationen zum Zugriff auf Ihre Ressourcen genutzt werden können. Weitere Informationen zum Rotieren von Zugriffsschlüsseln für IAM-Benutzer finden Sie unter [Rotieren der Zugriffsschlüssel](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_RotateAccessKey). 
+  **Prüfen Sie die IAM-Berechtigungen:** Um die Sicherheit Ihres AWS-Konto zu erhöhen, sollten Sie alle Ihre IAM-Richtlinien regelmäßig überprüfen und überwachen. Stellen Sie sicher, dass die Richtlinien dem Prinzip der geringsten Berechtigung entsprechen. 
+  **Erwägen Sie die Automatisierung der Erstellung und Aktualisierung von IAM-Ressourcen:** IAM Identity Center automatisiert viele IAM-Aufgaben wie etwa das Rollen- und Richtlinienmanagement. Alternativ können Sie mit AWS CloudFormation die Bereitstellung von IAM-Ressourcen, einschließlich Rollen und Richtlinien, automatisieren. So lässt sich die Zahl menschlicher Fehler verringern, da die Vorlagen verifiziert und ihre Versionen kontrolliert werden können. 
+  **Verwenden Sie IAM Roles Anywhere, um IAM-Benutzer durch Maschinenidentitäten zu ersetzen:** IAM Roles Anywhere ermöglicht die Verwendung von Rollen in Bereichen, in denen dies herkömmlicherweise nicht möglich war, etwa auf On-Premises-Servern. IAM Roles Anywhere verwendet ein vertrauenswürdiges X.509-Zertifikat zur Authentifizierung gegenüber AWS und zum Erhalt temporärer Anmeldeinformationen. Mit IAM Roles Anywhere müssen Sie diese Anmeldeinformationen nicht mehr rotieren, da sie nicht mehr in Ihrer On-Premises-Umgebung gespeichert werden. Beachten Sie, dass Sie das X.509-Zertifikat beobachten und gegen Ende seiner Gültigkeitsdauer austauschen müssen. 

## Ressourcen
<a name="resources"></a>

 **Zugehörige bewährte Methoden:** 
+  [SEC02-BP02 Verwenden von temporären Anmeldeinformationen](sec_identities_unique.md) 
+  [SEC02-BP03 Sicheres Speichern und Verwenden von Secrets](sec_identities_secrets.md) 

 **Zugehörige Dokumente:** 
+  [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [IAM Best Practices](https://docs.aws.amazon.com//latest/UserGuide/best-practices.html) (Bewährte Methoden für IAM) 
+  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com//latest/UserGuide/id_roles_providers.html) 
+  [Partnerlösungen im Bereich Sicherheit: Zugriff und Zugriffssteuerung](https://aws.amazon.com/security/partner-solutions/#access-control) 
+  [Temporäre Sicherheits-Anmeldeinformationen](https://docs.aws.amazon.com//latest/UserGuide/id_credentials_temp.html) 
+ [ Getting credential reports for your AWS-Konto](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) (Abrufen von Berichten zu Anmeldeinformationen für Ihr AWS-Konto)

 **Zugehörige Videos:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale](https://youtu.be/qoxxRlwJKZ4) (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang) 
+  [Managing user permissions at scale with AWS IAM Identity Center](https://youtu.be/aEIqeFCcK7E) (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) (Beherrschen der Identität auf jeder Ebene) 

 **Zugehörige Beispiele:** 
+ [ Well-Architected Lab - Automated IAM User Cleanup ](https://wellarchitectedlabs.com/security/200_labs/200_automated_iam_user_cleanup/) (Well-Architected Lab – Automatisierte IAM-Benutzerbereinigung)
+ [ Well-Architected Lab - Automated Deployment of IAM Groups and Roles ](https://wellarchitectedlabs.com/security/200_labs/200_automated_deployment_of_iam_groups_and_roles/) (Well-Architected Lab – Automatisierte Bereitstellung von IAM-Gruppen und -Rollen)

# SEC02-BP06 Nutzen von Benutzergruppen und Attributen
<a name="sec_identities_groups_attributes"></a>

 Wenn die Anzahl der von Ihnen verwalteten Benutzer zunimmt, müssen Sie diese so organisieren, dass Sie sie im erforderlichen Umfang verwalten können. Platzieren Sie Benutzer mit allgemeinen Sicherheitsanforderungen in Gruppen, die von Ihrem Identitätsanbieter definiert wurden, und implementieren Sie Mechanismen, um sicherzustellen, dass Benutzerattribute, die für die Zugriffskontrolle verwendet werden können (zum Beispiel Abteilung oder Standort), korrekt und auf dem neuesten Stand sind. Verwenden Sie diese Gruppen und Attribute anstelle einzelner Benutzer, um den Zugriff zu steuern. Auf diese Weise können Sie den Zugriff zentral verwalten, indem Sie die Gruppenmitgliedschaft oder Attribute eines Benutzers einmal mit einem [Berechtigungssatz](https://docs.aws.amazon.com/singlesignon/latest/userguide/permissionsets.html)ändern, anstatt viele einzelne Richtlinien zu aktualisieren, wenn sich die Zugriffsanforderungen eines Benutzers ändern. Sie können AWS IAM Identity Center (IAM Identity Center) verwenden, um Benutzergruppen und Attribute zu verwalten. IAM Identity Center unterstützt die am häufigsten verwendeten Attribute unabhängig davon, ob sie manuell während der Benutzererstellung eingegeben oder automatisch mithilfe einer Synchronisierungs-Engine bereitgestellt werden, wie in der Spezifikation „System for Cross-Domain Identity Management (SCIM)“ definiert. 

Platzieren Sie Benutzer mit allgemeinen Sicherheitsanforderungen in Gruppen, die von Ihrem Identitätsanbieter definiert wurden, und implementieren Sie Mechanismen, um sicherzustellen, dass Benutzerattribute, die für die Zugriffskontrolle verwendet werden können (zum Beispiel Abteilung oder Standort), korrekt und auf dem neuesten Stand sind. Verwenden Sie diese Gruppen und Attribute anstelle einzelner Benutzer, um den Zugriff zu steuern. Auf diese Weise können Sie den Zugriff zentral verwalten, indem Sie die Gruppenmitgliedschaft oder Attribute eines Benutzers einmal ändern, anstatt viele einzelne Richtlinien zu aktualisieren, wenn sich die Zugriffsanforderungen eines Benutzers ändern.

 **Risikostufe, wenn diese bewährte Methode nicht eingeführt wird:** Niedrig 

## Implementierungsleitfaden
<a name="implementation-guidance"></a>
+  Konfigurieren Sie Gruppen, wenn Sie AWS IAM Identity Center (IAM Identity Center) verwenden: IAM Identity Center bietet Ihnen die Möglichkeit, Benutzergruppen zu konfigurieren und Gruppen die gewünschte Berechtigungsstufe zuzuweisen. 
  +  [AWS Single Sign-On – Verwalten von Identitäten](https://docs.aws.amazon.com/singlesignon/latest/userguide/manage-your-identity-source-sso.html) 
+  Informieren Sie sich über die attributbasierte Zugriffskontrolle (ABAC): ABAC (Attribute-based Access Control) ist eine Autorisierungsstrategie, die Berechtigungen basierend auf Attributen definiert. 
  +  [Was ist ABAC für AWS?](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html) 
  +  [Übung: IAM Tag-basierte Zugriffskontrolle für EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html) 

## Ressourcen
<a name="resources"></a>

 **Ähnliche Dokumente:** 
+  [Erste Schritte mit AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/getting-started.html) 
+  [Security best practices in IAM (Bewährte Methoden für die Sicherheit in IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) 
+  [Identitätsanbieter und Verbund](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_providers.html) 
+  [Stammbenutzer des AWS-Kontos](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html) 

 **Ähnliche Videos:** 
+  [Best Practices for Managing, Retrieving, and Rotating Secrets at Scale (Bewährte Methoden zum Verwalten, Abrufen und Rotieren von Secrets in großem Umfang)](https://youtu.be/qoxxRlwJKZ4) 
+  [Managing user permissions at scale with AWS IAM Identity Center (Verwalten von Benutzerberechtigungen in großem Umfang mit AWS IAM Identity Center)](https://youtu.be/aEIqeFCcK7E) 
+  [Mastering identity at every layer of the cake](https://www.youtube.com/watch?v=vbjFjMNVEpc) 

 **Ähnliche Beispiele:** 
+  [Übung: IAM Tag-basierte Zugriffskontrolle für EC2](https://www.wellarchitectedlabs.com/Security/300_IAM_Tag_Based_Access_Control_for_EC2/README.html)