Was ist Identity Access Management in AWS?

Amazon Web Services (AWS) ist ein massiver Teil der Internetinfrastruktur. Schätzungen von TheVerge zufolge laufen etwa 40 % des gesamten Internetverkehrs über AWS. Die beliebtesten Internetdienste, die von Millionen genutzt werden, laufen auf AWS, darunter Airbnb, Expedia, Netflix, Pinterest, Slack, Spotify und viele mehr. Auf AWS laufen nicht nur ganze populäre Websites und Online-Dienste; Viele Websites verwenden AWS als Unterstützung für einen Teil ihrer Online-Präsenz.

Wenn AWS ausfällt, wie es gelegentlich vorkam, funktionieren riesige Teile dessen, was als Internet erkannt wird, nicht mehr. Technische Probleme und Sicherheitsverletzungen können diese Fehler verursachen. Das bedeutet, dass Amazon Sicherheitsprobleme sehr ernst nimmt. AWS schützt das Netzwerk und seine Clients vor unbefugtem Zugriff durch eine robuste Identitätszugriffsverwaltung.

Was ist Identity Access Management?

Identity Access Management (IAM) ist ein Softwareprogramm oder ein webbasierter Dienst, der verwendet wird, um den Zugriff auf Netzwerkressourcen sicher zu steuern. Ein IAM-System authentifiziert einen Benutzer zunächst über einen passwortgeschützten Anmeldeprozess und ermöglicht dem Benutzer dann den Zugriff auf Netzwerkressourcen gemäß seinen autorisierten Nutzungsberechtigungen.

Bei Cloud-basierten Diensten verwendet die Cloud-Benutzerzugriffsverwaltung ein Cloud-basiertes Authentifizierungssystem, um die Identität eines Benutzers zu ermitteln und dann autorisierten Zugriff zu gewähren. Amazon Web Services (AWS) verfügt über ein System zur Identitätszugriffsverwaltung, das mit dem AWS-Cloud-System zusammenarbeitet.

AWS Identitäts- und Zugriffsverwaltung

Die AWS-Identitäts- und Zugriffsverwaltung beginnt mit der Erstellung eines AWS-Kontos. Am Anfang hat ein Benutzer eine eindeutige Anmeldeidentität, die einen Root-Benutzer erstellt, der vollen Zugriff auf die AWS-Services für dieses Konto hat. Das Root-Benutzerkonto verwendet die E-Mail-Adresse einer Person und ein von ihr erstelltes Passwort zur Authentifizierung.

AWS-Benutzer müssen diese Root-Benutzerkontoinformationen äußerst sorgfältig schützen, da es das Konto ist, das auf alles zugreifen kann. Lesen Sie den Abschnitt „Best Practices“ weiter unten, um zu erfahren, wie Sie diese Informationen am besten sichern.

Einige AWS IAM-Funktionen umfassen:

• Gemeinsamer Zugriff – Dies ermöglicht anderen Benutzern den Zugriff auf das AWS-Konto, indem sie ihre Anmeldeinformationen verwenden.
• Granulare autorisierte Berechtigungen – Benutzern kann Zugriff gemäß sehr speziell ausgewählten Berechtigungen gewährt werden, die von Vollzugriff über Gruppenzugriff bis hin zu Anwendungszugriff bis hin zu spezifischem passwortgeschütztem Dateizugriff und allem dazwischen reichen.
• Zwei-Faktor-Authentifizierung – Diese optionale Sicherheitsoption erfordert, dass ein autorisierter Benutzer sowohl das richtige Passwort/den richtigen Zugangsschlüssel verwendet als auch auf einen SMS-Code antwortet, der an ein Gerät oder eine E-Mail-Adresse gesendet wird, z. B. das Smartphone oder das E-Mail-Konto eines Benutzers.
• Sichere APIs – Sichere Anwendungsprogrammierschnittstellen geben Softwareprogrammen die Möglichkeit, eine Verbindung zu den Daten und Diensten auf dem AWS-System herzustellen, die zur Ausführung ihrer Funktionen erforderlich sind.
• Identitätsföderationen – Damit können die Passwörter autorisierter Benutzer an anderer Stelle in einem anderen System gespeichert werden, das zur Identifizierung verwendet wird.
• Nutzungsaudit – Durch die Verwendung des AWS CloudTrial-Service wird ein vollständiges Protokoll der Kontozugriffsaktivitäten der Benutzer für IT-Sicherheitsaudits aufgezeichnet.

Verstehen, wie AIM auf AWS funktioniert

Die Amazon-Identitätszugriffsverwaltung basiert auf den Prinzipien einer abgestuften Berechtigungsstruktur, die Ressourcen, Identitäten, Entitäten und Prinzipale umfasst.

#Ressourcen

Ressourcen können dem AWS IAM-System hinzugefügt, bearbeitet oder daraus entfernt werden. Die Ressourcen sind die Benutzer, Gruppen, Rollen, Richtlinien und Objekte für Identitätsanbieter, die vom System gespeichert werden.

#Identitäten

Dies sind AWS IAM-Ressourcenobjekte, die Richtlinien mit Identitäten verbinden, um Benutzer, Rollen und Gruppen zu definieren.

#Entitäten

Diese verwendet das AWS IAM-System als Ressourcenobjekte für Authentifizierungszwecke. Auf dem AWS-System sind dies die Benutzer und ihre autorisierten Rollen. Optional können sie von einem föderierten Identifikationssystem oder SAML stammen, das eine webbasierte Identitätsprüfung bereitstellt.

#Prinzipien

Dies kann entweder ein einzelner Benutzer oder eine autorisierte Softwareanwendung sein, die als AWS IAM-Benutzer oder eine IAM-Rolle erkannt wird, die berechtigt ist, sich anzumelden und Zugriff auf Daten und Services anzufordern.

Best Practices für die AWS-Verwaltung

Hier sind einige Best Practices für die AWS-Administration.

1. Sicherheit des Root-Benutzerkontos

Das bei der ersten Verwendung von AWS erstellte Root-Benutzerkonto hat die größte Leistung und ist der „Hauptschlüssel“ für ein AWS-Konto. Es sollte nur zum Einrichten des Kontos und nur für einige notwendige Konto- und Dienstverwaltungsvorgänge verwendet werden. Für die erstmalige Anmeldung sind eine E-Mail-Adresse und ein Passwort erforderlich.

Die Best Practices zum Schutz dieses Root-Kontos bestehen darin, eine sehr komplexe Einmal-E-Mail-Adresse mit mindestens 8 Zeichen (mit Symbolen, Großbuchstaben, Kleinbuchstaben und Zahlen) vor dem „@“-Zeichen zu verwenden. Verwenden Sie außerdem ein eindeutiges Passwort, das sich von der E-Mail-Adresse unterscheidet und ebenfalls mindestens 8 Zeichen lang ist und Symbole, Zahlen, Groß- und Kleinbuchstaben enthält. Längere Passwörter sind besser.

Nachdem das AWS-Konto vollständig eingerichtet und eingerichtet ist, werden andere Administratorkonten für die regelmäßige Verwendung erstellt.

Sobald das Root-Benutzerkonto nicht mehr benötigt wird, um alles zu starten, speichern Sie die Zugriffsinformationen des Root-Kontos auf einem USB-Laufwerk, indem Sie es mit Verschlüsselung sperren, und bewahren Sie dann den Verschlüsselungsschlüssel separat auf. Legen Sie das USB-Laufwerk offline in einem verschlossenen Safe ab, wo es sicher aufbewahrt werden kann, bis es in Zukunft benötigt wird.

2. Berechtigungen einschränken

Geben Sie Benutzern und Anwendungen nur genau die Berechtigungen, die sie für ihre Arbeit benötigen. Seien Sie vorsichtig, wenn Sie Zugang zu vertraulichen Informationen und geschäftskritischen Diensten gewähren.

3. Sicherheitsprobleme

Sicherheit ist ein Dauerthema. Es beginnt mit einer soliden Designstruktur für den Benutzerzugriff und setzt dann fortlaufende Audits ein, um unbefugte Zugriffsversuche zu erkennen, sowie die Verwaltung von Benutzerpasswörtern für genügend Komplexität und regelmäßige Passwortänderungen. Es ist wichtig, den Benutzerzugriff schnell zu beenden, wenn er nicht mehr benötigt oder gewünscht wird. Die Verwendung von AWS CloudTrial zu Prüfungszwecken wird dringend empfohlen.

4. Verschlüsselung

Achten Sie beim Gewähren des Zugriffs auf AWS von Geräten, die das Internet verwenden, darauf, eine Punkt-zu-Punkt-Verschlüsselung wie SSL zu verwenden, um sicherzustellen, dass die Daten während der Übertragung nicht gefährdet werden.

5. Häufig gestellte Fragen zu AWS Identity Access Management

Häufig gestellte Fragen zur AWS-Identitätszugriffsverwaltung umfassen einige Fragebögen zur Behandlung von Problemen, die Ihnen bei der AWS-Zugriffsverwaltung helfen.

Technische Details von AWS Access Management

Die AWS-Zugriffsverwaltung verfügt über ein Diagramm, das zeigt, wie die IAM-Protokolle mit dem gesamten cloudbasierten AWS-System verbunden sind. IAM-Protokolle umfassen identitätsbasierte Richtlinien, ressourcenbasierte Richtlinien und andere Richtlinien, die für die Autorisierung verwendet werden.

Während des Autorisierungsprozesses überprüft das AWS-System die Richtlinien, um zu entscheiden, ob der Zugriff gewährt oder verweigert wird.

Die allgemeine Richtlinienstruktur basiert auf einer abgestuften Reihe von Schlüsselprinzipien, darunter:

• Nur der Benutzer des Root-Kontos hat vollen Zugriff. Standardmäßig werden alle anderen Zugriffsanforderungen abgelehnt.
• Nur eine explizite Identitäts- oder Ressourcenrichtlinie kann den Systemstandard überschreiben.
• Eine Begrenzung der Berechtigungen für eine Sitzung oder basierend auf einer strukturellen Richtlinie (SCP) einer Organisation kann den Zugriff außer Kraft setzen, der durch eine identitätsbasierte oder ressourcenbasierte Richtlinie gewährt wird.
• Eine bestimmte Verweigerungsregel setzt jeden zulässigen Zugriff unter anderen Parametern außer Kraft.

AWS IAM-Tutorials

Amazon bietet Tutorials für diejenigen an, die mehr über die Einrichtung von Identitäts- und Zugriffsverwaltung auf AWS erfahren möchten.

Die Probleme bei der Einrichtung von AWS IAM und seiner ordnungsgemäßen Verwendung sind komplex. Um sicherzustellen, dass es für neue Kunden einfacher ist, das System zu verwenden, hat Amazon viele hilfreiche Tutorials erstellt, darunter:

• Delegieren Sie den Zugriff auf die Billing Console an die Billing Console
• Verwenden Sie IAM-Rollen für das AWS-Konto, um den Zugriff zu delegieren
• Erstellen Sie eine erste vom Kunden verwaltete Richtlinie
• Ermöglichen Sie Benutzern, Anmeldeinformationen und MFA-Einstellungen zu konfigurieren

AWS ist aus vielen Gründen der Branchenführer. Amazon benötigte diese Cloud-Dienste für seinen Betrieb. Es wurde deutlich, dass das Anbieten dieser Dienste für andere eine Geschäftsmöglichkeit für Amazon mit hohem Potenzial war. Was als Nebengeschäft für Amazon begann, ist heute zu einem wichtigen Bestandteil der weltweiten Internet-Infrastruktur geworden.

Die Verwendung des AWS-Systems ist bei der Nutzung des Internets als Ganzes fast allgegenwärtig. Nehmen Sie sich die Zeit, die IAM-Richtlinien einzurichten, um die Sicherheit mit Liebe zum Detail zu schützen. Die Verwaltung des IAM-Systems hat für Netzwerkadministratoren eine hohe Priorität. Kombinieren Sie dies mit regelmäßigen IT-Sicherheitsaudits, um potenzielle Probleme aufzudecken.