AWS Identity and Access Management (IAM) ermöglicht es Ihnen, den Zugriff und die Berechtigungen Ihrer AWS-Services und -Ressourcen zu kontrollieren, zum Beispiel von Datenverarbeitungs-Instances und Speicher-Buckets. IAM bietet auch Ressourcenrichtlinien, damit die Kunden genau kontrollieren können, wer auf eine bestimmte Ressource zugreifen kann und wie sie verwendet werden kann.

Mit der Cloud können Sie Ressourcen nach Bedarf schnell aufstocken und Tausende von Servern in wenigen Minuten bereitstellen. Deshalb ist es besonders wichtig, die Ressourcenrichtlinien schnell überprüfen zu können und Ressourcen mit unerwünschtem öffentlichem oder kontenübergreifendem Zugriff zu identifizieren. IAM Access Analyzer identifiziert Ressourcen, auf die von außerhalb eines AWS-Kontos zugegriffen werden kann. Dabei werden auf der Grundlage von mathematischer Logik und Inferenzen die Ressourcenrichtlinien überprüft, um die durch die Richtlinien zulässigen Zugriffspfade zu ermitteln. IAM Access Analyzer prüft durchgehend auf neue oder aktualisierte Richtlinien und analysiert Berechtigungen, die mit Richtlinien für Ihre Amazon S3-Buckets, AWS KMS-Schlüssel, Amazon SQS-Warteschlangen, AWS IAM-Rollen und AWS Lambda-Funktionen erteilt wurden.

Das Prinzip der geringsten Rechte ist eine bewährte Sicherheitsstrategie. Sie sollten im Auge behalten, wie Ihre Berechtigungen im Zeitverlauf verwendet werden, damit Sie unnötige Berechtigungen entziehen können. IAM liefert Ihnen ein Datum des "letzten Service-Zugriffs" in Form eines Zeitstempels, der anzeigt, wann eine IAM-Richtlinie oder -Entität (z. B. ein Benutzer oder eine Rolle) zuletzt einen Service von unterstützten Diensten verwendet hat. So können Sie ungenutzt Berechtigungen einfach erkennen und Ihre Sicherheitslage verbessern, indem Sie die Berechtigungen von Benutzern, Gruppen oder Rollen entfernen, die für ihre Aufgaben nicht notwendig sind. Beim AWS Organizations-Master-Konto wird Ihnen auch angezeigt, wann ein Service zuletzt von der Organization Root, den Organizational Units (OUs) und Konten aufgerufen wurde. Weitere Informationen zur Verwendung des Datums vom "letzten Service-Zugriff" für Entscheidungen über die erteilten Berechtigungen Ihrer IAM- oder Organizations-Entitäten erhalten Sie unter Beispielszenarien für die Verwendung des letzten Service-Zugriffsdatums.

Vorteile

Schnellere Analyse der Ressourcenrichtlinien für öffentlichen oder kontenübergreifenden Zugang

IAM Access Analyzer verwendet keine zeitaufwendigen heuristischen oder musterabgleichenden Methoden, sondern mathematische Logik und Inferenzen. So erhalten Sie blitzschnell umfassende Erkenntnisse zu den Ressourcen, auf die von außerhalb eines AWS-Kontos zugegriffen werden kann. IAM Access Analyzer prüft Berechtigungen, die mit Richtlinien für Ihre Amazon S3-Buckets, AWS KMS-Schlüssel, Amazon SQS-Warteschlangen, AWS IAM-Rollen und AWS Lambda-Funktionen erteilt wurden. IAM Access Analyzer liefert detaillierte Erkenntnisse über die Konsolen von AWS IAM, Amazon S3 sowie AWS Security Hub und auch über die APIs.

Kontinuierliche Überwachung und Unterstützung bei der Berechtigungsvergabe

IAM Access Analyzer überwacht und analysiert kontinuierlich alle neuen oder aktualisierten Ressourcenrichtlinien, damit Sie die möglichen Auswirkungen auf Ihre Sicherheitslage kennen. Wenn sich zum Beispiel eine Amazon S3-Bucket-Richtlinie ändert, benachrichtigt Sie IAM darüber, dass Benutzer außerhalb des Kontos auf den Bucket zugreifen können.

IAM bietet auch einen Zeitstempel mit dem Datum des "letzten Service-Zugriffs", das angibt, wann eine IAM-Richtlinie oder -Entität zuletzt einen Service verwendet hat. Dadurch können Sie ungenutzte Berechtigungen einfach identifizieren und entziehen, damit nur wirklich erforderliche Berechtigungen im Umlauf sind und sich Ihre Sicherheitslage verbessert.

Maximale nachweisbare Sicherheit in der Cloud

Der IAM Access Analyzer verwendet automatisierte Schlussfolgerungen, eine Form der mathematischen Logik und Inferenzen, um alle durch Ressourcenrichtlinien möglichen Zugriffspfade zu bestimmen. Wir bezeichnen das Ergebnis dieser Analysen als nachweisbare Sicherheit. Sie steht für eine höhere Sicherheitsstufe von und in der Cloud.

Während bei einigen Tools nur bestimmte Zugriffsszenarien getestet werden können, wendet IAM Access Analyzer mathematische Logik an, um alle möglichen Zugriffsanfragen zu analysieren. So können Sie darauf vertrauen, dass Ihre Richtlinien nur den beabsichtigten Zugriff ermöglichen.

Funktionsweise

Funktionsweise von IAM Access Analyzer

Automatisierte Schlussfolgerungen für Richtlinienanalysen

Automatisierte Schlussfolgerungen sind ein Bereich der Kognitionswissenschaft, bei dem verschiedene Aspekte von Schlussfolgerungen mit Bezug zur Mathematik und formalen Logik automatisiert werden. Die AWS Automated Reasoning Group entwickelt Algorithmen und schreibt Code, der Cloud-Ressourcen, Konfigurationen und die Infrastruktur analysiert, um schnelle Aussagen über ihre Verhaltensaspekte zu treffen. So wandelt AWS Ressourcenrichtlinien in präzise logische Formeln um und wendet automatisierte Schlussfolgerungen an, um zusammenzufassen, welche Ressourcen öffentlichen oder kontenübergreifenden Zugang gewähren. Wie Tools und Methoden in Amazon Web Services mit automatisierten Schlussfolgerungen eine höhere Sicherheitsstufe für die Cloud realisieren erfahren Sie in "Formal Reasoning About AWS."

Weitere Informationen zu AWS IAM-Funktionen

Funktionsübersicht anzeigen
Bereit zum Entwickeln?
Erste Schritte mit AWS IAM
Haben Sie noch Fragen?
Kontakt