Sicherheit zuerst, denn Sicherheit ist so wichtig! Wenn du ein Amazon Web Services-Konto erstellst, wird dieses Konto als Root bezeichnet. Das Root-Konto hat vollstandigen Zugriff auf alle Ressourcen, die in der Cloud-Umgebung laufen, und ich empfehle dringend, dein Root-Konto nicht zur Verwaltung der Ressourcen zu verwenden.

Was solltest du tun, um dein AWS-Konto sicher zu halten?

  1. Multi-Faktor-Authentifizierung fur das Root-Konto einrichten

    Vielleicht hast du schon von 2-Schritt-Authentifizierung oder 2-Faktor-Authentifizierung gehort. Im Amazon-Okosystem nennen wir diese zusatzliche Sicherheitsebene MFA. Der Root-Benutzer fur dieses Konto hat keine Multi-Faktor-Authentifizierung (MFA) aktiviert. MFA aktivieren, um die Sicherheit dieses Kontos zu verbessern.

  2. Passwortrichtlinie festlegen

    Eine Passwortrichtlinie ist eine Reihe von Regeln, die Komplexitatsanforderungen und obligatorische Rotationszeitraume fur die Passworter deiner IAM-Benutzer definieren.

    Du kannst festlegen:
    - Mindestpasswortlange erzwingen
    - Mindestens einen Grossbuchstaben des lateinischen Alphabets verlangen (A-Z)
    - Mindestens einen Kleinbuchstaben des lateinischen Alphabets verlangen (a-z)
    - Mindestens eine Ziffer verlangen
    - Mindestens ein nicht-alphanumerisches Zeichen verlangen (! @ # $ % ^ & * ( ) _ + - = [ ] { } | ')
    - Passwortablauf aktivieren
    - Passwortablauf erfordert Administrator-Zurucksetzung
    - Benutzern erlauben, ihr eigenes Passwort zu andern
    - Passwortwiederverwendung verhindern

  3. Region(en) deaktivieren, wenn du sie nicht brauchst

    In den Kontoeinstellungen lauft jede einzelne Region spezifisch in Amazon Web Services. Wenn du beispielsweise planst, deine Dienste in der Region London (eu-west-2) zu betreiben, brauchst du eigentlich keine anderen Regionen und solltest die anderen definitiv deaktivieren. Du kannst Global Endpoint und US East (N. Virginia) Regionen nicht deaktivieren. Alle Amazon Web Services-Authentifizierungsdienste (wie Logins und andere Service-Authentifizierungen) laufen im Global Endpoint, einige der Dienste laufen nur in der Region North Virginia (us-east-1). Deshalb kannst du sie nicht deaktivieren.

  4. Policy erstellen

    Eine Policy definiert die AWS-Berechtigungen, die du einem Benutzer, einer Gruppe oder einer Rolle zuweisen kannst. Du kannst eine Policy im visuellen Editor und/oder mit JSON erstellen und bearbeiten.

    Du kannst spezifische Aktionen fur bestimmte Dienste und Ressourcen auf der Seite Policy erstellen festlegen.

  5. IAM-Rolle erstellen

    IAM-Rollen sind ein sicherer Weg, um Entitaten, denen du vertraust, Berechtigungen zu erteilen. Beispiele fur Entitaten sind:
    - IAM-Benutzer in einem anderen Konto
    - Anwendungscode, der auf einer EC2-Instanz lauft und Aktionen auf AWS-Ressourcen ausfuhren muss
    - Ein AWS-Dienst, der auf Ressourcen in deinem Konto handeln muss, um seine Funktionen bereitzustellen
    - Benutzer aus einem Unternehmensverzeichnis, die Identity Federation mit SAML verwenden
    - IAM-Rollen geben Schlussel aus, die fur kurze Zeitraume gultig sind, was sie zu einem sichereren Weg macht, Zugriff zu gewahren.

  6. Abteilungen mit Benutzergruppen trennen

    Ein IAM-Benutzer ist eine Entitat, die du in AWS erstellst, um die Person oder Anwendung zu reprasentieren, die sie zur Interaktion mit AWS verwendet. Ein Benutzer kann bis zu 10 Gruppen angehoren. Du kannst bis zu 10 Policies an diese Benutzergruppe anhangen. Alle Benutzer in dieser Gruppe haben die Berechtigungen, die in den ausgewahlten Policies definiert sind.

  7. Best Practices anwenden


    Least Privilege Access gewahren: Die Etablierung eines Prinzips der geringsten Berechtigung stellt sicher, dass Identitaten nur die minimal notwendigen Funktionen zur Erfullung einer bestimmten Aufgabe ausfuhren durfen, wahrend Nutzbarkeit und Effizienz in Einklang gebracht werden.

    AWS Organizations verwenden: Verwalte und steuere deine Umgebung zentral, wenn du deine AWS-Ressourcen skalierst. Erstelle einfach neue AWS-Konten, gruppiere Konten zur Organisation deiner Workflows und wende Richtlinien auf Konten oder Gruppen zur Governance an.

    Identity Federation aktivieren: Verwalte Benutzer und Zugriff uber mehrere Dienste hinweg von deiner bevorzugten Identitatsquelle aus. Mit AWS Single Sign-On verwaltest du zentral den Zugriff auf mehrere AWS-Konten und bietest Benutzern Single Sign-On-Zugriff auf alle ihre zugewiesenen Konten von einem Ort aus.

    MFA aktivieren: Fur zusatzliche Sicherheit empfehlen wir, Multi-Faktor-Authentifizierung (MFA) fur alle Benutzer zu verlangen.

    Anmeldedaten regelmassig rotieren: Andere deine eigenen Passworter und Zugriffsschlussel regelmassig und stelle sicher, dass alle Benutzer in deinem Konto dies ebenfalls tun.

    IAM Access Analyzer aktivieren: Aktiviere IAM Access Analyzer, um offentlichen, konto- und organisationsubergreifenden Zugriff zu analysieren.

    Erfahre mehr uber alle Sicherheits-Best Practices.

Ich hoffe, dieser Artikel hilft dir, dein Amazon Web Services-Konto sicher zu nutzen!