{"id":18263,"date":"2021-02-24T11:55:00","date_gmt":"2021-02-24T10:55:00","guid":{"rendered":"https:\/\/www.sysbus.eu\/?p=18263"},"modified":"2021-02-22T10:07:05","modified_gmt":"2021-02-22T09:07:05","slug":"ueberpruefung-der-berechtigungen-von-nutzern-diensten-und-ressourcen","status":"publish","type":"post","link":"https:\/\/www.sysbus.eu\/?p=18263","title":{"rendered":"\u00dcberpr\u00fcfung der Berechtigungen von Nutzern, Diensten und Ressourcen"},"content":{"rendered":"\n<p>In IT-Umgebungen sollten Verantwortliche die Rechte von Nutzern, Diensten und Ressourcen regelm\u00e4\u00dfig \u00fcberpr\u00fcfen. Denn einmal verliehene Berechtigungen k\u00f6nnen mit der Zeit obsolet werden. Hinzu kommt, dass eine zu gro\u00dfz\u00fcgige Rechteverteilung Sicherheitsrisiken birgt. In einer AWS-Cloud-Umgebung ist es relativ einfach, Rechte zu kontrollieren und auf diese Weise Schwachstellen zu identifizieren.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/02\/IAM-Access-Analyzer_1-002.png\"><img loading=\"lazy\" decoding=\"async\" width=\"1024\" height=\"758\" src=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/02\/IAM-Access-Analyzer_1-002-1024x758.png\" alt=\"\" class=\"wp-image-18264\" srcset=\"https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/02\/IAM-Access-Analyzer_1-002-1024x758.png 1024w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/02\/IAM-Access-Analyzer_1-002-300x222.png 300w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/02\/IAM-Access-Analyzer_1-002-768x568.png 768w, https:\/\/www.sysbus.eu\/wp-content\/uploads\/2021\/02\/IAM-Access-Analyzer_1-002.png 1200w\" sizes=\"auto, (max-width: 1024px) 100vw, 1024px\" \/><\/a><figcaption>Bild: AWS<\/figcaption><\/figure>\n\n\n\n<!--more-->\n\n\n\n<p>Da Sie Ressourcen in der Cloud schnell provisionieren und Tausende von Servern in wenigen Minuten zur Verf\u00fcgung stellen k\u00f6nnen, sollten Sie zuerst hier ansetzen und die Einhaltung der Ressourcen-Richtlinien \u00fcberpr\u00fcfen. Dadurch k\u00f6nnen Sie zum Beispiel einen unerw\u00fcnschten \u00f6ffentlichen oder konten\u00fcbergreifenden Zugriff erkennen. AWS Identity and Access Management (IAM) hilft Ihnen, solche Ressourcen zu identifizieren und umgehend zu reagieren.<\/p>\n\n\n\n<p>\u00d6ffnen Sie die AWS-Konsole in der Region, f\u00fcr die die Ergebnisse generiert werden sollen. Unter Services w\u00e4hlen Sie dann IAM aus. Aus dem Men\u00fc auf der linken Seite w\u00e4hlen Sie &#8222;Access Analyzer&#8220;, auf der rechten Seite des Begr\u00fc\u00dfungsbildschirms &#8222;Create Analyzer&#8220;. Geben Sie einen aussagekr\u00e4ftigen Namen ein. Anschlie\u00dfend klicken Sie auf &#8222;Create Analyzer&#8220;. Nachdem die erste Indizierung abgeschlossen ist, erscheinen in der Konsole Ergebnisse f\u00fcr die jeweiligen Ressourcen, beispielsweise Schl\u00fcssel aus dem AWS Key Management Service (KMS) und IAM-Rollen, die f\u00fcr andere Konten und f\u00f6derierte Benutzer zug\u00e4nglich sind.<\/p>\n\n\n\n<p>Der IAM Access Analyzer kann damit zum Beispiel aufzeigen, dass ein Amazon S3-Bucket namens Bucket-1 f\u00fcr einen AWS-Account mit der ID 123456789012 zug\u00e4nglich ist, sofern die Anfrage von der Quell-IP 11.0.0.0\/15 stammt. Oder es wird eine AWS KMS-Schl\u00fcsselrichtlinie erkannt, die es Benutzern eines anderen Kontos erlaubt, den Schl\u00fcssel zu l\u00f6schen.<\/p>\n\n\n\n<p>Mit einem Klick auf die einzelnen Eintr\u00e4ge k\u00f6nnen Sie die Ergebnisse genauer betrachten. Sie haben die Wahl, das Ergebnis entweder zu archivieren, wenn der festgestellte Zugriff auf die Ressource erlaubt ist, oder aber in die Problembehebung einzusteigen. Bei AWS KMS-Schl\u00fcsseln ist beispielsweise direkt die AWS KMS-Konsole im Ergebnis verlinkt. Dementsprechend f\u00fchren die Ergebnisse zu Amazon S3 Buckets in die entsprechende Konsole. Die dazugeh\u00f6rigen Richtlinien lassen sich dort \u00fcberarbeiten.<\/p>\n\n\n\n<p>Die vom IAM Access Analyzer generierten Ergebnisse mit hoher Priorit\u00e4t werden au\u00dferdem im AWS Security Hub gespeichert. Dadurch entsteht eine zentral g\u00fcltige Quelle f\u00fcr alle Compliance- und Sicherheitsinformationen. Zudem ist der IAM Access Analyzer zus\u00e4tzlich in Amazon CloudWatch Events integriert. So ist es m\u00f6glich, automatisch auf Schwachstellen zu reagieren oder regelbasierte Warnungen an Nutzer zu verschicken.<\/p>\n\n\n\n<p>Weitere Informationen: <a href=\"https:\/\/aws.amazon.com\/blogs\/aws\/identify-unintended-resource-access-with-aws-identity-and-access-management-iam-access-analyzer\/\">https:\/\/aws.amazon.com\/blogs\/aws\/identify-unintended-resource-access-with-aws-identity-and-access-management-iam-access-analyzer<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>In IT-Umgebungen sollten Verantwortliche die Rechte von Nutzern, Diensten und Ressourcen regelm\u00e4\u00dfig \u00fcberpr\u00fcfen. Denn einmal verliehene Berechtigungen k\u00f6nnen mit der Zeit obsolet werden. Hinzu kommt, dass eine zu gro\u00dfz\u00fcgige Rechteverteilung Sicherheitsrisiken birgt. In einer AWS-Cloud-Umgebung ist es relativ einfach, Rechte zu kontrollieren und auf diese Weise Schwachstellen zu identifizieren.<\/p>\n","protected":false},"author":1,"featured_media":18264,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[22,6],"tags":[14666,4135,7166,14667,7533,4737,36],"class_list":["post-18263","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-cloud","category-tipps","tag-access-analyzer","tag-aws","tag-dienst","tag-nutzer","tag-rechte","tag-ressource","tag-sicherheit"],"amp_enabled":true,"_links":{"self":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18263","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=18263"}],"version-history":[{"count":1,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18263\/revisions"}],"predecessor-version":[{"id":18266,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/posts\/18263\/revisions\/18266"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=\/wp\/v2\/media\/18264"}],"wp:attachment":[{"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=18263"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=18263"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sysbus.eu\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=18263"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}