Entdecken Sie den AWS-Zugang, den Sie tatsächlich benötigenu2026

Eines der Grundprinzipien von IAM ist das Prinzip der geringsten Rechte (Principle of Least Privilege). Die Idee ist einfach: Geben Sie jeder Rolle die minimale Menge an Berechtigungen, die erforderlich ist, um die Arbeit zu erledigen. In der Praxis kann diese einfache Aufgabe jedoch schnell zu einem entmutigenden Albtraum werden. Für einen schnellen Einstieg empfiehlt AWS die Verwendung der AWS Managed Policies. Diesen Richtlinien fehlt jedoch die Granularität, die erforderlich ist, um sicherzustellen, dass das Prinzip der geringsten Privilegien beachtet wird, und sie gewähren oft zusätzliche Zugriffe, die für die Aufgabe nicht ausdrücklich erforderlich sind. Um einen umfassenderen Überblick darüber zu erhalten, was genau diese Richtlinien gewähren, wenden sich Ingenieure an Access Advisor und Cloud Trail. Access Advisor ist ein AWS-Tool, das die einer Rolle gewährten Serviceberechtigungen anzeigt und wann auf diese Services zuletzt zugegriffen wurde. Es ist äußerst nützlich, um festzustellen, welche Services eine Rolle verwendet, und hilft Ihnen sicherlich dabei, die Zugriffsrichtlinien zu verfeinern und restriktiver zu gestalten. Access Advisor zeigt Ihnen jedoch nicht die auf Ressourcenebene erteilten Berechtigungen an. So wissen Sie vielleicht, dass eine Rolle den S3-Dienst in Anspruch genommen hat, aber Sie wissen nicht, auf welchen Bucket oder welches Objekt sie zugegriffen hat. Um diese Art von Informationen zu erhalten, müssen Sie tiefer gehen und Cloud Trail eingeben. Cloud Trail ist ein Dienst, mit dem Sie sehen können, wie Rollen auf der untersten Ebene mit Ressourcen interagieren. Dank der Granularität dieses Dienstes wissen Sie nicht nur, dass der S3-Dienst von einer Rolle genutzt wurde, sondern auch, mit welchen Buckets und Objekten die Rolle interagiert hat. Allerdings ist Cloud Trail nicht nur ein Zuckerschlecken. Leider gibt Cloud Trail alle seine Protokolldaten, die für ein Unternehmen recht umfangreich sein können, als komprimierte json-Dateien aus, die in einem S3-Bucket gespeichert werden. Dieser Speichertyp ist zwar billig und praktisch, aber er erlaubt es Ihnen nicht, die Nadel im Heuhaufen zu finden. Welche Berechtigungen benötigt diese Rolle eigentlich, um richtig zu funktionieren? Um das Ausgabeformat von Cloud Trail in etwas zu verwandeln, das Sie analysieren können, können Sie Amazon Athena nutzen. Amazon Athena ist ein serverloser, interaktiver Abfrageservice, der die Analyse von Big Data in S3 mit Standard-SQL erleichtert. Da Athena als Pay-per-Query-Service betrieben wird, bei dem sich die Kosten nach der Menge der gescannten Daten richten, ist es der perfekte Service, um die von Cloud Trail bereitgestellten Protokolle nach Bedarf zu analysieren. Die Alternative wäre, einen benutzerdefinierten Dienst zum Parsen der JSON-Protokolle zu schreiben, was extrem zeitaufwändig sein könnte. Mit Athena können Sie mithilfe von Standard-SQL-Abfragen genau herausfinden, welche Dienste, Ressourcen und Objekte eine Rolle berührt. Jetzt können Sie sich endlich an die Arbeit machen! Mit den Zugriffsprotokollen, die mit einer einfachen SQL-Syntax abgefragt werden können und bis zu dieser Granularität verfeinert wurden, können Sie damit beginnen, den minimalen Zugriff festzulegen, den eine Rolle benötigt. Dieser kann mit einer der folgenden Techniken ermittelt werden:

• Arbeiten Sie rückwärts und entfernen Sie Berechtigungen, die nicht verwendet werden.
• Arbeiten Sie an der Erteilung von Genehmigungen bei Verweigerungen.
• Automatisieren Sie den Prozess, um die Berechtigungen nach Bedarf zu kalibrieren. Jetzt sind Sie also in der Lage, den Zugriff zu entdecken, den Sie tatsächlich benötigen, anstatt nur den Zugriff zu nutzen, den Sie wünschen.