Verbessern Sie Ihre AWS-Benutzerverwaltung und Sicherheit mit AWS IAM Identity Center (SSO)

Ich habe viele AWS-Umgebungen gesehen und festgestellt, dass es sehr üblich ist, dass Unternehmen AWS IAM-Benutzer für die Anmeldung und den Zugriff auf die API verwenden. Dies kann zu Sicherheitsproblemen führen und ist zeitaufwendig zu verwalten. Dabei ist es sehr einfach, dies durch die Einrichtung von AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) zu verbessern.

Warum sollten Sie AWS IAM Identity Center verwenden?

AWS IAM-Benutzer sind direkt an ein bestimmtes Konto gebunden. Das bedeutet, dass Sie, wenn Sie mehrere Konten haben, IAM-Benutzer für alle diese Konten separat einrichten müssen. Bei mehreren Konten wird dies sehr schnell zeitaufwändig und stellt sogar ein Sicherheitsrisiko dar. Wenn beispielsweise ein Mitarbeiter das Unternehmen verlässt und der Administrator die IAM-Benutzer für jedes einzelne Konto entfernen muss, könnte er/sie sehr leicht vergessen, einen von ihnen zu entfernen, so dass der verlassene Mitarbeiter weiterhin Zugriff auf das Konto hat.

Auch bei der Verwendung von IAM-Benutzern ist Ihre Konsolensitzung 12 Stunden lang aktiv, was meiner Meinung nach viel zu lange ist. In diesen 12 Stunden kann ein böswilliger Akteur an die Sitzungs-Token gelangen und auf das Konto zugreifen.

Ein weiterer großer Nachteil der Verwendung von IAM-Benutzern besteht darin, dass die AWS-Anmeldeinformationen (Zugriffsschlüssel und Geheimnis) für den programmatischen Zugriff so lange gültig sind, bis Sie sie manuell widerrufen. Dies kann zu großen Sicherheitsproblemen führen, wenn diese Anmeldeinformationen nach außen dringen. Hier erfahren Sie mehr darüber, was passiert, wenn AWS-Anmeldeinformationen nach außen dringen , und wie AWS den Schaden minimiert

All diese Risiken können durch die Verwendung von AWS IAM Identity Center (Nachfolger von AWS Single Sign-On) gemildert werden.

AWS IAM-Identitätscenter

Durch den Einsatz von AWS IAM Identity Center mindern Sie alle oben genannten Risiken. Die Benutzerverwaltung wird zentralisiert, so dass Sie nicht mehr für jedes Konto IAM-Benutzer verwalten müssen. Benutzer, die das AWS IAM Identity Center verwenden, können sowohl auf die Konsole zugreifen als auch einen AWS-Zugangsschlüssel und ein Geheimnis für den programmatischen Zugriff über das AWS-Zugangsportal erhalten. Um die Sicherheit zu erhöhen, können Sie die Sitzungsdauer zwischen 15 Minuten und 7 Tagen einstellen und sogar Sitzungen widerrufen, die nicht mehr benötigt werden oder verdächtig aussehen.

Externe Identitätsanbieter

AWS IAM Identity Center unterstützt externe Identitätsanbieter wie Azure AD und Okta, um sich beim AWS-Zugangsportal anzumelden. Durch die Verwendung eines externen Identitätsanbieters verbessern Sie die Benutzerverwaltung, denn wenn ein Benutzer aus dem externen Identitätsanbieter entfernt wird, wird er automatisch auch aus AWS entfernt. Das macht die Verwaltung einfacher und sicherer.

Lesen Sie hier mehr über die Integration externer Identitätsanbieter: Verbindung mit einem externen Identitätsanbieter

So richten Sie das IAM Identity Center ein

Die Einrichtung des IAM Identity Center ist ganz einfach und kann ohne Unterbrechung der bestehenden IAM-Benutzer aktiviert werden. AWS hat eine gut geschriebene Dokumentation über den Einrichtungsprozess erstellt, so dass ich das hier nicht weiter erläutern werde. Siehe AWS IAM Identity Center (Nachfolger von AWS Single Sign-On): Erste Schritte

Wichtig ist, dass Sie nach dem Wechsel zu AWS IAM Identity Center (SSO) die IAM-Benutzer deaktivieren und entfernen.

Fazit

Durch den Einsatz von IAM Identity Center erhöhen Sie die Sicherheit durch die Verwendung von kurzlebigen Sitzungen und einer zentralen Benutzerverwaltung. Durch die Anbindung eines externen Identitätsanbieters wie Azure AD können Sie diesen Prozess sogar automatisieren.

_{^{Banner Foto von Vlad Hilitanu auf Unsplash}}