Ansichten:

Was sind vertrauenswürdige Konten in Cloud Risk Management?

Ein Freundschaftskonto ist ein Konto, dem der Zugriff auf Ressourcen eines anderen Kontos gestattet wird, weil es als vertrauenswürdig gilt. Sobald ein Freundschaftskonto zu den relevanten Regeln hinzugefügt wird, führt dies nach einem Compliance-DURCHSUCHEN DURCHSUCHEN zu einer erfolgreichen Überprüfung.
Kontoadministratoren erlauben ausdrücklich bestimmte Aktionen oder Verhaltensweisen für vertrauenswürdige Konten. Diese Konten können auf einen begrenzten Funktionsumfang zugreifen, der vom Administrator als sicher erachtet wird.
Beispiel:
AWS Account A hat Zugriff auf Ressourcen in AWS Account B. Beide Konten können entweder derselben Firma gehören oder Account A könnte einfach nur "trust" die Account B von der AWS Console.
In diesem Fall wäre Account B ein vertrauenswürdiges (freundliches) Konto für Account A, wie vom Kunden bestimmt. Daher werden bestimmte Regelverstöße, die durch Account B verursacht werden, von der Überprüfung ausgeschlossen.

Welche Regeln kann ich mit Friendly-Konten konfigurieren?

  1. VPC-006: VPC Endpoint Cross-Account-Zugriff
  2. S3-015: S3-Kontoübergreifender Zugriff
  3. IAM-050: Kontenübergreifender Zugriff ohne externe ID und MFA
  4. IAM-057: Überprüfung auf nicht vertrauenswürdige Cross-Account-IAM-Rollen
  5. KMS-006: KMS-Kontoübergreifender Zugriff
  6. SNS-002: SNS-Kontoübergreifender Zugriff
  7. SQS-002: SQS-Kontoübergreifender Zugriff
  8. CWE-002: EventBus-Kontoübergreifender Zugriff
  9. SES-004: Erkennen von bereichsübergreifendem Zugriff
  10. ES-005: Elasticsearch Cross-Account-Zugriff
  11. Lambda-002: Lambda-Kontoübergreifender Zugriff
  12. ECR-002: Repository-Zugriff über Konten hinweg
  13. VPC-014: VPC-Peering-Verbindungen zu Konten außerhalb der AWS-Organisation

Wie konfiguriere ich Freundliche Konten für eine Regel?

Please Note:: Das Konfigurieren einer Regel mit vertrauenswürdigen Konten ermöglicht es Benutzern, die keinen Zugriff auf diese Konten haben, die AWS-Konto-IDs in der Regelprüfung anzuzeigen.
  1. Klicken Sie auf die Schaltfläche Konfigurieren Regel im Konto aus der Liste der unterstützten Regeln.
  2. Sie können Freundeskonten hinzufügen, indem Sie eine oder mehrere der folgenden Optionen auswählen:
    • **Manuelle Hinzufügung (Für alle Benutzer): Geben Sie den Kontonamen in das Textfeld ein und klicken Sie auf die Add new-Schaltfläche.
    • Accounts within your AWS Organization (For Admin Users Only)
      • Wählen Sie diese Option, um alle Konten in Ihrer AWS-Organisation als freundliche Konten einzuschließen.
      • !!! Hinweis ""
        • Diese Option funktioniert nur für das AWS-Konto in Cloud Risk Management, das auch das Verwaltungskonto Ihrer AWS-Organisation ist, da sie Zugriff auf die Konto-IDs aller Konten in Ihrer AWS-Organisation erfordert.
        • Für die Regel VPC-006 - VPC Endpoint Cross Account Access nur - Alle Benutzer können mit dieser Option freundliche Konten hinzufügen.
    1. Alle innerhalb dieser Cloud Risk Management Organisation (Nur für Administratoren) Wählen Sie diese Option, um alle AWS-Konten in der aktuellen Cloud Risk Management Organisation als vertrauenswürdige Konten einzuschließen.
    2. Alle mit den folgenden Cloud Risk Management Tags (Nur für Administratoren) Geben Sie die zugehörigen Tags für die AWS-Konten aus derselben Cloud Risk Management Organisation ein, die Sie als Freundeskonto einbeziehen möchten.