Ansichten:

Was sind vertrauenswürdige Konten in Cloud Risk Management?

Ein Freundschaftskonto ist ein Konto, dem der Zugriff auf Ressourcen eines anderen Kontos gestattet ist, weil es als vertrauenswürdig gilt. Sobald ein Freundschaftskonto zu den relevanten Regeln hinzugefügt wird, führt dies nach einem Compliance-DURCHSUCHEN DURCHSUCHEN zu einer erfolgreichen Überprüfung.
Kontoadministratoren erlauben ausdrücklich bestimmte Aktionen oder Verhaltensweisen für vertrauenswürdige Konten. Diese Konten können auf einen begrenzten Funktionsumfang zugreifen, der vom Administrator als sicher angesehen wird.
Beispiel:
AWS Account A hat Zugriff auf Ressourcen in AWS Account B. Beide Konten können entweder demselben Unternehmen gehören oder auch nicht, oder Account A könnte einfach nur "trust" auf die Account B von der AWS-Konsole haben.
In diesem Fall wäre Account B ein vertrauenswürdiges (freundliches) Konto für Account A, wie vom Kunden bestimmt. Daher sind bestimmte Regelverstöße, die durch Account B verursacht werden, von der Prüfung ausgeschlossen.

Welche Regeln kann ich mit Friendly-Konten konfigurieren?

  1. VPC-006: VPC-Endpunkt-Kontoübergreifender Zugriff
  2. S3-015: S3-Kontoübergreifender Zugriff
  3. IAM-050: Cross-Account-Zugriff fehlt externe ID und MFA
  4. IAM-057: Überprüfung auf nicht vertrauenswürdige kontenübergreifende IAM-Rollen
  5. KMS-006: KMS-Kontenübergreifender Zugriff
  6. SNS-002: SNS-Kontoübergreifender Zugriff
  7. SQS-002: SQS-Kontoübergreifender Zugriff
  8. CWE-002: EventBus-Kontoübergreifender Zugriff
  9. SES-004: Erkennen von bereichsübergreifendem Zugriff
  10. ES-005: Elasticsearch Cross-Account-Zugriff
  11. Lambda-002: Lambda-Kontoübergreifender Zugriff
  12. ECR-002: Repository Cross-Account-Zugriff

Wie konfiguriere ich vertrauenswürdige Konten für eine Regel?

Please Note:: Das Konfigurieren einer Regel mit vertrauenswürdigen Konten ermöglicht es Benutzern, die keinen Zugriff auf diese Konten haben, die AWS-Konto-IDs in der Regelprüfung anzuzeigen.
  1. Klicken Sie auf die Schaltfläche Konfigurieren Regel im Konto aus der Liste der unterstützten Regeln.
  2. Sie können Freundliche Konten hinzufügen, indem Sie eine oder mehrere der folgenden Optionen auswählen:
    • **Manuelle Hinzufügung (Für alle Benutzer): Geben Sie den Kontonamen in das Textfeld ein und klicken Sie auf die Add new-Schaltfläche.
    • Accounts within your AWS Organization (For Admin Users Only)
      • Wählen Sie diese Option, um alle Konten in Ihrer AWS-Organisation als vertrauenswürdige Konten einzuschließen.
      • !!! Hinweis ""
        • Diese Option funktioniert nur für das AWS-Konto in Cloud Risk Management, das auch das Verwaltungskonto Ihrer AWS-Organisation ist, da sie Zugriff auf die Konto-IDs aller Konten in Ihrer AWS-Organisation erfordert.
        • Für die Regel VPC-006 - Nur VPC-Endpunkt-Cross-Account-Zugriff - Alle Benutzer können mit dieser Option freundliche Konten hinzufügen.
    1. Alle innerhalb dieser Cloud Risk Management Organisation (Nur für Administratoren) Wählen Sie diese Option, um alle AWS-Konten in der aktuellen Cloud Risk Management Organisation als vertrauenswürdige Konten einzuschließen.
    2. Alle mit den folgenden Cloud Risk Management-Tags (Nur für Administratoren) Geben Sie die zugehörigen Tags für die AWS-Konten aus derselben Cloud Risk Management-Organisation ein, die Sie als Freundeskonto einbeziehen möchten.