AWS: Einrichten des Identity Managements und Absichern des Zugangs

Nach dem Erstellen des AWS Accounts (http://ninja4.net/aws-einrichten-eines-neuen-amazon-web-service-account-billing-alarm-12-monate-kostenlos/) bei Amazon sollte man als nächstes grundsätzliche Einstellungen in der Umgebung machen, um die Sicherheit zu erhöhen.

Öffnen der Security Credentials

Als erstes sind die Security Credentials zu öffnen:

AWS warnt auch sofort, dass man mit seinen AWS Root Account arbeitet und die Einstellungen ändern soll, dass werden wir jetzt auch tun. Wir klicken auf "Continue to Security Credentials":

Wechselt man nun auf das Dashbord vom IAM (Identity and Access Management), wird folgende Seite angezeigt, die einen schon darauf hinweist, dass es mit der Sicherheit noch sehr schlecht aussieht:

Als erstes sollte man seinen eigenen User Sign-IN Link definieren:

Anschließend kann man diesen Link verwenden, um sich direkt mit den normalen Accounts hierüber einzuwählen:

Multi Factor Authentication für den Root Account

Da der Root Account die Berechtigung für wirklich alle Systeme hat, sollte man unbedingt MFA (Multi Factor Authentication) aktivieren. Zudem sollte man vermeiden, diesen Account wirklich oft zu verwenden.

Mit einen Klick auf "Manage MFA" kann mein eine Authenication wählen:

Über Hardware kann man verschiedene Hardware-Lösungen verwenden: (https://aws.amazon.com/iam/details/mfa/)

Multi Factor Authentication mit Android Handy

In diesem Beispiel zeige ich, wie man das mit einem Andorid Handy und "Google Authenticator" durchführen kann. Zunächst ist die App auf dem Smartphone zu installieren:

Und auf der WebSeite "A virtual MFA device" auszuwählen:

Bei der anschließenden Box einfach auf Next drücken:

Andschließend wird der QA Code für das Device angezeigt, der vom Handy einzuscannen ist:

Anschließend auf dem Smartphone den QR Code einscannen mit der Goolge Authenticator App:

Anschließend zeigt der Google Authenticator Codes an:

Die zwei folgenden Nummern sind einzugeben in der Maske auf der Webseite:

Und damit ist die Multi Authentication auch schon erfolgreich eingerichtet:

IAM User einrichten

Als nächstes sind die User Accounts einzurichten. AWS weißt noch mal ausdrücklich darauf hin, dass der Root Account üblicherweise nicht verwendet werden soll:

Im erscheinenden Dialog klickt man auf "Create New Users":

Hier kann man nun bis maximal 5 User gleichzeitig anlegen:

Anschließend werden die Security Credentials angezeigt, diese sollte man zudem auch Downloaden und an einen sicheren Ort verwahren. Diese werden beispielsweise dafür verwendet, um via API Remote Maschinen zu steuern:

IAM Gruppen einrichten

Berechtigungen sollten nie direkt einem User zugeordnet werden (auch wenn das geht), sondern immer nur Gruppen. Das Pflegen und Steuern wird in einem professionellen Umfeld sonst schwierig und birgt das Risiko, dass Berechtigungen für Nutzer nicht gestrichen werden.

Es sollte immer User bekommt Berechtigung über Gruppe. Gruppe bekommt Berechtigung über Policy laufen.

Meine Empfehlung ist IMMER nur mit Gruppen zu arbeiten:

Zunächst erstelle ich eine Master Gruppe "Administrator":

Dieser Gruppe weise ich anschließend die Policy zu:

Abschließend kann man noch einmal überprüfen, ob alles richtig gesetzt ist und das Erstellen der Gruppe bestätigen:

Anschließend können die Administratoren der Gruppe zugeordnet werden:

Der oder die User werden ausgewählt und anschließend hinzugefügt:

Dem User Account ein Password geben

Dem neuen Admin User kann man nun ein Passwort geben, wenn er auch zum Anmelden verwendet wird. Auch hier empfiehlt es sich MFA zu aktivieren:

Zugang Testen

Zunäcsht die eigene AWS Seite testen:

Und den MFA Code eingeben:

Password Policy

Geht man zurück auf das Dashboard ist jetzt nur noch das setzen einer individuellen Password Policy notwendig. Wie üblich kann man hier recht viel einstellen:

Hat man seine Einstellungen gemacht, kann man diese speichern:

Ziel Erreicht

Nun ist der AWS deutlich sicherer: