Rollen-Details
Die Rollen-Details-Seite bietet eine umfassende Ansicht von Cloud-IAM-Rollen, Anwendungsrollen und Berechtigungssätzen, die von Hydden ermittelt wurden. Diese Seite zeigt Details zu Rollenzuweisungen, einschließlich direkter und geerbter Zuweisungen, zusammen mit Authentifizierungsaktivitäten für alle Konten mit der Rolle. Rollen-Details-Seiten sind für Cloud-Zugriffsüberprüfungen, Least-Privilege-Analysen und das Verständnis von Role-Based Access Control (RBAC)-Implementierungen unerlässlich.
Übersicht
Rollen-Details-Seiten bieten kritische Informationen zum Verständnis von Cloud-Berechtigungen und rollenbasierter Autorisierung:
- Rollenattribute: Name, Beschreibung, Plattform, Datenquelle, Anbieter
- Zuweisungszahlen: Direkte Rollenanzahl vs. erweiterte (geerbte) Rollenanzahl
- Mitglieder-Inventar: Vollständige Liste der Konten, denen diese Rolle zugewiesen ist
- Zuweisungstyp: Direkte Zuweisung vs. geerbt von Gruppen oder verschachtelten Rollen
- Aktivitätsverfolgung: Anmeldeverlauf für alle Konten mit der Rolle
- Berechtigungsanalyse: Verständnis der durch diese Rolle gewährten Berechtigungen
Dieser Seitentyp ist entscheidend für Cloud-IAM-Audits, Compliance-Überprüfungen und Least-Privilege-Verifizierung, insbesondere für hochprivilegierte Rollen wie Owner, Contributor, Administrator oder benutzerdefinierte administrative Rollen in Azure, AWS, GCP und anderen Cloud-Plattformen.
Schlüsselkonzepte
Rolle vs. Gruppe
Das Verständnis des Unterschieds zwischen Rollen und Gruppen ist wesentlich:
| Aspekt | Rollen | Gruppen |
|---|---|---|
| Zweck | Definieren Berechtigungen und Zugriffsstufen | Definieren Sammlungen von Benutzern |
| Plattform | Primär Cloud-Plattformen (Azure, AWS, GCP) | On-Premises- und Cloud-Verzeichnisse |
| Zuweisung | Rollen werden Konten oder Gruppen zugewiesen | Konten sind Mitglieder von Gruppen |
| Berechtigungen | Rollen gewähren spezifische Berechtigungen | Gruppen können Rollen zugewiesen werden |
| Beispiele | Azure Global Administrator, AWS AdministratorAccess, GCP Owner | Active Directory-Gruppen, Azure AD-Sicherheitsgruppen |
Hauptunterschied: Rollen definieren was Sie tun können (Berechtigungen), während Gruppen definieren, mit wem Sie zusammen sind (Mitgliedschaft).
Cloud-Rollentypen
Rollen werden basierend auf ihrem Umfang und ihrer Plattform kategorisiert:
| Rollentyp | Beschreibung | Häufige Beispiele |
|---|---|---|
| Built-in Admin | Vordefinierte Rollen mit umfassenden administrativen Berechtigungen | Azure Global Administrator, AWS AdministratorAccess, GCP Owner |
| Built-in Privileged | Vordefinierte Rollen mit erhöhten, aber begrenzten Berechtigungen | Azure Security Administrator, AWS PowerUserAccess, GCP Editor |
| Built-in Standard | Vordefinierte Rollen für häufige Aufgaben | Azure Reader, AWS ReadOnlyAccess, GCP Viewer |
| Custom | Organisationsdefinierte Rollen mit spezifischen Berechtigungen | Benutzerdefinierte Entwicklerrolle, benutzerdefinierte Auditorrolle |
| Application | Anwendungsspezifische Rollen | Salesforce Admin, Workday Security Administrator |
Direkte vs. erweiterte Rollenanzahl
Das Verständnis von Zuweisungstypen ist kritisch für genaue Zugriffsüberprüfungen:
Direkte Rollenanzahl:
- Konten, denen diese Rolle explizit zugewiesen ist
- Direkte Rolle-zu-Konto-Zuweisung
- Sichtbar als Direct Role Count auf der Rollen-Details-Seite
Erweiterte Rollenanzahl (Geerbte Zuweisungen):
- Konten, die diese Rolle durch Gruppenmitgliedschaft oder verschachtelte Rollen erben
- Beinhaltet direkte Zuweisungen plus geerbte Zuweisungen
- Sichtbar als Expanded Role Count (auch Total Role Count genannt)
Beispiel:
Rolle: Azure Contributor (Abonnementebene)
├─ Direkte Zuweisungen: alice@company.com, bob@company.com (Direct Role Count = 2)
└─ Zugewiesen an Gruppe: "Cloud Platform Team"
└─ Mitglieder: charlie@company.com, dana@company.com
Gesamte Expanded Role Count = 4 (2 direkt + 2 geerbt über Gruppe)Privilegierte Rollen
Rollen mit erhöhten Berechtigungen werden als privilegiert gekennzeichnet:
- Hochprivilegierte Rollen: Rollen mit administrativem Zugriff auf die gesamte Plattform oder den Mandanten
- Risikoindikator: Zuweisung privilegierter Rollen trägt zu Konto-Risikoscores bei
- Häufige privilegierte Rollen:
- Azure: Global Administrator, Privileged Role Administrator, Security Administrator
- AWS: AdministratorAccess, SecurityAudit, IAMFullAccess
- GCP: Owner, Security Admin, Organization Administrator
- Okta: Super Administrator, Application Administrator
Weitere Informationen zur Berechtigungserkennung finden Sie unter Risikoerkennungsregeln.
Rollenumfang
Cloud-Rollen operieren auf verschiedenen Umfangsebenen:
Azure-Umfangsebenen:
- Management Group: Gilt für mehrere Abonnements
- Subscription: Gilt für alle Ressourcen in einem Abonnement
- Resource Group: Gilt für Ressourcen innerhalb einer Ressourcengruppe
- Resource: Gilt für eine spezifische Ressource
AWS-Umfang:
- Account-wide: Gilt für das gesamte AWS-Konto
- Service-specific: Begrenzt auf spezifische AWS-Services
GCP-Umfang:
- Organization: Gilt für die gesamte Organisation
- Folder: Gilt für Ordner innerhalb der Organisation
- Project: Gilt für spezifische Projekte
Breitere Umfänge (Management Group, Organization) gewähren umfangreicheren Zugriff als engere Umfänge (Resource, Project).
Datenkacheln
Die Rollen-Details-Seite zeigt Informationskacheln mit wichtigen Rollenattributen an:
Rolleninformationskachel
| Feld | Beschreibung |
|---|---|
| Role Name | Rollenname wie im Rollenanbieter verwendet |
| Role Description | Beschreibung des Zwecks und der Berechtigungen der Rolle (falls verfügbar) |
| Platform | Systemplattform, auf der die Rolle ermittelt wurde (Azure, AWS, GCP, Okta usw.) |
| Data Source Name | Sammlermodul, das die Rollendaten abgerufen hat |
| Domain | Cloud-Mandant oder Kontoidentifikator |
| Provider | Rollenanbieter (Azure, AWS, GCP, Okta usw.) |
| Role Type | Built-in oder Custom |
| Scope | Rollenumfang (Subscription, Resource Group, Account, Project usw.) |
| Is Privileged | Berechtigungsstufen-Indikator (falls zutreffend) |
Mitgliedschaftsinformationskachel
| Feld | Beschreibung |
|---|---|
| Direct Role Count | Anzahl der Konten mit dieser spezifischen Rollenzuweisung |
| Expanded Role Count | Gesamtzuweisungen einschließlich direkter plus geerbter über Gruppen |
Der Unterschied zwischen Direct Role Count und Expanded Role Count zeigt das Ausmaß der Rollenvererbung durch Gruppen. Große Diskrepanzen weisen auf erhebliche gruppenbasierte Rollenzuweisung hin, die überprüft werden sollte.
Datenregisterkarten
Rollenmitgliedschafts-Registerkarte
Vollständiges Inventar aller Konten, denen diese Rolle zugewiesen ist, mit direkten und geerbten Zuweisungen.
Standardspalten:
| Spalte | Beschreibung |
|---|---|
| Account Name | Name des Kontos mit dieser Rollenzuweisung |
| Display Name | Anzeigename des Kontos |
| Platform | Kontoplattform |
| Data Source | Datenquelle, in der das Konto ermittelt wurde |
| Assignment Type | Direct (explizit zugewiesen) oder Expanded (geerbt über Gruppe) |
| Assignment Scope | Umfang der Rollenzuweisung (Subscription, Resource Group, Project usw.) |
| Account Type | User, Service, Federated usw. |
| Status | Kontostatus (Enabled, Disabled, Locked, Expired) |
| Last Logon | Letzte erfolgreiche Authentifizierung |
| Is Privileged | Berechtigungsniveau des Kontos (0-10 Skala) |
Anwendungsfälle:
- Zugriffsüberprüfung: Verifizieren, dass alle Konten diese Rollenzuweisung haben sollten
- Berechtigungs-Audit: Identifizieren, wer privilegierten Zugriff über diese Rolle hat
- Vererbungsanalyse: Nach Assignment Type filtern, um geerbte Zuweisungen zu sehen
- Identifizierung inaktiver Zuweisungen: Nach Last Logon sortieren, um inaktive Konten mit der Rolle zu finden
- Compliance-Auditing: Nachweise für Cloud-Zugriffszertifizierung generieren
- Least-Privilege-Überprüfung: Konten identifizieren, die möglicherweise übermäßige Berechtigungen haben
- Bereinigungsplanung: Rollenzuweisungen zur Entfernung identifizieren
Filterung und Analyse:
- Nach Assignment Type = Direct filtern: Nur explizit zugewiesene Konten anzeigen
- Nach Assignment Type = Expanded filtern: Nur geerbte Zuweisungen anzeigen (über Gruppen)
- Nach Status = Disabled filtern: Konten finden, denen die Rolle entfernt werden sollte
- Nach Last Logon sortieren (älteste zuerst): Veraltete Rollenzuweisungen identifizieren
- Nach Is Privileged > 5 filtern: Fokus auf hochprivilegierte Konten mit dieser Rolle
- Nach Assignment Scope filtern: Fokus auf spezifische Umfänge (z.B. Produktionsabonnements)
Aktionen:
- Klicken Sie auf ein beliebiges Konto, um Konto-Details zu öffnen
- Rollenzuweisungsliste für Zugriffsüberprüfungsdokumentation exportieren
- Action-Schaltfläche verwenden, um Zugriffsüberprüfungen anzufordern oder Compliance-Berichte zu generieren
Anmeldeverlaufs-Registerkarte
Authentifizierungsaktivität für alle Konten mit dieser Rollenzuweisung (direkt und geerbt), die Einblick in Rollennutzungsmuster bietet.
Standardspalten:
| Spalte | Beschreibung |
|---|---|
| Login Date/Time | Zeitstempel des Authentifizierungsereignisses |
| Account Name | Konto, das sich authentifiziert hat |
| Platform | System, auf dem die Authentifizierung erfolgte |
| Login Status | Success oder Failed |
| Assignment Type | Direct oder Expanded (zeigt, wie das Konto diese Rolle hat) |
| Source IP Address | IP-Adresse des Anmeldeversuchs (falls verfügbar) |
| Login Type | Interactive, Network, Service usw. |
| Geolocation | Geografischer Standort der Anmeldung (falls verfügbar) |
Anwendungsfälle:
- Aktivitätsverifizierung: Bestätigen, dass Konten mit dieser Rolle ihren Zugriff aktiv nutzen
- Erkennung inaktiver Zuweisungen: Konten ohne kürzliche Anmeldungen identifizieren (Kandidaten für Rollenentfernung)
- Sicherheitsuntersuchungen: Verdächtige Authentifizierungsmuster für Rolleninhaber untersuchen
- Compliance-Auditing: Rollennutzung für Audit-Trails dokumentieren
- Musteranalyse: Verstehen, wie rollenbasierter Zugriff genutzt wird (interaktiv vs. Dienstkonten)
- Least-Privilege-Validierung: Ungenutzte Rollenzuweisungen zur Entfernung identifizieren
Analysetipps:
- Nach Login Date/Time sortieren (älteste zuerst): Konten ohne kürzliche Aktivität finden
- Nach Login Status = Failed filtern: Potenzielle Sicherheitsprobleme identifizieren
- Nach Assignment Type filtern: Aktivität direkter Zuweisung von geerbter Aktivität trennen
- Nach Account Name gruppieren: Aktivität pro Rolleninhaber sehen
- Nach Anomalien suchen: Ungewöhnliche Anmeldezeiten, Standorte oder Häufigkeiten für diese Rolle
Beispiel-Erkenntnisse:
- Keine Anmeldungen in 90+ Tagen: Konto benötigt diese Rolle möglicherweise nicht (Kandidat für Entfernung)
- Dienstkonto mit interaktiven Anmeldungen: Potenzielles Sicherheitsproblem (Dienstkonten sollten nicht-interaktive Authentifizierung verwenden)
- Spitzen fehlgeschlagener Anmeldungen: Möglicher Brute-Force-Versuch oder kompromittierte Anmeldeinformationen
- Ungewöhnliche Geolokation: Zugriff von unerwarteten Standorten für diese Rolle
Teilen über Action
Bei Mandanten mit aktivierter Funktion Integrate Action Providers and Workflows bietet die Action-Schaltfläche Workflow-Automatisierungsoptionen.
Verfügbare Aktionen
E-Mail-Benachrichtigung:
- Rollenzuweisungsliste an Cloud-Administratoren oder Manager senden
- Sicherheitsteam über privilegierte Rollenänderungen informieren
- Zugriffsüberprüfung für Rollenzuweisungen anfordern
- Sicherheitsbefunde für hochriskante Rollen eskalieren
- Stakeholder über Rollenzuweisungsänderungen benachrichtigen
Ticket erstellen:
- ServiceNow Incident/Request Tickets für Zugriffsüberprüfungen generieren
- JIRA-Issues für Rollenzuweisungsbereinigung erstellen
- Automatisiertes Ticketing für Richtlinienverstöße (z.B. überprivilegierte Konten)
- Cloud-Zugriffszertifizierungs-Workflows verfolgen
- Abschluss von Zugriffsüberprüfungen dokumentieren
Benutzerdefinierte Workflows:
- Organisationsspezifische Automatisierung ausführen
- Integration mit Cloud-Governance-Plattformen auslösen
- Rollenentfernungs-Workflows für inaktive Zuweisungen initiieren
- Benutzerdefinierte Compliance-Berichterstattung
- Automatisierte Least-Privilege-Analyse
Häufige Workflows
Überprüfung privilegierter Rollenzugriffe
- Zu Rollen-Details navigieren für privilegierte Rolle (z.B. Azure Global Administrator)
- Mitgliedschaftsinformationskachel überprüfen, um direkte vs. erweiterte Zuweisungen zu verstehen
- Rollenmitgliedschafts-Registerkarte öffnen, um alle Konten mit dieser Rolle zu sehen
- Nach Assignment Type = Expanded filtern, um gruppengeerbte Zuweisungen zu identifizieren
- Nach Last Logon sortieren, um inaktive Konten mit der Rolle zu identifizieren
- Geschäftliche Rechtfertigung verifizieren für jede Zuweisung
- Anmeldeverlaufs-Registerkarte prüfen, um zu bestätigen, dass Rolleninhaber ihren Zugriff nutzen
- Umfangsangemessenheit bewerten (z.B. sollte Rolle enger begrenzt sein?)
- Befunde dokumentieren für Compliance
- Action-Schaltfläche verwenden, um Entfernung unangemessener Zuweisungen anzufordern
- Folgeüberprüfung planen (vierteljährlich für hochprivilegierte Rollen)
Least-Privilege-Analyse
- Rollen-Details öffnen für die Zielrolle
- Rollenberechtigungen überprüfen (Cloud-Anbieter-Dokumentation konsultieren)
- Rollenmitgliedschafts-Registerkarte öffnen, um alle Zuweisungen zu sehen
- Anmeldeverlaufs-Registerkarte prüfen, um tatsächliche Nutzungsmuster zu bestimmen
- Konten ohne kürzliche Anmeldungen identifizieren (90+ Tage)
- Bewerten, ob inaktive Konten diese Rolle benötigen
- Für aktive Konten verifizieren, dass Rolle für ihre Funktion notwendig ist
- Konten mit mehreren privilegierten Rollen identifizieren (potenziell überprivilegiert)
- Rollenentfernung empfehlen für inaktive oder unnötige Zuweisungen
- Enger begrenzte Rollen vorschlagen, wo angemessen
- Least-Privilege-Empfehlungen dokumentieren
Untersuchung der Rollenvererbung
- Rollen-Details öffnen für die Rolle
- Unterschied beachten zwischen Direct Role Count und Expanded Role Count
- Rollenmitgliedschafts-Registerkarte öffnen
- Nach Assignment Type = Expanded filtern, um geerbte Zuweisungen zu sehen
- Für jede erweiterte Zuweisung die Gruppe identifizieren, die die Rolle bereitstellt
- Bewerten, ob gruppenbasierte Zuweisung angemessen ist oder Sicherheitsrisiken schafft
- Auf Privilege Creep prüfen: Erhielten Gruppenmitglieder mehr Zugriff als beabsichtigt?
- Gruppenmitgliedschaft verifizieren ist für Rollenzuweisung angemessen
- Rollenvererbungsbeziehungen dokumentieren für Governance
- Direkte Zuweisung empfehlen, wenn gruppenbasierte Zuweisung unangemessen ist
Compliance-Audit (Cloud-Rollenebene)
- Hochwertige oder regulierte Cloud-Rollen auswählen für Audit
- Rollenmitgliedschafts-Registerkarte überprüfen für alle Zuweisungen
- Rollenzuweisungsliste exportieren für Prüferüberprüfung
- Aufgabentrennung verifizieren (keine widersprüchlichen Rollenzuweisungen)
- Auf ausgeschiedene Mitarbeiter prüfen (nach Kontostatus filtern)
- Anmeldeverlauf überprüfen für Nutzungsnachweise
- Rechtfertigung privilegierter Rollen verifizieren für jede Zuweisung
- Zuweisungsumfang prüfen auf Angemessenheit (z.B. Abonnement vs. Ressource)
- Abschluss der Überprüfung dokumentieren mit Zeitstempeln und Befunden
- Nachweise speichern für Compliance-Aufzeichnungen
- Nächsten Überprüfungszyklus planen gemäß Compliance-Anforderungen
Rollenzuweisungen verstehen
Zuweisungstyp-Indikator
Die Spalte Assignment Type in der Rollenmitgliedschafts-Registerkarte zeigt, wie Konten die Rolle erhalten haben:
| Assignment Type | Beschreibung | Zuweisungsmethode |
|---|---|---|
| Direct | Rolle explizit dem Konto zugewiesen | Direkte Rolle-zu-Konto-Zuweisung |
| Expanded | Rolle geerbt über Gruppenmitgliedschaft oder verschachtelte Rolle | Gruppen- oder Rollenvererbung |
Warum das wichtig ist:
- Zugriffsüberprüfungen: Sie müssen wissen, woher der Zugriff kommt, um ihn ordnungsgemäß zu entfernen
- Berechtigungsanalyse: Gruppenbasierte Rollenzuweisung kann versteckte Berechtigungseskalation schaffen
- Compliance: Prüfer benötigen Verständnis aller Rollenzuweisungspfade
- Bereinigung: Das Entfernen der Rollenzuweisung einer Gruppe betrifft alle erweiterten Zuweisungen ihrer Mitglieder
Rollenumfang und -auswirkung
Der Rollenumfang bestimmt das Ausmaß der gewährten Berechtigungen:
Azure-Beispiel:
Rolle: Contributor
├─ Umfang: Management Group "Production" → Sehr breiter Zugriff auf alle Abonnements
├─ Umfang: Subscription "Prod-App-01" → Moderater Zugriff auf ein Abonnement
└─ Umfang: Resource Group "web-servers" → Enger Zugriff auf spezifische RessourcenBest Practice: Rollen im engsten notwendigen Umfang zuweisen (Prinzip der minimalen Berechtigung).
Identifizierung privilegierter Rollen
Rollen werden als privilegiert identifiziert basierend auf:
- Integrierte administrative Rollen: Global Administrator, Owner, AdministratorAccess
- Sicherheitsbezogene Rollen: Security Administrator, SecurityAudit
- IAM-Verwaltungsrollen: User Administrator, IAM Admin
- Benutzerdefinierte administrative Rollen: Organisationsdefinierte Admin-Rollen
Die Zuweisung privilegierter Rollen trägt zu Konto-Risikoscores über Risikoerkennungsregeln bei.
Service Principals und Dienstkonten
Cloud-Plattformen verwenden oft Service Principals oder Dienstkonten mit Rollenzuweisungen:
- Azure: Service Principals für Anwendungsauthentifizierung
- AWS: IAM-Benutzer und -Rollen für Dienstkonten
- GCP: Dienstkonten für Anwendungsidentitäten
Sicherheitsüberlegung: Dienstkonten mit privilegierten Rollen sollten sorgfältig überwacht werden und Least-Privilege-Prinzipien folgen.
Fehlerbehebung
| Problem | Lösung |
|---|---|
| Direct Role Count stimmt nicht mit erwarteter Anzahl überein | Rollensynchronisation von Datenquelle verifizieren; Sammlerberechtigungen prüfen; letzten Sammlungszeitstempel für Cloud-Plattform überprüfen |
| Expanded Role Count fehlt oder ist falsch | Sicherstellen, dass gruppenbasierte Rollenzuweisungsverfolgung aktiviert ist; Sammlerkonfiguration für Cloud-Plattform verifizieren |
| Fehlende Zuweisungen in der Rollenmitgliedschafts-Registerkarte | Kontoermittlung für Cloud-Plattform verifizieren; prüfen, ob Konten deaktiviert/gelöscht sind; Rollenzuweisungssammlung verifizieren |
| Anmeldeverlauf unvollständig | Sicherstellen, dass Authentifizierungsprotokollierung auf Cloud-Plattform aktiviert ist; Sammlerkonfiguration für Anmeldeprotokolle verifizieren; Datumsbereichsfilter prüfen |
| Rollenvererbung nicht aufgelöst | Verifizieren, dass Sammler Berechtigung zum Lesen von Gruppenmitgliedschaften hat; auf Rollenzuweisung auf Gruppenebene prüfen; Rollenerweiterungseinstellungen überprüfen |
| Berechtigungs-Flag fehlt | Risikoerkennungsregeln für Berechtigungsidentifizierung überprüfen; Rollennamen-Matching-Muster verifizieren; prüfen, ob Rolle benutzerdefiniert ist |
| Assignment Type zeigt immer Direct an | Prüfen, ob Sammler gruppenbasierte Rollenzuweisungsverfolgung unterstützt; verifizieren, dass Rollenvererbungsdaten gesammelt werden |
| Rollenumfangsinformationen fehlen | Verifizieren, dass Sammler konfiguriert ist, Rollenumfangsdetails zu sammeln; Cloud-Plattform-Berechtigungen für Rollenverwaltungs-API-Zugriff prüfen |
Verwandte Themen
- Entity Details - Übersicht - Übersicht über alle Entitätsdetailseiten
- Konto-Details - Ansicht auf individueller Kontoebene
- Eigentümer-Details - Aggregierte Ansicht auf Identitätsebene
- Gruppen-Details - Details zu Gruppenmitgliedschaften
- Global Search - Suchoberfläche
- Global Search Default Columns - Spaltenreferenz
- Threat Detection - Risikoregeln und Berechtigungserkennung verstehen
- Data Sources - Cloud-Plattform-Konnektoren und Rollensammlung
- Azure Data Source - Azure AD- und Azure-Rollensammlung
- AWS Data Source - AWS IAM-Rollensammlung
- GCP Data Source - GCP IAM-Rollensammlung
- Automation Workflows - Action-Workflows und Trigger