CIEM (Cloud Infrastructure Entitlement Management)

Public Clouds exponieren tausende feingranulare Berechtigungen über IAM-Benutzer, Rollen, Service-Principals sowie föderierte und Workload-Identitäten. CIEM-Tools inventarisieren alle effektiven Berechtigungen, vergleichen sie mit der tatsächlichen Nutzung und decken Überberechtigungen auf – etwa eine Rolle mit s3:*, die nur GetObject verwendet. Sie erkennen außerdem Privilegieneskalations-Pfade (PassRole-/AssumeRole-Ketten), ungenutzte Identitäten und Risiken bei kontoübergreifenden Trusts. Ergebnisse fließen typischerweise in automatische Remediation, enger gefasste Rollen und Just-in-Time-Privilegierung ein. CIEM ist eine zentrale Säule von CNAPP, besonders in Multi-Cloud-Umgebungen mit unterschiedlichen Berechtigungsmodellen.