Prüft, ob Richtlinien validiert werden - AWS Identitäts- und Zugriffsverwaltung
So funktionieren benutzerdefinierte RichtlinienüberprüfungenBeispiele für Referenzrichtlinien zum Prüfen auf neue ZugriffeÜberprüfung fehlgeschlagener benutzerdefinierter Richtlinien

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Prüft, ob Richtlinien validiert werden

IAMAccess Analyzer bietet Richtlinienprüfungen, mit deren Hilfe Sie Ihre IAM Richtlinien überprüfen können, bevor Sie sie an eine Entität anhängen. Dazu gehören grundlegende Richtlinienprüfungen, die im Rahmen der Richtlinienvalidierung durchgeführt werden, um Ihre Richtlinie anhand der Richtliniengrammatik und der bewährten Methoden für AWS zu validieren. Sie können die Ergebnisse der Richtlinienvalidierung anzeigen, die Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge für Ihre Richtlinie enthalten.

Sie können benutzerdefinierte Richtlinienüberprüfungen verwenden, um anhand Ihrer Sicherheitsstandards nach neuen Zugriffen zu suchen. Für jede Prüfung auf bisher nicht gewährten Zugriff wird eine Gebühr erhoben. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAMAccess Analyzer.

So funktionieren benutzerdefinierte Richtlinienüberprüfungen

Sie können Ihre Richtlinien mithilfe von benutzerdefinierten Richtlinienüberprüfungen von AWS Identity and Access Management Access Analyzer mit Ihren vorhandenen Sicherheitsstandards abgleichen. Sie können die folgenden Arten von benutzerdefinierten Richtlinien ausführen:

  • Vergleich mit einer Referenzrichtlinie: Wenn Sie eine Richtlinie bearbeiten, können Sie überprüfen, ob die aktualisierte Richtlinie im Gegensatz zu einer Referenzrichtlinie Zugang gewährt. Zum Vergleich könnten Sie beispielsweise eine vorhandene Version der Richtlinie heranziehen. Sie können diese Prüfung ausführen, wenn Sie eine Richtlinie mit dem AWS Command Line Interface (AWS CLI), IAM Access Analyzer API (API) oder dem JSON Richtlinieneditor in der IAM Konsole bearbeiten.

    Anmerkung

    IAMBei benutzerdefinierten Richtlinienprüfungen von Access Analyzer sind Platzhalter im Principal Element für Referenzressourcenrichtlinien zulässig.

  • Kontrolle anhand einer Liste von IAM Aktionen oder Ressourcen: Sie können überprüfen, ob bestimmte IAM Aktionen oder Ressourcen gemäß Ihrer Richtlinie nicht zulässig sind. Wenn nur Aktionen angegeben sind, prüft IAM Access Analyzer, ob die Aktionen auf alle Ressourcen in der Richtlinie zugegriffen haben. Wenn nur Ressourcen angegeben sind, überprüft IAM Access Analyzer, welche Aktionen Zugriff auf die angegebenen Ressourcen haben. Wenn sowohl Aktionen als auch Ressourcen angegeben sind, überprüft IAM Access Analyzer, welche der angegebenen Aktionen Zugriff auf die angegebenen Ressourcen haben. Sie können diese Prüfung ausführen, wenn Sie eine Richtlinie mithilfe des AWS CLI oder des erstellen oder bearbeitenAPI.

  • Auf öffentlichen Zugriff prüfen: Sie können überprüfen, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf einen bestimmten Ressourcentyp gewähren kann. Sie können diese Prüfung ausführen, wenn Sie eine Richtlinie mithilfe des AWS CLI oder des erstellen oder bearbeitenAPI. Diese Art der Überprüfung benutzerdefinierter Richtlinien unterscheidet sich von der Zugriffsvorschau, da für die Prüfung kein Konto oder ein externer Zugriffsanalysekontext erforderlich ist. Mithilfe von Access-Vorschauen können Sie eine Vorschau der IAM Access Analyzer-Ergebnisse anzeigen, bevor Sie Ressourcenberechtigungen bereitstellen, während die benutzerdefinierte Prüfung bestimmt, ob der öffentliche Zugriff möglicherweise durch eine Richtlinie gewährt wird.

Mit jeder Überprüfung der benutzerdefinierten Richtlinien ist eine Gebühr verbunden. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAMAccess Analyzer.

Sie können benutzerdefinierte Richtlinienüberprüfungen für identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien ausführen. Benutzerdefinierte Richtlinienüberprüfungen basieren nicht auf Methoden wie dem Musterabgleich oder der Untersuchung von Zugriffsprotokollen, um festzustellen, ob ein neuer oder ein bestimmter Zugriff gemäß einer Richtlinie zulässig ist. Ähnlich wie bei externen Zugriffsergebnissen basieren benutzerdefinierte Richtlinienüberprüfungen auf Zelkova. Zelkova übersetzt IAM Richtlinien in äquivalente logische Anweisungen und wendet eine Reihe von allgemeinen und spezialisierten logischen Solvern (Erfüllbarkeits-Modulo-Theorien) auf das Problem an. Um nach neuen oder bestimmten Zugriffen zu suchen, wendet IAM Access Analyzer Zelkova wiederholt auf eine Richtlinie an. Abfragen werden immer spezifischer, um Verhaltensklassen zu beschreiben, die die Richtlinie basierend ihrem Inhalt zulässt. Weitere Informationen zu den Satisfiability Modulo-Theorien finden Sie unter Satisfiability Modulo-Theorien.

In seltenen Fällen kann IAM Access Analyzer nicht vollständig feststellen, ob eine Richtlinienanweisung neuen oder bestimmten Zugriff gewährt. In diesen Fällen wird tendenziell ein falsch positives Ergebnis gemeldet, indem die benutzerdefinierte Richtlinienüberprüfung scheitert. IAMAccess Analyzer soll eine umfassende Richtlinienbewertung ermöglichen und die Menge an falsch negativen Ergebnissen minimieren. Mit diesem Ansatz bietet IAM Access Analyzer ein hohes Maß an Sicherheit; eine bestandene Prüfung bedeutet, dass der Zugriff durch die Richtlinie nicht gewährt wurde. Sie können fehlgeschlagene Prüfungen manuell überprüfen, indem Sie die Richtlinienanweisung überprüfen, die in der Antwort von IAM Access Analyzer angegeben ist.

Beispiele für Referenzrichtlinien zum Prüfen auf neue Zugriffe

Beispiele für Referenzrichtlinien und mehr Informationen darüber, wie Sie eine benutzerdefinierte Richtlinienüberprüfung für neuen Zugriff erstellen und ausführen, erfahren Sie im Repository IAMAccess Analyzer custom policy checks samples auf GitHub

Hinweise zur Verwendung dieser Beispiele

Führen Sie die folgenden Schritte aus, bevor Sie diese Beispiel-Referenzrichtlinien verwenden:

  • Überprüfen Sie die Referenzrichtlinien sorgfältig und passen Sie sie an Ihre individuellen Anforderungen an.

  • Testen Sie die Referenzrichtlinien in Ihrer Umgebung gründlich mit den von Ihnen verwendeten AWS-Services .

    Die Referenzrichtlinien veranschaulichen die Implementierung und Verwendung von benutzerdefinierten Richtlinienüberprüfungen. Sie sind nicht als offizielle Empfehlungen von AWS oder bewährte Methoden zu interpretieren, die genau wie gezeigt umgesetzt werden müssen. Es liegt in Ihrer Verantwortung, alle Referenzrichtlinien sorgfältig zu testen, ob sie die Sicherheitsanforderungen Ihrer Umgebung zu erfüllen.

  • Benutzerdefinierte Richtlinienüberprüfungen sind in ihrer Analyse umgebungsunabhängig. Bei ihrer Analyse werden nur Informationen berücksichtigt, die in den Eingaberichtlinien enthalten sind. Mit benutzerdefinierten Richtlinienüberprüfungen kann beispielsweise nicht überprüft werden, ob ein Konto Mitglied einer bestimmten AWS -Organisation ist. Daher können die benutzerdefinierten Richtlinienüberprüfungen neue Zugriffe nicht anhand der Bedingungsschlüsselwerte für die Bedingungsschlüssel aws:PrincipalOrgId und aws:PrincipalAccount vergleichen.

Überprüfung fehlgeschlagener benutzerdefinierter Richtlinien

Wenn eine benutzerdefinierte Richtlinienüberprüfung fehlschlägt, enthält die Antwort von IAM Access Analyzer die Anweisungs-ID (Sid) der Richtlinienanweisung, die zum Fehlschlagen der Prüfung geführt hat. Obwohl es sich bei der Anweisungs-ID um ein optionales Richtlinienelement handelt, empfehlen wir, dass Sie für jede Richtlinienanweisung eine Anweisungs-ID hinzufügen. Die benutzerdefinierte Richtlinienüberprüfung gibt auch einen Anweisungsindex zurück, anhand dessen der Grund für die fehlgeschlagene Prüfung ermittelt werden kann. Der Anweisungsindex folgt einer auf Null basierenden Nummerierung, wobei auf die erste Anweisung die 0 hat. Wenn mehrere Anweisungen dazu führen, dass eine Prüfung fehlschlägt, gibt die Prüfung jeweils nur eine Anweisungs-ID zurück. Wir empfehlen Ihnen, die in der Begründung hervorgehobene Anweisung zu korrigieren und die Prüfung erneut durchzuführen, bis sie erfolgreich ist.