Verstehen Sie, wie die Ergebnisse von IAM Access Analyzer funktionieren - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verstehen Sie, wie die Ergebnisse von IAM Access Analyzer funktionieren

In diesem Thema werden die in IAM Access Analyzer verwendeten Konzepte und Begriffe beschrieben, damit Sie sich damit vertraut machen können, wie IAM Access Analyzer den Zugriff auf Ihre AWS Ressourcen überwacht.

Ergebnisse zum externen Zugriff

Ergebnisse zum externen Zugriff werden für jede Instance einer Ressource, die außerhalb Ihrer Vertrauenszone freigegeben wird, nur einmal generiert. Jedes Mal, wenn eine ressourcenbasierte Richtlinie geändert wird, analysiert IAM Access Analyzer die Richtlinie. Wenn die aktualisierte Richtlinie eine Ressource freigibt, die bereits mit anderen Berechtigungen oder Bedingungen in einem Ergebnis identifiziert wurde, wird für diese Instance der Ressourcenfreigabe ein neues Ergebnis generiert. Wenn der Zugriff im ersten Ergebnis entfernt wird, erhält dieses Ergebnis den Status Gelöst.

Der Status aller Ergebnisse bleibt Aktiv, bis Sie sie archivieren oder den Zugriff, der das Ergebnis generiert hat, entfernen. Wenn Sie den Zugriff entfernen, wird der Ergebnisstatus auf Gelöst aktualisiert.

Anmerkung

Nach der Änderung einer Richtlinie kann es bis zu 30 Minuten dauern, bis IAM Access Analyzer die Ressource analysiert und anschließend die Ergebnisse für den externen Zugriff aktualisiert.

Wie IAM Access Analyzer Ergebnisse für den externen Zugriff generiert

AWS Identity and Access Management Access Analyzer verwendet eine Technologie namens Zelkova, um IAM Richtlinien zu analysieren und den externen Zugriff auf Ressourcen zu identifizieren.

Zelkova übersetzt IAM Richtlinien in äquivalente logische Aussagen und durchläuft sie mit einer Reihe von allgemeinen und speziellen logischen Solvern (Modulo-Theorien zur Erfüllbarkeit). IAMAccess Analyzer wendet Zelkova wiederholt auf eine Richtlinie an und verwendet dabei immer spezifischere Abfragen, um anhand ihres Inhalts die Zugriffsarten zu charakterisieren, die die Richtlinie zulässt. Weitere Informationen zu den Satisfiability Modulo-Theorien finden Sie unter Satisfiability Modulo-Theorien.

Bei externen Zugriffsanalysatoren untersucht IAM Access Analyzer keine Zugriffsprotokolle, um festzustellen, ob eine externe Entität tatsächlich auf eine Ressource in Ihrer Vertrauenszone zugegriffen hat. Stattdessen wird ein Ergebnis generiert, wenn eine ressourcenbasierte Richtlinie den Zugriff auf eine Ressource zulässt, unabhängig davon, ob die externe Entität auf die Ressource zugegriffen hat.

Darüber hinaus berücksichtigt IAM Access Analyzer bei seinen Entscheidungen nicht den Status externer Konten. Wenn es angibt, dass das Konto 111122223333 auf Ihren Amazon S3 S3-Bucket zugreifen kann, enthält es keine Informationen über die Benutzer, Rollen, Servicesteuerungsrichtlinien (SCP) oder andere relevante Konfigurationen in diesem Konto. Dies dient dem Datenschutz der Kunden, da IAM Access Analyzer nicht weiß, wem das andere Konto gehört. Dies dient auch der Sicherheit, da es wichtig ist, über mögliche externe Zugriffe Bescheid zu wissen, auch wenn es derzeit keine aktiven Principals gibt, die ihn verwenden können.

IAMAccess Analyzer berücksichtigt nur bestimmte IAM Bedingungsschlüssel, auf die externe Benutzer keinen direkten Einfluss haben oder die sich auf andere Weise auf die Autorisierung auswirken. Beispiele für Bedingungsschlüssel, die IAM Access Analyzer berücksichtigt, finden Sie unter IAMAccess Analyzer-Filterschlüssel.

IAMAccess Analyzer meldet derzeit keine Ergebnisse von AWS-Service Prinzipalen oder internen Dienstkonten. In seltenen Fällen, in denen nicht vollständig festgestellt werden kann, ob eine Grundsatzerklärung einer externen Entität Zugriff gewährt, irrt es sich, als würde es ein falsch positives Ergebnis deklarieren. Das liegt daran, dass IAM Access Analyzer so konzipiert ist, dass es einen umfassenden Überblick über die gemeinsame Nutzung von Ressourcen in Ihrem Konto bietet und Falschmeldungen minimiert.

Ergebnisse zum ungenutzten Zugriff

Ergebnisse für ungenutzte Zugriffe werden für IAM Entitäten innerhalb des ausgewählten Kontos oder der Organisation auf der Grundlage der bei der Erstellung des Analyzers angegebenen Anzahl von Tagen generiert. Wenn der Analysator die Entitäten das nächste Mal scannt, wird ein neues Ergebnis generiert, wenn eine der folgenden Bedingungen erfüllt ist:

  • Eine Rolle ist für die angegebene Anzahl von Tagen inaktiv.

  • Eine ungenutzte Berechtigung, ein ungenutztes Benutzerpasswort oder ein ungenutzter Benutzerzugriffsschlüssel überschreitet die angegebene Anzahl von Tagen.

Anmerkung

Ergebnisse ungenutzter Zugriffe sind nur mit der API Aktion ListFindingsV2 verfügbar.

Wie IAM Access Analyzer Ergebnisse für ungenutzten Zugriff generiert

Um ungenutzten Zugriff zu analysieren, müssen Sie für Ihre Rollen einen separaten Analysator für Ergebnisse ungenutzter Zugriffe erstellen, auch wenn Sie bereits einen Analysator zur Generierung von Ergebnissen aus dem externen Zugriff für Ihre Ressourcen erstellt haben.

Nach der Erstellung des Analyzers für ungenutzten Zugriff überprüft IAM Access Analyzer die Zugriffsaktivität, um ungenutzten Zugriff zu identifizieren. IAMAccess Analyzer untersucht die Informationen, auf die zuletzt zugegriffen wurde, für alle Rollen, Benutzerzugriffsschlüssel und Benutzerkennwörter in Ihrer AWS Organisation und Ihren Konten. Auf diese Weise können Sie ungenutzten Zugriff identifizieren.

Für aktive IAM Rollen und Benutzer verwendet IAM Access Analyzer Informationen, auf die zuletzt zugegriffen wurde, für IAM Dienste und Aktionen, um ungenutzte Berechtigungen zu identifizieren. Auf diese Weise können Sie Ihren Überprüfungsprozess auf AWS Organisations- und Kontoebene skalieren. Sie können auch die Informationen zur Aktion, auf die zuletzt zugegriffen wurde, verwenden, um einzelne Rollen genauer zu untersuchen. Auf diese Weise erhalten Sie detailliertere Erkenntnisse darüber, welche spezifischen Berechtigungen nicht genutzt werden.

Indem Sie einen Analysator speziell für ungenutzten Zugriff einrichten, können Sie ungenutzten Zugriff in Ihrer gesamten AWS Umgebung umfassend überprüfen und identifizieren und so die Ergebnisse Ihres vorhandenen externen Zugriffsanalysegeräts ergänzen.