IAM Access Analyzer – Benutzerdefinierte Richtlinienüberprüfungen - AWS Identitäts- und Zugriffsverwaltung
So funktionieren benutzerdefinierte RichtlinienüberprüfungenBeispiele für Referenzrichtlinien zum Prüfen auf neue ZugriffeÜberprüfung fehlgeschlagener benutzerdefinierter RichtlinienÜberprüfen von Richtlinien mit benutzerdefinierten Richtlinienüberprüfungen (Konsole)Überprüfen von Richtlinien mit benutzerdefinierten Richtlinienprüfungen (AWS CLI oder API)

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM Access Analyzer – Benutzerdefinierte Richtlinienüberprüfungen

Sie können Ihre Richtlinien mithilfe von benutzerdefinierten Richtlinienüberprüfungen von AWS Identity and Access Management Access Analyzer mit Ihren vorhandenen Sicherheitsstandards abgleichen. Sie können die folgenden Arten von benutzerdefinierten Richtlinienprüfungen ausführen:

  • Vergleich mit einer Referenzrichtlinie: Wenn Sie eine Richtlinie bearbeiten, können Sie überprüfen, ob die aktualisierte Richtlinie im Gegensatz zu einer Referenzrichtlinie Zugang gewährt. Zum Vergleich könnten Sie beispielsweise eine vorhandene Version der Richtlinie heranziehen. Sie können diese Prüfung ausführen, wenn Sie eine Richtlinie mit der AWS Command Line Interface (AWS CLI), der IAM Access Analyzer API (API) oder dem JSON-Richtlinieneditor in der IAM-Konsole bearbeiten.

  • Mit einer Liste von IAM-Aktionen oder -Ressourcen vergleichen: Sie können überprüfen, ob bestimmte IAM-Aktionen oder -Ressourcen gemäß Ihrer Richtlinie nicht zulässig sind. Wenn nur Aktionen angegeben sind, prüft IAM Access Analyzer, ob die Aktionen auf alle Ressourcen in der Richtlinie zugegriffen haben. Wenn nur Ressourcen angegeben sind, überprüft IAM Access Analyzer, welche Aktionen Zugriff auf die angegebenen Ressourcen haben. Wenn sowohl Aktionen als auch Ressourcen angegeben sind, überprüft IAM Access Analyzer, welche der angegebenen Aktionen Zugriff auf die angegebenen Ressourcen haben. Sie können diese Prüfung ausführen, wenn Sie eine Richtlinie mithilfe der AWS CLI oder der API erstellen oder bearbeiten.

  • Auf öffentlichen Zugriff prüfen: Sie können überprüfen, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf einen bestimmten Ressourcentyp gewähren kann. Sie können diese Prüfung ausführen, wenn Sie eine Richtlinie mithilfe der AWS CLI oder der API erstellen oder bearbeiten. Diese Art der Überprüfung benutzerdefinierter Richtlinien unterscheidet sich von der Zugriffsvorschau, da für die Prüfung kein Konto oder ein externer Zugriffsanalysekontext erforderlich ist. Mithilfe von Access-Vorschauen können Sie eine Vorschau der Ergebnisse von IAM Access Analyzer anzeigen, bevor Sie Ressourcenberechtigungen bereitstellen, während die benutzerdefinierte Prüfung bestimmt, ob der öffentliche Zugriff möglicherweise durch eine Richtlinie gewährt wird.

Mit jeder Überprüfung der benutzerdefinierten Richtlinien ist eine Gebühr verbunden. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAM Access Analyzer.

So funktionieren benutzerdefinierte Richtlinienüberprüfungen

Sie können benutzerdefinierte Richtlinienüberprüfungen für identitätsbasierte Richtlinien und ressourcenbasierte Richtlinien ausführen. Benutzerdefinierte Richtlinienüberprüfungen basieren nicht auf Methoden wie dem Musterabgleich oder der Untersuchung von Zugriffsprotokollen, um festzustellen, ob ein neuer oder ein bestimmter Zugriff gemäß einer Richtlinie zulässig ist. Ähnlich wie bei externen Zugriffsergebnissen basieren benutzerdefinierte Richtlinienüberprüfungen auf Zelkova. Zelkova übersetzt IAM-Richtlinien in äquivalente logische Anweisungen und wendet eine Reihe von allgemeinen und spezialisierten logischen Solvern (Erfüllbarkeits-Modulo-Theorien) auf das Problem an. Um nach neuen oder bestimmten Zugriffen zu suchen, wendet IAM Access Analyzer Zelkova wiederholt auf eine Richtlinie an. Abfragen werden immer spezifischer, um Verhaltensklassen zu beschreiben, die die Richtlinie basierend ihrem Inhalt zulässt. Weitere Informationen zu den Satisfiability Modulo-Theorien finden Sie unter Satisfiability Modulo-Theorien.

In seltenen Fällen kann IAM Access Analyzer nicht vollständig feststellen, ob eine Richtlinienanweisung neuen oder bestimmten Zugriff gewährt. In diesen Fällen wird tendenziell ein falsch positives Ergebnis gemeldet, indem die benutzerdefinierte Richtlinienüberprüfung scheitert. IAM Access Analyzer soll eine umfassende Richtlinienbewertung ermöglichen und die Menge an falsch negativen Ergebnissen minimieren. Mit diesem Ansatz bietet IAM Access Analyzer ein hohes Maß an Sicherheit; eine bestandene Prüfung bedeutet, dass der Zugriff durch die Richtlinie nicht gewährt wurde. Sie können fehlgeschlagene Prüfungen manuell kontrollieren, indem Sie die Richtlinienanweisung überprüfen, die in der Antwort von IAM Access Analyzer angegeben ist.

Beispiele für Referenzrichtlinien zum Prüfen auf neue Zugriffe

Beispiele für Referenzrichtlinien und Informationen zum Einrichten und Ausführen einer benutzerdefinierten Richtlinienprüfung für neuen Zugriff finden Sie im IAM Access Analyzer-Beispiel-Repository für benutzerdefinierte Richtlinienprüfungen. GitHub

Hinweise zur Verwendung dieser Beispiele

Führen Sie die folgenden Schritte aus, bevor Sie diese Beispiel-Referenzrichtlinien verwenden:

  • Überprüfen Sie die Referenzrichtlinien sorgfältig und passen Sie sie an Ihre individuellen Anforderungen an.

  • Testen Sie die Referenzrichtlinien in Ihrer Umgebung gründlich mit den von Ihnen verwendeten AWS-Services .

    Die Referenzrichtlinien veranschaulichen die Implementierung und Verwendung von benutzerdefinierten Richtlinienüberprüfungen. Sie sind nicht als offizielle Empfehlungen von AWS oder bewährte Methoden zu interpretieren, die genau wie gezeigt umgesetzt werden müssen. Es liegt in Ihrer Verantwortung, alle Referenzrichtlinien sorgfältig zu testen, ob sie die Sicherheitsanforderungen Ihrer Umgebung zu erfüllen.

  • Benutzerdefinierte Richtlinienüberprüfungen sind in ihrer Analyse umgebungsunabhängig. Bei ihrer Analyse werden nur Informationen berücksichtigt, die in den Eingaberichtlinien enthalten sind. Mit benutzerdefinierten Richtlinienprüfungen kann beispielsweise nicht überprüft werden, ob ein Konto Mitglied einer bestimmten AWS Organisation ist. Daher können die benutzerdefinierten Richtlinienüberprüfungen neue Zugriffe nicht anhand der Bedingungsschlüsselwerte für die Bedingungsschlüssel aws:PrincipalOrgId und aws:PrincipalAccount vergleichen.

Überprüfung fehlgeschlagener benutzerdefinierter Richtlinien

Wenn eine benutzerdefinierte Richtlinienüberprüfung fehlschlägt, enthält die Antwort von IAM Access Analyzer die Anweisungs-ID (Sid) der Richtlinienanweisung, die zum Fehlschlagen der Prüfung geführt hat. Obwohl es sich bei der Anweisungs-ID um ein optionales Richtlinienelement handelt, empfehlen wir, dass Sie für jede Richtlinienanweisung eine Anweisungs-ID hinzufügen. Die benutzerdefinierte Richtlinienüberprüfung gibt auch einen Anweisungsindex zurück, anhand dessen der Grund für die fehlgeschlagene Prüfung ermittelt werden kann. Der Anweisungsindex folgt einer auf Null basierenden Nummerierung, wobei auf die erste Anweisung die 0 hat. Wenn mehrere Anweisungen dazu führen, dass eine Prüfung fehlschlägt, gibt die Prüfung jeweils nur eine Anweisungs-ID zurück. Wir empfehlen Ihnen, die in der Begründung hervorgehobene Anweisung zu korrigieren und die Prüfung erneut durchzuführen, bis sie erfolgreich ist.

Überprüfen von Richtlinien mit benutzerdefinierten Richtlinienüberprüfungen (Konsole)

Als optionalen Schritt können Sie eine benutzerdefinierte Richtlinienüberprüfung ausführen, wenn Sie eine Richtlinie im JSON-Richtlinieneditor in der IAM-Konsole bearbeiten. Sie können überprüfen, ob die aktualisierte Richtlinie im Gegensatz zur vorhandenen Version nun Zugriff gewährt.

So suchen Sie bei der Bearbeitung von IAM-JSON-Richtlinien nach neuen Zugriffen

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

  3. Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, die sie bearbeiten möchten. Sie können über das Suchfeld die Liste der Gruppen filtern.

  4. Wählen Sie die Registerkarte Berechtigungen und anschließend Richtlinie bearbeiten aus.

  5. Wählen Sie die Option JSON und aktualisieren Sie Ihre Richtlinie.

  6. Wählen Sie im Bereich der Richtlinienüberprüfung unterhalb der Richtlinie die Registerkarte Nach neuem Zugriff prüfen und dann Richtlinie überprüfen. Wenn die geänderten Berechtigungen bisher nicht gewährten Zugriff gewähren, wird die Anweisung im Bereich zur Richtlinienvalidierung hervorgehoben.

  7. Wenn Sie nicht beabsichtigen, neuen Zugriff zu gewähren, aktualisieren Sie die Richtlinienanweisung und wählen Sie Richtlinie überprüfen, bis kein neuer Zugriff erkannt wird.

    Anmerkung

    Für jede Prüfung auf bisher nicht gewährten Zugriff wird eine Gebühr erhoben. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAM Access Analyzer.

  8. Wählen Sie Weiter aus.

  9. Überprüfen Sie auf der Seite Überprüfen und Speichern den Bereich In dieser Richtlinie definierte Berechtigungen und wählen Sie dann Änderungen speichern aus.

Überprüfen von Richtlinien mit benutzerdefinierten Richtlinienprüfungen (AWS CLI oder API)

Sie können benutzerdefinierte IAM Access Analyzer-Richtlinienprüfungen über die AWS CLI oder die IAM Access Analyzer-API ausführen.

So führen Sie benutzerdefinierte Richtlinienüberprüfungen mit IAM Access Analyzer durch (AWS CLI)

  • Führen Sie den folgenden Befehl aus, um zu überprüfen, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff gewährt wird: check-no-new-access

  • Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der bestimmte Zugriff durch eine Richtlinie nicht zulässig ist: check-access-not-granted

  • Führen Sie den folgenden Befehl aus, um zu überprüfen, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf einen bestimmten Ressourcentyp gewähren kann: check-no-public-access

So führen Sie benutzerdefinierte Richtlinienüberprüfungen mit IAM Access Analyzer durch (API)

  • Nutzen Sie die API-Operation CheckNoNewAccess, um zu überprüfen, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff gewährt wird.

  • Verwenden Sie die API-Operation CheckAccessNotGranted, um zu überprüfen, ob der angegebene Zugriff durch eine Richtlinie nicht zulässig ist.

  • Verwenden Sie den CheckNoPublicAccessAPI-Vorgang, um zu überprüfen, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf einen bestimmten Ressourcentyp gewähren kann.