Validierung von Richtlinien mithilfe benutzerdefinierten Richtlinienprüfungen von IAM Access Analyzer - AWS Identity and Access Management
Überprüfen von Richtlinien mit benutzerdefinierten Richtlinienüberprüfungen (Konsole)Überprüfen von Richtlinien mit benutzerdefinierten Richtlinienüberprüfungen (AWS CLI oder API)

Validierung von Richtlinien mithilfe benutzerdefinierten Richtlinienprüfungen von IAM Access Analyzer

Sie können benutzerdefinierte Richtlinienüberprüfungen verwenden, um anhand Ihrer Sicherheitsstandards nach neuen Zugriffen zu suchen. Für jede Prüfung auf bisher nicht gewährten Zugriff wird eine Gebühr erhoben. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAM Access Analyzer.

Überprüfen von Richtlinien mit benutzerdefinierten Richtlinienüberprüfungen (Konsole)

Als optionalen Schritt können Sie eine benutzerdefinierte Richtlinienüberprüfung ausführen, wenn Sie eine Richtlinie im JSON-Richtlinieneditor in der IAM-Konsole bearbeiten. Sie können überprüfen, ob die aktualisierte Richtlinie im Gegensatz zur vorhandenen Version nun Zugriff gewährt.

So suchen Sie bei der Bearbeitung von IAM-JSON-Richtlinien nach neuen Zugriffen

  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich auf der linken Seite Policies (Richtlinien).

  3. Wählen Sie in der Richtlinienliste den Namen der Richtlinie aus, die sie bearbeiten möchten. Sie können über das Suchfeld die Liste der Gruppen filtern.

  4. Wählen Sie die Registerkarte Berechtigungen und anschließend Richtlinie bearbeiten aus.

  5. Wählen Sie die Option JSON und aktualisieren Sie Ihre Richtlinie.

  6. Wählen Sie im Bereich der Richtlinienüberprüfung unterhalb der Richtlinie die Registerkarte Nach neuem Zugriff prüfen und dann Richtlinie überprüfen. Wenn die geänderten Berechtigungen bisher nicht gewährten Zugriff gewähren, wird die Anweisung im Bereich zur Richtlinienvalidierung hervorgehoben.

  7. Wenn Sie nicht beabsichtigen, neuen Zugriff zu gewähren, aktualisieren Sie die Richtlinienanweisung und wählen Sie Richtlinie überprüfen, bis kein neuer Zugriff erkannt wird.

    Anmerkung

    Für jede Prüfung auf bisher nicht gewährten Zugriff wird eine Gebühr erhoben. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAM Access Analyzer.

  8. Wählen Sie Weiter.

  9. Überprüfen Sie auf der Seite Überprüfen und Speichern den Bereich In dieser Richtlinie definierte Berechtigungen und wählen Sie dann Änderungen speichern aus.

Überprüfen von Richtlinien mit benutzerdefinierten Richtlinienüberprüfungen (AWS CLI oder API)

Sie können benutzerdefinierte IAM-Access-Analyzer-Richtlinienüberprüfungen über die AWS CLI oder die IAM-Access-Analyzer-API ausführen.

So führen Sie benutzerdefinierte Richtlinienüberprüfungen mit IAM Access Analyzer durch (AWS CLI)

  • Führen Sie den folgenden Befehl aus, um zu überprüfen, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff gewährt wird: check-no-new-access

  • Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der bestimmte Zugriff durch eine Richtlinie nicht zulässig ist: check-access-not-granted

  • Um zu überprüfen, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf einen angegebenen Ressourcentyp gewähren kann, führen Sie den folgenden Befehl aus: check-no-public-access

So führen Sie benutzerdefinierte Richtlinienüberprüfungen mit IAM Access Analyzer durch (API)

  • Nutzen Sie die API-Operation CheckNoNewAccess, um zu überprüfen, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff gewährt wird.

  • Verwenden Sie die API-Operation CheckAccessNotGranted, um zu überprüfen, ob der angegebene Zugriff durch eine Richtlinie nicht zulässig ist.

  • Um zu überprüfen, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf einen angegebenen Ressourcentyp gewähren kann, verwenden Sie die API-Operation CheckNoPublicAccess.