Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Anhand der Informationen in diesem Thema erfahren Sie, wie Sie die Ergebnisse von IAM Access Analyzer überwachen und auf Vorschauen mit Amazon EventBridge zugreifen können. EventBridge ist die neue Version von Amazon CloudWatch Events.
Ergebnis-Ereignisse
IAMAccess Analyzer sendet EventBridge für jedes generierte Ergebnis, für eine Änderung des Status eines vorhandenen Ergebnisses und wenn ein Ergebnis gelöscht wird, ein Ereignis an. Um Ergebnisse und Benachrichtigungen über Ergebnisse zu erhalten, müssen Sie in Amazon eine Ereignisregel erstellen EventBridge. Bei Erstellung einer Ereignisregel können Sie auch eine Zielaktion angeben, die basierend auf der Regel ausgelöst werden soll. Sie könnten beispielsweise eine Ereignisregel erstellen, die ein SNS Amazon-Thema auslöst, wenn ein Ereignis für ein neues Ergebnis von IAM Access Analyzer empfangen wird. Einzelheiten zur Ressourcenkontrollrichtlinie (RCP) finden Sie im Abschnitt mit den Ereignisdetails.
Zugriff auf Ereignisse in der Vorschau
IAMAccess Analyzer sendet EventBridge für jede Zugriffsvorschau und Statusänderung ein Ereignis an. Dazu gehört ein Ereignis, wenn die Zugriffsvorschau zum ersten Mal erstellt wird (Status Erstellen), wenn die Zugriffsvorschau abgeschlossen ist (Status Abgeschlossen), oder wenn die Erstellung der Zugriffsvorschau fehlgeschlagen ist (Status Fehlgeschlagen). Um Benachrichtigungen über Zugriffsvorschauen zu erhalten, müssen Sie in EventBridge eine Ereignisregel erstellen. Bei Erstellung einer Ereignisregel können Sie auch eine Zielaktion angeben, die basierend auf der Regel ausgelöst werden soll. Sie könnten beispielsweise eine Ereignisregel erstellen, die ein SNS Amazon-Thema auslöst, wenn ein Ereignis für eine abgeschlossene Zugriffsvorschau von IAM Access Analyzer empfangen wird.
Häufigkeit der Ereignisbenachrichtigung
IAMAccess Analyzer sendet Ereignisse für neue Ergebnisse und Ergebnisse mit Statusaktualisierungen EventBridge innerhalb von etwa einer Stunde ab dem Zeitpunkt, an dem das Ereignis in Ihrem Konto eintritt. IAM Access Analyzer sendet auch Ereignisse an, EventBridge wenn ein gelöstes Ergebnis gelöscht wird, weil die Aufbewahrungsfrist abgelaufen ist. Bei Ergebnissen, die gelöscht werden, weil der Analyzer, der sie generiert hat, gelöscht wurde, wird das Ereignis EventBridge etwa 24 Stunden nach dem Löschen des Analyzers gesendet. Bei Löschung eines Ergebnisses wird der Status des Ergebnisses nicht geändert. Stattdessen ist das isDeleted Attribut auf gesetzttrue. IAM Access Analyzer sendet auch Ereignisse für neu erstellte Zugriffsvorschauen und Statusänderungen der Zugriffsvorschau an EventBridge.
Beispiele für Ereignisse mit Ergebnissen für externen Zugriff
Im Folgenden finden Sie ein Beispiel für ein IAM Access Analyzer-Ereignis zur Suche nach einem externen Zugriff, an das EventBridge gesendet wurde. In der id Liste ist die ID für das Ereignis in aufgeführt EventBridge. Weitere Informationen finden Sie unter Ereignisse und Ereignismuster unter EventBridge.
Im detail-Objekt beziehen sich die Werte für die Attribute „accountId“ und „region“ auf das Konto und die Region, das bzw. die bei der Suche gemeldet wurden. Das isDeleted-Attribut gibt an, ob das Ereignis aus dem zu löschenden Ergebnis stammt. Die id ist die Such-ID. Das resources Array ist ein Singleton mit dem ARN des Analysators, der den Befund generiert hat.
{
"account": "111122223333",
"detail": {
"accountId": "111122223333",
"action": [
"s3:GetObject"
],
"analyzedAt": "2019-11-21T01:22:22Z",
"condition": {},
"createdAt": "2019-11-20T04:58:50Z",
"id": "22222222-dcba-4444-dcba-333333333333",
"isDeleted": false,
"isPublic": false,
"principal": {
"AWS": "999988887777"
},
"region": "us-west-2",
"resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"resourceType": "AWS::S3::Bucket",
"status": "ACTIVE",
"updatedAt": "2019-11-21T01:14:07Z",
"version": "1.0"
},
"detail-type": "Access Analyzer Finding",
"id": "11111111-2222-4444-aaaa-333333333333",
"region": "us-west-2",
"resources": [
"arn:aws:access-analyzer:us-west-2:111122223333:analyzer/MyAnalyzer"
],
"source": "aws.access-analyzer",
"time": "2019-11-21T01:22:33Z",
"version": "0"
}IAMAccess Analyzer sendet auch Ereignisse an, EventBridge um Fehler zu finden. Ein Fehler ist ein Ergebnis, das generiert wird, wenn IAM Access Analyzer die Ressource nicht analysieren kann. Ereignisse für Fehlerergebnisse umfassen ein error-Attribut, wie im folgenden Beispiel dargestellt.
{
"account": "111122223333",
"detail": {
"accountId": "111122223333",
"analyzedAt": "2019-11-21T01:22:22Z",
"createdAt": "2019-11-20T04:58:50Z",
"error": "ACCESS_DENIED",
"id": "22222222-dcba-4444-dcba-333333333333",
"isDeleted": false,
"region": "us-west-2",
"resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"resourceType": "AWS::S3::Bucket",
"status": "ACTIVE",
"updatedAt": "2019-11-21T01:14:07Z",
"version": "1.0"
},
"detail-type": "Access Analyzer Finding",
"id": "11111111-2222-4444-aaaa-333333333333",
"region": "us-west-2",
"resources": [
"arn:aws:access-analyzer:us-west-2:111122223333:analyzer/MyAnalyzer"
],
"source": "aws.access-analyzer",
"time": "2019-11-21T01:22:33Z",
"version": "0"
}Beispiel für Ereignisse im Zusammenhang mit Ergebnissen für ungenutzten Zugriff
Im Folgenden finden Sie ein Beispiel für ein IAM Access Analyzer-Ereignis zur Suche nach ungenutztem Zugriff, an das gesendet wurde EventBridge. In der id Liste ist die ID für das Ereignis in aufgeführt EventBridge. Weitere Informationen finden Sie unter Ereignisse und Ereignismuster unter EventBridge.
Im detail-Objekt beziehen sich die Werte für die Attribute „accountId“ und „region“ auf das Konto und die Region, das bzw. die bei der Suche gemeldet wurden. Das isDeleted-Attribut gibt an, ob das Ereignis aus dem zu löschenden Ergebnis stammt. Die id ist die Such-ID.
{
"version": "0",
"id": "dc7ce3ee-114b-3243-e249-7f10f9054b21",
"detail-type": "Unused Access Finding for IAM entities",
"source": "aws.access-analyzer",
"account": "123456789012",
"time": "2023-09-29T17:31:40Z",
"region": "us-west-2",
"resources": [
"arn:aws:access-analyzer:us-west-2:123456789012:analyzer/integTestLongLivingAnalyzer-DO-NOT-DELETE"
],
"detail": {
"findingId": "b8ae0460-5d29-4922-b92a-ba956c986277",
"resource": "arn:aws:iam::111122223333:role/FindingIntegTestFakeRole",
"resourceType": "AWS::IAM::Role",
"accountId": "111122223333",
"createdAt": "2023-09-29T17:29:18.758Z",
"updatedAt": "2023-09-29T17:29:18.758Z",
"analyzedAt": "2023-09-29T17:29:18.758Z",
"previousStatus": "",
"status": "ACTIVE",
"version": "62160bda-8e94-46d6-ac97-9670930d8ffb",
"isDeleted": false,
"findingType": "UnusedPermission",
"numberOfUnusedServices": 0,
"numberOfUnusedActions": 1
}
}
IAMAccess Analyzer sendet auch Ereignisse an, EventBridge um Fehler zu finden. Ein Fehler ist ein Ergebnis, das generiert wird, wenn IAM Access Analyzer die Ressource nicht analysieren kann. Ereignisse für Fehlerergebnisse umfassen ein error-Attribut, wie im folgenden Beispiel dargestellt.
{
"version": "0",
"id": "c2e7aa1a-4df7-7652-f33e-64113b8997d4",
"detail-type": "Unused Access Finding for IAM entities",
"source": "aws.access-analyzer",
"account": "111122223333",
"time": "2023-10-31T20:26:12Z",
"region": "us-west-2",
"resources": [
"arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ba811f91-de99-41a4-97c0-7481898b53f2"
],
"detail": {
"findingId": "b01a34f2-e118-46c9-aef8-0d8526b495c7",
"resource": "arn:aws:iam::123456789012:role/TestRole",
"resourceType": "AWS::IAM::Role",
"accountId": "444455556666",
"createdAt": "2023-10-31T20:26:08.647Z",
"updatedAt": "2023-10-31T20:26:09.245Z",
"analyzedAt": "2023-10-31T20:26:08.525Z",
"previousStatus": "",
"status": "ACTIVE",
"version": "7c7a72a2-7963-4c59-ac71-f0be597010f7",
"isDeleted": false,
"findingType": "UnusedIAMRole",
"error": "INTERNAL_ERROR"
}
}
Beispiel für Vorschau-Ereignisse
Das folgende Beispiel zeigt Daten für das erste Ereignis, an das gesendet wird, EventBridge wenn Sie eine Access-Vorschau erstellen. Das resources Array ist ein Singleton mit dem ARN des Analyzers, dem die Zugriffsvorschau zugeordnet ist. Im detail-Objekt bezieht sich id auf die ID der Zugriffsvorschau und configuredResources verweist auf die Ressource, für die die Zugriffsvorschau erstellt wurde. Die status ist Creating und bezieht sich auf den Status der Zugriffsvorschau. Die previousStatus ist nicht angegeben, da die Zugriffsvorschau gerade erstellt wurde.
{
"account": "111122223333",
"detail": {
"accessPreviewId": "aaaabbbb-cccc-dddd-eeee-ffffaaaabbbb",
"configuredResources": [
"arn:aws:s3:::amzn-s3-demo-bucket"
],
"createdAt": "2020-02-20T00:00:00.00Z",
"region": "us-west-2",
"status": "CREATING",
"version": "1.0"
},
"detail-type": "Access Preview State Change",
"id": "aaaabbbb-2222-3333-4444-555566667777",
"region": "us-west-2",
"resources": [
"arn:aws:access-analyzer:us-west-2:111122223333:analyzer/MyAnalyzer"
],
"source": "aws.access-analyzer",
"time": "2020-02-20T00:00:00.00Z",
"version": "0"
}Das folgende Beispiel zeigt Daten für ein Ereignis, an das EventBridge für eine Zugriffsvorschau mit einer Statusänderung von Creating zu Completed gesendet wird. Im Detailobjekt bezieht sich dieid auf die Zugriffs-Vorschau-ID. Die status und previousStatus beziehen sich auf den Status der Zugriffsvorschau, wobei der vorherige Status Creating und der aktuelle Status ist Completed.
{
"account": "111122223333",
"detail": {
"accessPreviewId": "aaaabbbb-cccc-dddd-eeee-ffffaaaabbbb",
"configuredResources": [
"arn:aws:s3:::amzn-s3-demo-bucket"
],
"createdAt": "2020-02-20T00:00:00.000Z",
"previousStatus": "CREATING",
"region": "us-west-2",
"status": "COMPLETED",
"version": "1.0"
},
"detail-type": "Access Preview State Change",
"id": "11112222-3333-4444-5555-666677778888",
"region": "us-west-2",
"resources": [
"arn:aws:access-analyzer:us-west-2:111122223333:analyzer/MyAnalyzer"
],
"source": "aws.access-analyzer",
"time": "2020-02-20T00:00:00.00Z",
"version": "0"
}Das folgende Beispiel zeigt Daten für ein Ereignis, an das EventBridge für eine Zugriffsvorschau mit einer Statusänderung von Creating zu gesendet wirdFailed. Im detail-Objekt bezieht sich id auf die ID der Zugriffsvorschau. Die status und previousStatus beziehen sich auf den Status der Zugriffsvorschau, wobei der vorherige Status Creating und der aktuelle Status ist Failed. Das Feld statusReason enthält den Ursachencode, der angibt, dass die Zugriffsvorschau aufgrund einer ungültigen Ressourcenkonfiguration fehlgeschlagen ist.
{
"account": "111122223333",
"detail": {
"accessPreviewId": "aaaabbbb-cccc-dddd-eeee-ffffaaaabbbb",
"configuredResources": [
"arn:aws:s3:::amzn-s3-demo-bucket"
],
"createdAt": "2020-02-20T00:00:00.00Z",
"previousStatus": "CREATING",
"region": "us-west-2",
"status": "FAILED",
"statusReason": {
"code": "INVALID_CONFIGURATION"
},
"version": "1.0"
},
"detail-type": "Access Preview State Change",
"id": "99998888-7777-6666-5555-444433332222",
"region": "us-west-2",
"resources": [
"arn:aws:access-analyzer:us-west-2:111122223333:analyzer/MyAnalyzer"
],
"source": "aws.access-analyzer",
"time": "2020-02-20T00:00:00.00Z",
"version": "0"
}Erstellen einer Ereignisregel mit der Konsole
Im folgenden Verfahren wird beschreiben, wie Sie mit der Konsole eine Ereignisregel erstellen.
Öffnen Sie die EventBridge Amazon-Konsole unter https://console.aws.amazon.com/events/
. -
Erstellen Sie mit den folgenden Werten eine EventBridge Regel, die Suchereignisse überwacht oder auf Vorschauereignisse zugreift:
-
Bei Regeltyp wählen Sie Regel mit einem Ereignismuster aus.
-
Wählen Sie für Event source (Ereignisquelle) Other (Andere) aus.
-
Wählen Sie unter Ereignismuster die Option Benutzerdefinierte Muster (JSONEditor) aus und fügen Sie eines der folgenden Beispiele für Ereignismuster in den Textbereich ein:
-
Verwenden Sie das folgende Musterbeispiel, um eine Regel zu erstellen, die auf einem IAM Access Analyzer-Ereignis basiert:
{ "source": [ "aws.access-analyzer" ] } -
Verwenden Sie das folgende Musterbeispiel, um eine Regel basierend auf einem Ereignis mit einem Ergebnis für externen oder ungenutzten Zugriff zu erstellen:
{ "source": [ "aws.access-analyzer" ], "detail-type": [ "Access Analyzer Finding", "Unused Access Finding for IAM entities" ] } -
Verwenden Sie das folgende Musterbeispiel, um eine Regel zu erstellen, die nur auf einem Ereignis zur Erkenntnis für externen Zugriff basiert:
{ "source": [ "aws.access-analyzer" ], "detail-type": [ "Access Analyzer Finding" ] } -
Verwenden Sie das folgende Musterbeispiel, um eine Regel zu erstellen, die nur auf einem Ereignis zu einem Erkenntnis für ungenutzten Zugriff basiert:
{ "source": [ "aws.access-analyzer" ], "detail-type": [ "Unused Access Finding for IAM entities" ] } -
Verwenden Sie das folgende Musterbeispiel, um eine Regel basierend auf einem Zugriffsvorschau-Ereignis zu erstellen:
{ "source": [ "aws.access-analyzer" ], "detail-type": [ "Access Preview State Change" ] }
-
-
Wählen Sie für Zieltypen die Option AWS Service und für Ziel auswählen ein Ziel aus, z. B. ein SNS Amazon-Thema oder eine AWS Lambda Funktion. Das Ziel wird ausgelöst, wenn ein Ereignis empfangen wird, das dem in der Regel definierten Ereignismuster entspricht.
Weitere Informationen zum Erstellen von Regeln finden Sie im EventBridge Amazon-Benutzerhandbuch unter Erstellen von EventBridge Amazon-Regeln, die auf Ereignisse reagieren.
-
Erstellen einer Ereignisregel mit dem CLI
-
Gehen Sie wie folgt vor, um eine Regel für Amazon EventBridge mithilfe von zu erstellen AWS CLI. Ersetzen Sie den Regelnamen
TestRuledurch den Namen Ihrer Regel.aws events put-rule --nameTestRule--event-pattern "{\"source\":[\"aws.access-analyzer\"]}" -
Sie können die Regel so anpassen, dass Zielaktionen nur für eine Teilmenge generierter Ergebnisse ausgelöst werden, z. B. Ergebnisse mit bestimmten Attributen. Im folgenden Beispiel wird veranschaulicht, wie eine Regel erstellt wird, die nur für Ergebnisse mit dem Status „Aktiv“ eine Zielaktion auslöst.
aws events put-rule --nameTestRule--event-pattern "{\"source\":[\"aws.access-analyzer\"],\"detail-type\":[\"Access Analyzer Finding\"],\"detail\":{\"status\":[\"ACTIVE\"]}}"Das folgende Beispiel zeigt, wie Sie eine Regel erstellen, die eine Zielaktion nur für Zugriffsvorschauen mit einem Status von
CreatingbisCompletedauslöst.aws events put-rule --name TestRule --event-pattern "{\"source\":[\"aws.access-analyzer\"],\"detail-type\":[\"Access Preview State Change\"],\"detail\":{\"status\":[\"COMPLETED\"]}}" -
Verwenden Sie den folgenden Beispielbefehl, um eine Lambda-Funktion als Ziel für die von Ihnen erstellte Regel zu definieren. Ersetzen Sie die Region und den Funktionsnamen in den, ARN wie es für Ihre Umgebung passt.
aws events put-targets --ruleTestRule--targets Id=1,Arn=arn:aws:lambda:us-east-1:111122223333:function:MyFunction -
Fügen Sie die Berechtigungen hinzu, die zum Aufrufen des Regelziels erforderlich sind. Im folgenden Beispiel wird veranschaulicht, wie Berechtigungen für eine Lambda-Funktion erteilt werden, die den vorangegangenen Beispielen folgt.
aws lambda add-permission --function-nameMyFunction--statement-id 1 --action 'lambda:InvokeFunction' --principal events.amazonaws.com
