Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Erste Schritte mit AWS Identity and Access Management Access Analyzer
Verwenden Sie die Informationen in diesem Thema, um mehr über die erforderlichen Anforderungen für die Verwendung und Verwaltung von AWS Identity and Access Management Access Analyzer zu erfahren.
## Erforderliche Berechtigungen zur Verwendung von IAM Access Analyzer
Um IAM Access Analyzer erfolgreich zu konfigurieren und zu verwenden, müssen dem von Ihnen verwendeten Konto die erforderlichen Berechtigungen erteilt werden.
### AWS verwaltete Richtlinien für IAM Access Analyzer
AWS Identity and Access Management Access Analyzer bietet AWS verwaltete Richtlinien, damit Sie schnell loslegen können.
+ [IAMAccessAnalyzerFullAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerFullAccess)- Ermöglicht Administratoren vollen Zugriff auf IAM Access Analyzer. Diese Richtlinie ermöglicht auch das Erstellen der serviceverknüpften Rollen, die erforderlich sind, damit IAM Access Analyzer Ressourcen in Ihrem Konto oder Ihrer AWS -Organisation analysieren kann.
+ [IAMAccessAnalyzerReadOnlyAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerReadOnlyAccess)- Ermöglicht den schreibgeschützten Zugriff auf IAM Access Analyzer. Sie müssen zusätzliche Richtlinien zu Ihren IAM-Identitäten (-Benutzer, -Benutzergruppen oder -Rollen) hinzufügen, damit diese die ihre Ergebnisse anzeigen können.
### Von IAM Access Analyzer definierte Ressourcen
Informationen zu den von Access Analyzer definierten Ressourcen finden Sie unter [Von IAM Access Analyzer definierte Ressourcentypen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-resources-for-iam-policies) in der *Service-Autorisierungsreferenz*.
### Erforderliche Service-Berechtigungen für IAM Access Analyzer
IAM Access Analyzer verwendet eine servicegebundene IAM-Rolle (SLR) namens `AWSServiceRoleForAccessAnalyzer`. Diese Spiegelreflexkamera gewährt dem Dienst nur Lesezugriff, um AWS Ressourcen mit ressourcenbasierten Richtlinien zu analysieren und ungenutzten Zugriff in Ihrem Namen zu analysieren. In den folgenden Szenarien erstellt der Service die Rolle in Ihrem Konto:
+ Sie erstellen einen Analysator für externen Zugriff mit Ihrem Konto als Vertrauenszone.
+ Sie erstellen einen Analysator für ungenutzten Zugriff mit Ihrem Konto als ausgewähltem Konto.
+ Sie erstellen einen Analyzer für internen Zugriff mit Ihrem Konto als Vertrauenszone.
Weitere Informationen finden Sie unter [Verwenden von serviceverknüpften Rollen für AWS Identity and Access Management Access Analyzer](access-analyzer-using-service-linked-roles.md).
**Anmerkung**
IAM Access Analyzer ist regional. Für externen und internen Zugriff müssen Sie IAM Access Analyzer in jeder Region separat aktivieren.
Bei ungenutztem Zugriff ändern sich die Ergebnisse für den Analysator nicht von Region zu Region. Es ist nicht erforderlich, in jeder Region, in der Sie über Ressourcen verfügen, einen Analysator zu erstellen.
In einigen Fällen wird nach der Erstellung eines Analyzers in IAM Access Analyzer die Seite **Erkenntnisse** oder das Dashboard ohne Erkenntnisse oder Zusammenfassung geladen. Dies kann auf eine Verzögerung in der Konsole beim Auffüllen Ihrer Ergebnisse zurückzuführen sein. Möglicherweise müssen Sie den Browser manuell aktualisieren oder später erneut nachschauen, um die Ergebnisse oder die Zusammenfassung anzuzeigen. Wenn Sie immer noch keine Ergebnisse für einen Analysator für externen Zugriff sehen, liegt das daran, dass die unterstützten Ressourcen in Ihrem Konto fehlen, auf die eine externe Entität zugreifen kann. Wenn eine Richtlinie, die einer externen Entität Zugriff gewährt, auf eine Ressource angewendet wird, generiert IAM Access Analyzer ein Ergebnis.
**Anmerkung**
Bei Analyzern für externen Zugriff kann es nach Änderung einer Richtlinie bis zu 30 Minuten dauern, bis IAM Access Analyzer die Ressource analysiert und dann entweder eine neue Erkenntnis mit externem Zugriff generiert oder eine vorhandene Erkenntnis für den Zugriff auf die Ressource aktualisiert.
Wenn Sie einen Analyzer für internen Zugriff erstellen, kann es mehrere Minuten oder Stunden dauern, bis Erkenntnisse verfügbar sind. Nach dem ersten Scan scannt IAM Access Analyzer automatisch alle 24 Stunden erneut alle Richtlinien.
Bei allen Typen von Analyzern für Zugriff werden Aktualisierungen der Erkenntnisse möglicherweise nicht sofort im Dashboard angezeigt.
### Erforderliche Berechtigungen für IAM Access Analyzer zum Anzeigen des Ergebnis-Dashboards
Um das [Ergebnis-Dashboard von IAM Access Analyzer](access-analyzer-dashboard.md) anzuzeigen, braucht das von Ihnen verwendete Konto Zugriff für die folgenden erforderlichen Aktionen:
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html)
Informationen zu alle von Access Analyzer definierten Aktionen finden Sie unter [Von IAM Access Analyzer definierte Aktionstypen](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-actions-as-permissions) in der *Service-Autorisierungsreferenz*.
## Status von IAM Access Analyzer
Um den Status Ihrer Analysatoren anzuzeigen, wählen Sie **Analysatoren**. Analysatoren, die für eine Organisation oder ein Konto erstellt wurden, können den folgenden Status haben:
| Status | Description |
| --- | --- |
| Aktiv | Der Analyzer für externen und internen Zugriff überwacht aktiv Ressourcen innerhalb seiner Vertrauenszone. Der Analysator generiert aktiv neue Erkenntnisse und aktualisiert vorhandene Erkenntnisse. Bei Analysegeräten mit ungenutztem Zugriff überwacht der Analyzer aktiv den ungenutzten Zugriff innerhalb der ausgewählten Organisation oder AWS-Konto im angegebenen Nachverfolgungszeitraum. Der Analysator generiert aktiv neue Erkenntnisse und aktualisiert vorhandene Erkenntnisse. |
| Erstellen | Die Erstellung des Analysators ist noch im Gange. Der Analysator wird aktiv, sobald die Erstellung abgeschlossen ist. |
| Disabled | Der Analyzer ist aufgrund einer Aktion des AWS Organizations Administrators deaktiviert. Beispiel: Entfernen des Kontos des Analysators als delegierter Administrator für IAM Access Analyzer. Wenn sich der Analysator in einem deaktivierten Zustand befindet, generiert er keine neuen Ergebnisse oder aktualisiert keine vorhandenen Ergebnisse mehr. |
| Fehlgeschlagen | Die Erstellung des Analysators ist aufgrund eines Konfigurationsproblems fehlgeschlagen. Der Analysator generiert keine Ergebnisse. Löschen Sie den Analysator und erstellen Sie einen neuen Analysator. |
# Erstellen eines Analyzer für externen Zugriff für IAM Access Analyzer
Um einen Analysator für externen Zugriff in einer Region zu aktivieren, müssen Sie einen Analysator in dieser Region erstellen. Sie müssen in jeder Region, in der Sie den Zugriff auf Ihre Ressourcen überwachen möchten, einen Analysator für externen Zugriff erstellen.
**Anmerkung**
Nachdem Sie einen Analyzer erstellt oder aktualisiert haben, kann es einige Zeit dauern, bis Erkenntnisse verfügbar sind.
## Erstellen Sie einen externen Zugriffsanalysator mit der AWS-Konto Vertrauenszone
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie **Analysator erstellen**.
1. Wählen Sie im Abschnitt **Analyse** die Option **Ressourcenanalyse – Externer Zugriff** aus.
1. Kontrollieren Sie im Abschnitt **Analyzer-Details**, ob es sich bei der angezeigten Region um die Region handelt, in der Sie IAM Access Analyzer aktivieren möchten.
1. Geben Sie einen Namen für den Analysator ein.
1. Wählen Sie **Aktuelles Konto** als Vertrauenszone für den Analyzer.
**Anmerkung**
Wenn es sich bei Ihrem Konto nicht um das AWS Organizations Verwaltungskonto oder das [delegierte Administratorkonto](access-analyzer-delegated-administrator.md) handelt, können Sie nur einen Analyzer mit Ihrem Konto als Vertrauenszone erstellen.
1. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.
1. Wählen Sie **Analysator erstellen**.
Wenn Sie einen Analysator für externen Zugriff erstellen, um IAM Access Analyzer zu aktivieren, wird in Ihrem Konto eine serviceverknüpfte Rolle mit dem Namen `AWSServiceRoleForAccessAnalyzer` erstellt.
## Analyzer für externen Zugriff mit der Organisation als Vertrauenszone erstellen
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie **Analysator erstellen**.
1. Wählen Sie im Abschnitt **Analyse** die Option **Ressourcenanalyse – Externer Zugriff** aus.
1. Kontrollieren Sie im Abschnitt **Analyzer-Details**, ob es sich bei der angezeigten Region um die Region handelt, in der Sie IAM Access Analyzer aktivieren möchten.
1. Geben Sie einen Namen für den Analysator ein.
1. Wählen Sie **Aktuelle Organisation** als Vertrauenszone für den Analysator.
1. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.
1. Wählen Sie **Absenden** aus.
Wenn Sie einen Analysator für externen Zugriff mit der Organisation als Vertrauenszone erstellen, wird in jedem Konto Ihrer Organisation eine servicegebundene Rolle mit dem Namen `AWSServiceRoleForAccessAnalyzer` erstellt.
# Verwaltung eines externen Zugriffs-Analyzers für IAM Access Analyzer
Um einen Analysator für externen Zugriff in einer Region zu aktivieren, müssen Sie einen Analysator in dieser Region erstellen. Sie müssen in jeder Region, in der Sie den Zugriff auf Ihre Ressourcen überwachen möchten, einen Analysator für externen Zugriff erstellen.
**Anmerkung**
Nachdem Sie einen Analyzer erstellt oder aktualisiert haben, kann es einige Zeit dauern, bis Erkenntnisse verfügbar sind.
## Externen Zugriffs-Analyzer aktualisieren
Gehen Sie folgendermaßen vor, um einen externen Zugriffs-Analyzer zu aktualisieren.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie im Abschnitt **Analyzers** den Namen des Analyzer für externen Zugriff aus, den Sie verwalten möchten.
1. Auf der Registerkarte **Archivierungsregeln** können Sie Archivierungsregeln für den Analyzer erstellen, bearbeiten oder löschen. Weitere Informationen finden Sie unter [Archivregeln](access-analyzer-archive-rules.md).
1. Auf der Registerkarte **Tags** können Sie Tags für den Analyzer verwalten und erstellen. Weitere Informationen finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md).
## Löschen eines externen Zugriffs-Analyzer
Gehen Sie wie folgt vor, um einen externen Zugriffs-Analyzer zu löschen. Wenn Sie einen Analyzer löschen, werden die Ressourcen nicht mehr überwacht und es werden keine neuen Erkenntnisse generiert. Alle Ergebnisse, die vom Analysator generiert wurden, werden gelöscht.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie im Abschnitt **Analyzers** den Namen des Analyzer für externen Zugriff aus, den Sie löschen möchten.
1. Wählen Sie **Analyzer löschen** aus.
1. Geben Sie **löschen** ein und wählen Sie **Löschen**, um das Löschen des Analyzer zu bestätigen.
# Erstellen eines Analyzer für interne Zugriffe für IAM Access Analyzer
Um einen Analyzer für interne Zugriffe in einer Region zu aktivieren, müssen Sie zunächst einen Analyzer in dieser Region erstellen. Sie müssen in jeder Region, in der Sie den Zugriff auf Ihre Ressourcen überwachen möchten, einen Analyzer für interne Zugriffe erstellen.
IAM Access Analyzer berechnet die Gebühren für die Analyse interner Zugriffe auf der Grundlage der Anzahl der pro Analyzer pro Monat überwachten Ressourcen. Weitere Informationen zur Preisgestaltung finden Sie unter [Preise für IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/pricing).
**Anmerkung**
Nachdem Sie einen Analyzer erstellt oder aktualisiert haben, kann es einige Zeit dauern, bis Erkenntnisse verfügbar sind.
IAM Access Analyzer kann keine internen Zugriffserkenntnisse für Organisationen mit mehr als 70.000 Prinzipalen (IAM-Benutzer und Rollen zusammen) generieren.
Sie können in einer AWS -Organisation nur einen Analyzer für interne Zugriffe auf Organisationsebene erstellen.
## Erstellen Sie einen internen Zugriffsanalysator mit der AWS-Konto Vertrauenszone
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie **Analysator erstellen**.
1. Wählen Sie im Abschnitt **Analyse** die Option **Ressourcenanalyse – Interner Zugriff** aus.
1. Kontrollieren Sie im Abschnitt **Analyzer-Details**, ob es sich bei der angezeigten Region um die Region handelt, in der Sie IAM Access Analyzer aktivieren möchten.
1. Geben Sie einen Namen für den Analysator ein.
1. Wählen Sie **Aktuelles Konto** als Vertrauenszone für den Analyzer.
**Anmerkung**
Wenn es sich bei Ihrem Konto nicht um das AWS Organizations Verwaltungskonto oder das [delegierte Administratorkonto](access-analyzer-delegated-administrator.md) handelt, können Sie nur einen Analyzer mit Ihrem Konto als Vertrauenszone erstellen.
1. Fügen Sie im Abschnitt **Zu analysierende Ressourcen** Ressourcen hinzu, die der Analyzer überwachen soll.
+ Um Ressourcen nach Konto hinzuzufügen, wählen Sie **Hinzufügen > Ressourcen aus ausgewählten Konten** hinzufügen.
1. Wählen Sie **Alle unterstützten Ressourcentypen** oder **Bestimmte Ressourcentypen definieren** und wählen Sie die Ressourcentypen aus der Liste **Ressourcentyp** aus.
Analyzer für internen Zugriff unterstützen die folgenden Ressourcentypen:
+ [Amazon-Simple-Storage-Service-Buckets](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon-Simple-Storage-Service-Verzeichnis-Buckets](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [DB-Snapshots von Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Snapshots von Service-DB-Clustern von Amazon Relational Database](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon-DynamoDB-Tabellen](access-analyzer-resources.md#access-analyzer-ddb-table)
1. Wählen Sie **Ressourcen hinzufügen** aus.
+ Um Ressourcen anhand des Amazon-Ressourcennamens (ARN) hinzuzufügen, wählen Sie **Ressourcen hinzufügen > Ressourcen hinzufügen, indem Sie den Ressourcen-ARN einfügen**.
**Anmerkung**
ARNs müssen exakte Übereinstimmungen sein — Platzhalter werden nicht unterstützt. Für Amazon S3 ARNs werden nur Buckets unterstützt. Amazon S3 S3-Objekt ARNs und -Präfixe werden nicht unterstützt.
1. Geben Sie für jeden Ressourcen-ARN die Kontoinhaber-ID und den Ressourcen-ARN durch ein Komma getrennt ein. Geben Sie eine Kontoinhaber-ID und einen Ressourcen-ARN pro Zeile ein.
1. Wählen Sie **Ressourcen hinzufügen** aus.
+ Um Ressourcen über eine CSV-Datei hinzuzufügen, wählen Sie **Ressourcen hinzufügen > Ressourcen durch Hochladen einer CSV-Datei** hinzufügen.
Sie können [AWS Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) verwenden, um in Ihren Konten nach Ressourcen zu suchen und eine CSV-Datei zu exportieren. Anschließend können Sie die CSV-Datei hochladen, um die Ressourcen für die Überwachung durch den Analyzer zu konfigurieren.
1. Wählen Sie **Datei wählen** und wählen Sie die CSV-Datei auf Ihrem Computer aus.
1. Wählen Sie **Ressourcen hinzufügen** aus.
1. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.
1. Wählen Sie **Analysator erstellen**.
Wenn Sie einen Analyzer für internen Zugriff erstellen, um IAM Access Analyzer zu aktivieren, wird in Ihrem Konto eine serviceverknüpfte Rolle mit dem Namen `AWSServiceRoleForAccessAnalyzer` erstellt.
## Analyzer für internen Zugriff mit der Organisation als Vertrauenszone erstellen
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie **Analysator erstellen**.
1. Wählen Sie im Abschnitt **Analyse** die Option **Ressourcenanalyse – Interner Zugriff** aus.
1. Kontrollieren Sie im Abschnitt **Analyzer-Details**, ob es sich bei der angezeigten Region um die Region handelt, in der Sie IAM Access Analyzer aktivieren möchten.
1. Geben Sie einen Namen für den Analysator ein.
1. Wählen Sie **Gesamte Organisation** als Vertrauenszone für den Analyzer.
1. Fügen Sie im Abschnitt **Zu analysierende Ressourcen** Ressourcen hinzu, die der Analyzer überwachen soll.
+ Um Ressourcen für das Konto hinzuzufügen, wählen Sie **Ressourcen hinzufügen > Ressourcen aus ausgewählten Konten** hinzufügen.
1. Wählen Sie **Alle unterstützten Ressourcentypen** oder **Bestimmte Ressourcentypen definieren** und wählen Sie die Ressourcentypen aus der Liste **Ressourcentyp** aus.
Analyzer für internen Zugriff unterstützen die folgenden Ressourcentypen:
+ [Amazon-Simple-Storage-Service-Buckets](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon-Simple-Storage-Service-Verzeichnis-Buckets](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [DB-Snapshots von Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Snapshots von Service-DB-Clustern von Amazon Relational Database](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon-DynamoDB-Tabellen](access-analyzer-resources.md#access-analyzer-ddb-table)
1. Um Konten aus Ihrer Organisation auszuwählen, wählen Sie **Aus Organisation auswählen**. Wählen Sie im Abschnitt **Konten auswählen** die Option **Hierarchie**, um Konten nach Organisationsstruktur auszuwählen, oder **Liste**, um Konten aus einer Liste aller Konten in Ihrer Organisation auszuwählen.
Um Konten aus Ihrer Organisation manuell einzugeben, wählen Sie ** AWS Konto-ID eingeben**. Geben Sie eine oder mehrere durch Kommas AWS-Konto IDs getrennte Konten in das Feld **AWS Konto-ID** ein.
1. Wählen Sie **Ressourcen hinzufügen** aus.
+ Um Ressourcen anhand des Amazon-Ressourcennamens (ARN) hinzuzufügen, wählen Sie **Ressourcen hinzufügen > Ressourcen hinzufügen, indem Sie den Ressourcen-ARN einfügen**.
**Anmerkung**
ARNs muss exakt übereinstimmen — Platzhalter werden nicht unterstützt. Für Amazon S3 ARNs werden nur Buckets unterstützt. Amazon S3 S3-Objekt ARNs und -Präfixe werden nicht unterstützt.
1. Geben Sie für jeden Ressourcen-ARN die Kontoinhaber-ID und den Ressourcen-ARN durch ein Komma getrennt ein. Geben Sie eine Kontoinhaber-ID und einen Ressourcen-ARN pro Zeile ein.
1. Wählen Sie **Ressourcen hinzufügen** aus.
+ Um Ressourcen über eine CSV-Datei hinzuzufügen, wählen Sie **Ressourcen hinzufügen > Ressourcen durch Hochladen einer CSV-Datei** hinzufügen.
Sie können [AWS Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) verwenden, um in Ihren Konten nach Ressourcen zu suchen und eine CSV-Datei zu exportieren. Anschließend können Sie die CSV-Datei hochladen, um die Ressourcen für die Überwachung durch den Analyzer zu konfigurieren.
1. Wählen Sie **Datei wählen** und wählen Sie die CSV-Datei auf Ihrem Computer aus.
1. Wählen Sie **Ressourcen hinzufügen** aus.
1. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.
1. Wählen Sie **Absenden** aus.
Wenn Sie einen Analyzer mit internem Zugriff mit der Organisation als Vertrauenszone erstellen, wird in jedem Konto Ihrer Organisation eine servicegebundene Rolle mit dem Namen `AWSServiceRoleForAccessAnalyzer` erstellt.
# Verwalten eines Analyzer für interne Zugriffe für IAM Access Analyzer
Um einen Analyzer für interne Zugriffe in einer Region zu aktivieren, müssen Sie zunächst einen Analyzer in dieser Region erstellen. Sie müssen in jeder Region, in der Sie den Zugriff auf Ihre Ressourcen überwachen möchten, einen Analyzer für interne Zugriffe erstellen.
**Anmerkung**
Nachdem Sie einen Analyzer erstellt oder aktualisiert haben, kann es einige Zeit dauern, bis Erkenntnisse verfügbar sind.
## Analyzer für interne Zugriffe aktualisieren
Gehen Sie wie folgt vor, um einen Analyzer für interne Zugriffe zu aktualisieren.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie im Abschnitt **Analyzers** den Namen des Analyzer für interne Zugriffe aus, den Sie verwalten möchten.
1. Auf der Registerkarte **Archivierungsregeln** können Sie Archivierungsregeln für den Analyzer erstellen, bearbeiten oder löschen. Weitere Informationen finden Sie unter [Archivregeln](access-analyzer-archive-rules.md).
1. Auf der Registerkarte **Tags** können Sie Tags für den Analyzer verwalten und erstellen. Weitere Informationen finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md).
1. Wählen Sie auf der Registerkarte **Ressourcen** im Abschnitt **Zu analysierende Ressourcen** die Option **Bearbeiten** aus.
1. Um Ressourcen nach Konto hinzuzufügen, wählen Sie **Ressourcen hinzufügen > Ressourcen aus ausgewählten Konten hinzufügen** aus.
1. Wählen Sie **Alle unterstützten Ressourcentypen** oder **Bestimmte Ressourcentypen definieren** und wählen Sie die Ressourcentypen aus der Liste **Ressourcentyp** aus.
Analyzer für internen Zugriff unterstützen die folgenden Ressourcentypen:
+ [Amazon-Simple-Storage-Service-Buckets](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon-Simple-Storage-Service-Verzeichnis-Buckets](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [DB-Snapshots von Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Snapshots von Service-DB-Clustern von Amazon Relational Database](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon-DynamoDB-Tabellen](access-analyzer-resources.md#access-analyzer-ddb-table)
1. Wählen Sie **Ressourcen hinzufügen** aus.
1. Um Ressourcen anhand des Amazon-Ressourcennamens (ARN) hinzuzufügen, wählen Sie **Ressourcen hinzufügen > Ressourcen hinzufügen, indem Sie den Ressourcen-ARN einfügen**.
**Anmerkung**
ARNs müssen exakte Übereinstimmungen sein — Platzhalter werden nicht unterstützt. Für Amazon S3 ARNs werden nur Buckets unterstützt. Amazon S3 S3-Objekt ARNs und -Präfixe werden nicht unterstützt.
1. Geben Sie für jeden Ressourcen-ARN die Kontoinhaber-ID und den Ressourcen-ARN durch ein Komma getrennt ein. Geben Sie eine Kontoinhaber-ID und einen Ressourcen-ARN pro Zeile ein.
1. Wählen Sie **Ressourcen hinzufügen** aus.
1. Um Ressourcen über eine CSV-Datei hinzuzufügen, wählen Sie **Ressourcen hinzufügen > Ressourcen durch Hochladen einer CSV-Datei** hinzufügen.
Sie können [AWS Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) verwenden, um in Ihren Konten nach Ressourcen zu suchen und eine CSV-Datei zu exportieren. Anschließend können Sie die CSV-Datei hochladen, um die Ressourcen für die Überwachung durch den Analyzer zu konfigurieren.
1. Wählen Sie **Datei wählen** und wählen Sie die CSV-Datei auf Ihrem Computer aus.
1. Wählen Sie **Ressourcen hinzufügen** aus.
1. Um Ressourcen aus dem Analyzer zu entfernen, aktivieren Sie das Kontrollkästchen neben den zu entfernenden Ressourcen und wählen Sie **Entfernen** aus.
1. Wählen Sie **Änderungen speichern ** aus.
**Anmerkung**
Alle Aktualisierungen des Analyzer werden beim nächsten automatischen erneuten Scannen innerhalb von 24 Stunden bewertet.
## Löschen eines Analyzer für interne Zugriffe
Gehen Sie wie folgt vor, um einen Analyzer für interne Zugriffe zu löschen. Wenn Sie einen Analyzer löschen, werden die Ressourcen nicht mehr überwacht und es werden keine neuen Erkenntnisse generiert. Alle Ergebnisse, die vom Analysator generiert wurden, werden gelöscht.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie im Abschnitt **Analyzers** den Namen des Analyzer für interne Zugriffe aus, den Sie löschen möchten.
1. Wählen Sie **Analyzer löschen** aus.
1. Geben Sie **löschen** ein und wählen Sie **Löschen**, um das Löschen des Analyzer zu bestätigen.
# Erstellen eines Analyzer für ungenutzten Zugriff für IAM Access Analyzer
## Analyzer für ungenutzten Zugriff für das aktuelle Konto erstellen
Gehen Sie wie folgt vor, um einen Analysator für ungenutzten Zugriff für ein einzelnes AWS-Konto zu erstellen. Bei ungenutztem Zugriff ändern sich die Ergebnisse für den Analysator nicht von Region zu Region. Es ist nicht erforderlich, in jeder Region, in der Sie über Ressourcen verfügen, einen Analysator zu erstellen.
IAM Access Analyzer erhebt Gebühren für die Analyse des ungenutzten Zugriffs. Sie entsprechen der Anzahl der pro Monat und pro Analysator analysierten IAM-Rollen und -Benutzer. Weitere Informationen zur Preisgestaltung finden Sie unter [Preise für IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/pricing).
**Anmerkung**
Nachdem Sie einen Analyzer erstellt oder aktualisiert haben, kann es einige Zeit dauern, bis Erkenntnisse verfügbar sind.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie **Analysator erstellen**.
1. Wählen Sie im Abschnitt **Analyse** die Option **Prinzipalanalyse – ungenutzter Zugriff** aus.
1. Geben Sie einen Namen für den Analysator ein.
1. Geben Sie unter **Nachverfolgungszeitraum** die Anzahl der Tage für die Analyse ein. Der Analyzer bewertet nur Berechtigungen für IAM-Entitäten innerhalb des ausgewählten Kontos, die während des gesamten Nachverfolgungszeitraums existiert haben. Wenn Sie beispielsweise einen Nachverfolgungszeitraum von 90 Tagen festlegen, werden nur Berechtigungen analysiert, die mindestens 90 Tage alt sind, und es werden Erkenntnisse generiert, wenn sie während dieses Zeitraums keine Nutzung aufweisen. Sie können einen Wert zwischen 1 und 365 Tagen eingeben.
1. Kontrollieren Sie im Abschnitt **Analyzer-Details**, ob es sich bei der angezeigten Region um die Region handelt, in der Sie IAM Access Analyzer aktivieren möchten.
1. Wählen Sie für **Ausgewählte Konten** die Option **Aktuelles Konto** aus.
**Anmerkung**
Wenn es sich bei Ihrem Konto nicht um das AWS Organizations Verwaltungskonto oder das [delegierte Administratorkonto](access-analyzer-delegated-administrator.md) handelt, können Sie nur einen Analyzer mit Ihrem Konto als ausgewähltem Konto erstellen.
1. Optional. Im Abschnitt **IAM-Benutzer und -Rollen mit Tags ausschließen** können Sie Schlüssel-Wert-Paare für IAM-Benutzer und -Rollen angeben, die von der Analyse ungenutzter Zugriffe ausgeschlossen werden sollen. Für ausgeschlossene IAM-Benutzer und Rollen, die den Schlüssel-Wert-Paaren entsprechen, werden keine Erkenntnisse generiert. Geben Sie für den **Tag-Schlüssel** einen Wert ein, der 1 bis 128 Zeichen lang ist und dem kein `aws:` vorangestellt ist. Für den **Wert** können Sie einen Wert mit einer Länge von 0 bis 256 Zeichen eingeben. Wenn Sie keinen **Wert** eingeben, wird die Regel auf alle Prinzipale mit dem angegebenen **Tag-Schlüssel** angewendet. Wählen Sie **Neuen Ausschluss hinzufügen**, um weitere auszuschließende Schlüssel-Wert-Paare hinzuzufügen.
1. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.
1. Wählen Sie **Analysator erstellen**.
Wenn Sie einen Analysator für ungenutzten Zugriff erstellen, um IAM Access Analyzer zu aktivieren, wird in Ihrem Konto eine serviceverknüpfte Rolle mit dem Namen `AWSServiceRoleForAccessAnalyzer` erstellt.
## Erstellen eines Analyzer für ungenutzten Zugriff mit der aktuellen Organisation
Gehen Sie wie folgt vor, um einen Analysator für ungenutzten Zugriff für eine Organisation zu erstellen, mit dem Sie alle Daten AWS-Konten in einer Organisation zentral überprüfen können. Bei der Analyse für ungenutzten Zugriff ändern sich die Ergebnisse für den Analysator nicht von Region zu Region. Es ist nicht erforderlich, in jeder Region, in der Sie über Ressourcen verfügen, einen Analysator zu erstellen.
IAM Access Analyzer erhebt Gebühren für die Analyse des ungenutzten Zugriffs. Sie entsprechen der Anzahl der pro Monat und pro Analysator analysierten IAM-Rollen und -Benutzer. Weitere Informationen zur Preisgestaltung finden Sie unter [Preise für IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/pricing).
**Anmerkung**
Wenn ein Mitgliedskonto aus der Organisation entfernt wird, generiert der Analysator für ungenutzten Zugriff nach 24 Stunden keine neuen Ergebnisse mehr und aktualisiert keine vorhandenen Ergebnisse mehr für dieses Konto. Ergebnisse im Zusammenhang mit dem Mitgliedskonto, das aus der Organisation entfernt wurde, werden nach 90 Tagen dauerhaft entfernt.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie **Analysator erstellen**.
1. Wählen Sie im Abschnitt **Analyse** die Option **Prinzipalanalyse – ungenutzter Zugriff** aus.
1. Geben Sie einen Namen für den Analysator ein.
1. Geben Sie unter **Nachverfolgungszeitraum** die Anzahl der Tage für die Analyse ein. Der Analyzer bewertet nur Berechtigungen für IAM-Entitäten innerhalb der Konten der ausgewählten Organisation, die während des gesamten Nachverfolgungszeitraums existiert haben. Wenn Sie beispielsweise einen Nachverfolgungszeitraum von 90 Tagen festlegen, werden nur Berechtigungen analysiert, die mindestens 90 Tage alt sind, und es werden Erkenntnisse generiert, wenn sie während dieses Zeitraums keine Nutzung aufweisen. Sie können einen Wert zwischen 1 und 365 Tagen eingeben.
1. Kontrollieren Sie im Abschnitt **Analyzer-Details**, ob es sich bei der angezeigten Region um die Region handelt, in der Sie IAM Access Analyzer aktivieren möchten.
1. Wählen Sie für **Ausgewählte Konten** die Option **Aktuelle Organisation** aus.
1. Optional. Im Abschnitt ** AWS-Konten Von der Analyse ausschließen** können Sie AWS-Konten in Ihrer Organisation auswählen, ob Sie von der Analyse ungenutzter Zugriffe ausgeschlossen werden möchten. Für ausgeschlossene Konten werden keine Erkenntnisse generiert.
1. IDs Um ein einzelnes Konto anzugeben, das ausgeschlossen werden soll, wählen **Sie „ AWS-Konto ID angeben**“ und geben Sie das durch Kommas IDs getrennte Konto in das **AWS-Konto ID-Feld** ein. Wählen Sie **Ausschließen** aus. Die Konten werden dann in der Tabelle **AWS-Konten zum Ausschließen** aufgeführt.
1. Um aus einer Liste auszuschließender Konten in Ihrer Organisation auszuwählen, wählen Sie **Aus Organisation auswählen**.
1. Im Feld **Konten von Organisation ausschließen** können Sie nach Konten anhand von Name, E-Mail und Konto-ID suchen.
1. Wählen Sie **Hierarchie**, um Ihre Konten nach Organisationseinheit anzuzeigen, oder wählen Sie **Liste**, um eine Liste aller einzelnen Konten in Ihrer Organisation anzuzeigen.
1. Wählen Sie **Alle aktuellen Konten ausschließen**, um alle Konten in einer Organisationseinheit auszuschließen, oder wählen Sie **Ausschließen**, um einzelne Konten auszuschließen.
Die Konten werden dann in der Tabelle **AWS-Konten zum Ausschließen** aufgeführt.
**Anmerkung**
Ausgeschlossene Konten können nicht das Eigentümerkonto des Organisation-Analyzer enthalten. Wenn Ihrer Organisation neue Konten hinzugefügt werden, werden diese nicht von der Analyse ausgeschlossen, selbst wenn Sie zuvor alle aktuellen Konten innerhalb einer Organisationseinheit ausgeschlossen haben. Weitere Informationen zum Ausschließen von Konten nach Erstellung eines Analyzer für ungenutzten Zugriff finden Sie unter [Einen ungenutzten Analyzer für IAM Access Analyzer verwalten](access-analyzer-manage-unused.md).
1. Optional. Im Abschnitt **IAM-Benutzer und -Rollen mit Tags ausschließen** können Sie Schlüssel-Wert-Paare für IAM-Benutzer und -Rollen angeben, die von der Analyse ungenutzter Zugriffe ausgeschlossen werden sollen. Für ausgeschlossene IAM-Benutzer und Rollen, die den Schlüssel-Wert-Paaren entsprechen, werden keine Erkenntnisse generiert. Geben Sie für den **Tag-Schlüssel** einen Wert ein, der 1 bis 128 Zeichen lang ist und dem kein `aws:` vorangestellt ist. Für den **Wert** können Sie einen Wert mit einer Länge von 0 bis 256 Zeichen eingeben. Wenn Sie keinen **Wert** eingeben, wird die Regel auf alle Prinzipale mit dem angegebenen **Tag-Schlüssel** angewendet. Wählen Sie **Neuen Ausschluss hinzufügen**, um weitere auszuschließende Schlüssel-Wert-Paare hinzuzufügen.
1. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.
1. Wählen Sie **Analysator erstellen**.
Wenn Sie einen Analysator für ungenutzten Zugriff erstellen, um IAM Access Analyzer zu aktivieren, wird in Ihrem Konto eine serviceverknüpfte Rolle mit dem Namen `AWSServiceRoleForAccessAnalyzer` erstellt.
# Einen ungenutzten Analyzer für IAM Access Analyzer verwalten
Verwenden Sie die Informationen in diesem Thema, um zu erfahren, wie Sie einen vorhandenen Analyzer für ungenutzten Zugriff aktualisieren oder löschen.
**Anmerkung**
Nachdem Sie einen Analyzer erstellt oder aktualisiert haben, kann es einige Zeit dauern, bis Erkenntnisse verfügbar sind.
## Einen Analyzer für ungenutzten Zugriff aktualisieren
Gehen Sie wie folgt vor, um einen Analyzer für ungenutzten Zugriff zu aktualisieren.
IAM Access Analyzer erhebt Gebühren für die Analyse des ungenutzten Zugriffs. Sie entsprechen der Anzahl der pro Monat und pro Analysator analysierten IAM-Rollen und -Benutzer. Weitere Informationen zur Preisgestaltung finden Sie unter [Preise für IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/pricing).
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie im Abschnitt **Analyzers** den Namen des Analyzer für ungenutzten Zugriff aus, den Sie verwalten möchten.
1. Wenn der Analyzer für eine Organisation als Analyseumfang erstellt wurde, wählen Sie auf der Registerkarte **Ausschluss** im Abschnitt **Ausgeschlossene AWS-Konten** die Option **Verwalten** aus.
1. IDs Um ein einzelnes Konto anzugeben, das ausgeschlossen werden soll, wählen **Sie AWS-Konto ID angeben** und geben Sie das Konto durch Kommas IDs getrennt in das **AWS-Konto ID-Feld** ein. Wählen Sie **Ausschließen** aus. Die Konten werden dann in der Tabelle **AWS-Konten zum Ausschließen** aufgeführt.
1. Um aus einer Liste auszuschließender Konten in Ihrer Organisation auszuwählen, wählen Sie **Aus Organisation auswählen**.
1. Im Feld **Konten von Organisation ausschließen** können Sie nach Konten anhand von Name, E-Mail und Konto-ID suchen.
1. Wählen Sie **Hierarchie**, um Ihre Konten nach Organisationseinheit anzuzeigen, oder wählen Sie **Liste**, um eine Liste aller einzelnen Konten in Ihrer Organisation anzuzeigen.
1. Wählen Sie **Alle aktuellen Konten ausschließen**, um alle Konten in einer Organisationseinheit auszuschließen, oder wählen Sie **Ausschließen**, um einzelne Konten auszuschließen.
Die Konten werden dann in der Tabelle **AWS-Konten zum Ausschließen** aufgeführt.
1. Um auszuschließende Konten zu entfernen, wählen Sie **Entfernen** neben dem Konto in der Tabelle **Auszuschließende AWS-Konten ** aus.
1. Wählen Sie **Änderungen speichern ** aus.
**Anmerkung**
Ausgeschlossene Konten können nicht das Eigentümerkonto des Organisation-Analyzer enthalten.
Wenn Ihrer Organisation neue Konten hinzugefügt werden, werden diese nicht von der Analyse ausgeschlossen, selbst wenn Sie zuvor alle aktuellen Konten innerhalb einer Organisationseinheit ausgeschlossen haben.
Nachdem Sie die Ausschlüsse für einen Analyzer aktualisiert haben, kann es bis zu zwei Tage dauern, bis die Liste der ausgeschlossenen Konten aktualisiert ist.
1. Wählen Sie auf der Registerkarte **Ausschluss** im Abschnitt **Ausgeschlossene IAM-Benutzer und -Rollen mit Tags** die Option **Verwalten** aus.
1. Sie können Schlüssel-Wert-Paare für IAM-Benutzer und -Rollen angeben, um sie von der Analyse ungenutzter Zugriffe auszuschließen. Geben Sie für den **Tag-Schlüssel** einen Wert ein, der 1 bis 128 Zeichen lang ist und dem kein `aws:` vorangestellt ist. Für den **Wert** können Sie einen Wert mit einer Länge von 0 bis 256 Zeichen eingeben. Wenn Sie keinen **Wert** eingeben, wird die Regel auf alle Prinzipale mit dem angegebenen **Tag-Schlüssel** angewendet.
1. Wählen Sie **Neuen Ausschluss hinzufügen**, um weitere auszuschließende Schlüssel-Wert-Paare hinzuzufügen.
1. Um auszuschließende Schlüssel-Wert-Paare zu entfernen, wählen Sie neben dem Schlüssel-Wert-Paar die Option **Entfernen** aus.
1. Wählen Sie **Änderungen speichern ** aus.
1. Auf der Registerkarte **Archivierungsregeln** können Sie Archivierungsregeln für den Analyzer erstellen, bearbeiten oder löschen. Weitere Informationen finden Sie unter [Archivregeln](access-analyzer-archive-rules.md).
1. Auf der Registerkarte **Tags** können Sie Tags für den Analyzer verwalten und erstellen. Weitere Informationen finden Sie unter [Tags für AWS Identity and Access Management Ressourcen](id_tags.md).
## Löschen eines Analyzer für ungenutzten Zugriff
Gehen Sie wie folgt vor, um einen Analyzer für ungenutzten Zugriff zu löschen. Wenn Sie einen Analyzer löschen, werden die Ressourcen nicht mehr überwacht und es werden keine neuen Erkenntnisse generiert. Alle Ergebnisse, die vom Analysator generiert wurden, werden gelöscht.
1. Öffnen Sie unter [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) die IAM-Konsole.
1. Wählen Sie unter **Zugriffs-Analyzer** die Option **Ungenutzten Zugriff** aus.
1. Wählen Sie unter **Analyzer für externen Zugriff** die Option **Analyzer-Einstellungen** aus.
1. Wählen Sie im Abschnitt **Analyzers** den Namen des Analyzer für ungenutzten Zugriff aus, den Sie löschen möchten.
1. Wählen Sie **Analyzer löschen** aus.
1. Geben Sie **löschen** ein und wählen Sie **Löschen**, um das Löschen des Analyzer zu bestätigen.