Generieren von IAM Access Analyzer-Richtlinien

Generieren einer Richtlinie für eine IAM-Rolle

1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

2. Wählen Sie im Navigationsbereich auf der linken Seite Roles (Rollen).

   Anmerkung

   Die Schritte zum Generieren einer Richtlinie basierend auf Aktivitäten für einen IAM-Benutzer sind nahezu identisch. Wählen Sie dazu Benutzer anstelle von Rollen.

3. Wählen Sie in der Rollenliste in Ihrem Konto den Namen der Rolle aus, deren Aktivität Sie zum Generieren einer Richtlinie verwenden möchten.

4. Wählen Sie auf der Registerkarte Berechtigungen im Abschnitt Richtlinie basierend auf CloudTrail-Ereignissen generieren die Option Richtlinie generieren.

5. Geben Sie auf der Seite Richtlinie generieren den Zeitraum an, in dem IAM Access Analyzer Ihre CloudTrail-Ereignisse auf Aktionen mit der Rolle analysieren soll. Sie können einen Bereich von bis zu 90 Tagen wählen. Wir empfehlen Ihnen, den kürzest möglichen Zeitraum zu wählen, um die Zeit für die Generierung von Richtlinien zu verkürzen.

6. Wählen Sie im Abschnitt CloudTrail-Zugang eine geeignete bestehende Rolle oder erstellen Sie eine neue Rolle, wenn keine geeignete Rolle vorhanden ist. Mit dieser Rolle erhält IAM Access Analyzer die Berechtigung, in Ihrem Namen auf Ihre CloudTrail-Daten zuzugreifen, um die Zugriffsaktivitäten zu überprüfen und die verwendeten Services und Aktionen zu identifizieren. Verwenden Sie Erforderliche Berechtigungen zum Generieren einer Richtlinie, um mehr über die für diese Rolle erforderlichen Berechtigungen zu erfahren.

7. Geben Sie im Abschnitt Zu analysierender CloudTrail-Trail den CloudTrail-Trail an, der Ereignisse für das Konto protokolliert.

   Wenn Sie einen CloudTrail auswählen, der Protokolle in einem anderen Konto speichert, wird ein Informationsfeld über den kontoübergreifenden Zugriff angezeigt. Kontenübergreifender Zugriff erfordert eine zusätzliche Einrichtung. Weitere Informationen finden Sie unter Choose a role for cross-account access weiter unten in diesem Thema.

8. Wählen Sie Richtlinie generieren.

9. Während die Richtliniengenerierung im Gange ist, kehren Sie zur Seite Rollen-Übersicht auf der Registerkarte Berechtigungen zurück. Warten Sie, bis der Status im Abschnitt Details zur Richtlinienanforderung Erfolg anzeigt, und wählen Sie dann Generierte Policy anzeigen. Sie können die generierte Richtlinie bis zu 7 Tage lang einsehen. Wenn Sie eine andere Richtlinie generieren, wird die vorhandene Richtlinie durch die neue ersetzt, die Sie generieren.

1. Lesen Sie die folgenden Abschnitte:

   • Überprüfen Sie auf der Seite Berechtigungen überprüfen die Liste der Aktionen, die in der generierten Richtlinie enthalten sind. Die Liste zeigt die Services und Aktionen an, die von IAM Access Analyzer identifiziert wurden und die von der Rolle im angegebenen Datumsbereich verwendet wurden.

   • Im Abschnitt Verwendete Services werden zusätzliche Services angezeigt, die von IAM Access Analyzer identifiziert wurden und die von der Rolle im angegebenen Zeitraum verwendet wurden. Informationen darüber, welche Aktionen verwendet wurden, stehen für die in diesem Abschnitt aufgeführten Services möglicherweise nicht zur Verfügung. Verwenden Sie die Menüs für jedes aufgeführte Service, um die Aktionen, die Sie in die Richtlinie aufnehmen möchten, manuell auszuwählen.

2. Wenn Sie mit dem Hinzufügen von Aktionen fertig sind, wählen Sie Nächstes.

Anpassen der generierten Richtlinie

1. Aktualisieren Sie die Richtlinienvorlage. Die Richtlinienvorlage enthält ARN-Platzhalter für Ressourcen für Aktionen, die Berechtigungen auf Ressourcenebene unterstützen, wie in der folgenden Abbildung dargestellt. Berechtigungen auf Ressourcenebene bedeutet, dass Sie angeben können, für welche Ressourcen die Benutzer Aktionen ausführen dürfen. Wir empfehlen, dass Sie ARNs verwenden, um Ihre individuellen Ressourcen in der Richtlinie für Aktionen anzugeben, die Berechtigungen auf Ressourcenebene unterstützen. Sie können die Platzhalter-Ressourcen-ARNs durch gültige Ressourcen-ARNs für Ihren Anwendungsfall ersetzen.

   Wenn eine Aktion keine Berechtigungen auf Ressourcenebene unterstützt, müssen Sie einen Platzhalter (*) verwenden, um anzugeben, dass alle Ressourcen von der Aktion betroffen sein können. Informationen darüber, welche AWS-Services Berechtigungen auf Ressourcenebene unterstützen, finden Sie unter AWSServices, die mit IAM arbeiten. Eine Liste der Aktionen in jedem Service und um zu erfahren, welche Aktionen Berechtigungen auf Ressourcenebene unterstützen, finden Sie unter Aktionen, Ressourcen und Bedingungsschlüssel für AWS-Services.

   

2. (Optional) Fügen Sie JSON-Richtlinienanweisungen in der Vorlage hinzu, ändern oder entfernen Sie sie. Weitere Informationen zum Schreiben von JSON-Richtlinien finden Sie unter Erstellen von IAM-Richtlinien (Konsole).

3. Wenn Sie mit dem Anpassen der Richtlinienvorlage fertig sind, haben Sie die folgenden Optionen:

   • (Optional) Sie können das JSON in die Vorlage kopieren, um es separat außerhalb der Seite Generierte Richtlinie zu verwenden. Zum Beispiel, wenn Sie den JSON verwenden möchten, um eine Richtlinie in einem anderen Konto zu erstellen. Wenn die Richtlinie in Ihrer Vorlage das Limit von 6.144 Zeichen für JSON-Richtlinien überschreitet, ist die Richtlinie in mehrere Richtlinien unterteilt.

   • Wählen Sie Nächstes, um eine verwaltete Richtlinie im selben Konto zu überprüfen und zu erstellen.

Überprüfen und Erstellen einer Richtlinie

1. Geben Sie auf der Seite Review and create managed policy (Überprüfen und Erstellen einer verwalteten Richtlinie) unter Name einen Namen und unter Description (Beschreibung) (optional) eine Beschreibung für die Richtlinie ein, die Sie erstellen.

2. (Optional) Im Abschnitt Zusammenfassung können Sie die Berechtigungen überprüfen, die in der Richtlinie enthalten sein werden.

3. (Optional) Fügen Sie der Richtlinie Metadaten hinzu, indem Sie Tags als Schlüssel-Wert-Paare anfügen. Weitere Informationen zur Verwendung von Tags mit IAM finden Sie unter Tagging von Amazon RDSIAM-Ressourcen.

4. Wenn Sie fertig sind, führen Sie einen der folgenden Schritte aus:

   • Sie können die neue Richtlinie direkt an die Rolle anhängen, die zum Generieren der Richtlinie verwendet wurde. Aktivieren Sie hierzu unten auf der Seite das Kontrollkästchen neben Richtlinie an YourRoleName anfügen. Wählen Sie dann Erstellen und Anfügen von Richtlinien.

   • Wählen Sie andernfalls Richtlinie erstellen. Die von Ihnen erstellte Richtlinie finden Sie in der Liste der Richtlinien im Navigationsbereich Richtlinien der IAM-Konsole.

5. Sie können die von Ihnen erstellte Richtlinie an eine Entität in Ihrem Konto anhängen. Nachdem Sie die Richtlinie angehängt haben, können Sie alle anderen übermäßig breiten Richtlinien entfernen, die möglicherweise an die Entität angehängt sind. Informationen zum Anhängen einer verwalteten Richtlinie finden Sie unter IAM-Identitätsberechtigungen hinzufügen (Konsole).

Schritt 1: Wählen oder erstellen Sie eine Rolle für kontoübergreifenden Zugriff

• Auf dem Bildschirm Richtlinie generieren ist die Option Vorhandene Rolle verwenden für Sie vorausgewählt, wenn eine Rolle mit den erforderlichen Berechtigungen in Ihrem Konto vorhanden ist. Wählen Sie andernfalls Erstellen und Verwenden einer neuen Servicerolle. Die neue Rolle wird verwendet, um IAM Access Analyzer Zugriff auf Ihre CloudTrail-Protokolle in Konto B zu gewähren.

Schritt 2: Überprüfen oder aktualisieren Sie Ihre Amazon-S3-Bucket-Konfiguration in Konto B

1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon S3-Konsole unter https://console.aws.amazon.com/s3/.

2. Wählen Sie in der Liste Buckets den Namen des Buckets, in dem Ihre CloudTrail-Protokolle gespeichert sind.

3. Wählen Sie die Registerkarte Permissions (Berechtigungen) und gehen Sie zum Abschnitt Object Ownership (Objekteigentümerschaft).

   Verwenden Sie die Bucket-Einstellungen für die Amazon-S3-Objekteigentümerschaft, um die Eigentümerschaft von Objekten zu kontrollieren, die Sie in Ihre Buckets hochladen. Wenn andere Personen Objekte in Ihren AWS-Konten-Bucket hochladen, gehören die Objekte standardmäßig dem hochladenden Konto. Um eine Richtlinie zu erstellen, muss der Bucket-Besitzer Eigentümer aller Objekte im Bucket sein. Je nach Anwendungsfall Ihrer ACL müssen Sie möglicherweise die Einstellung für die Object Ownership (Objekteigentümerschaft) für Ihren Bucket ändern. Legen Sie Object Ownership (Objekteigentümerschaft) auf eine der folgenden Optionen fest.

   • Bucket owner enforced (Bucket-Eigentümer erzwungen) (empfohlen)

   • Bucket owner preferred (Bucket-Eigentümer bevorzugt)

   Wichtig

   Um eine Richtlinie erfolgreich zu generieren, müssen die Objekte im Bucket im Besitz des -Bucket-Eigentümers sein. Wenn Sie Bucket owner preferred (Bucket-Besitzer bevorzugt) verwenden, können Sie nur eine Richtlinie für den Zeitraum nach der Änderung der Objekteigentümerschaft erstellen.

   Weitere Informationen zur Objekteigentümerschaft in Amazon-S3, finden Sie unter Steuern der Objekteigentümerschaft und Deaktivieren von ACLs für Ihren Bucket im Amazon-S3-Benutzerhandbuch.

4. Fügen Sie Berechtigungen zu Ihrer Amazon S3 Bucket-Richtlinie in Konto B hinzu, um den Zugriff für die Rolle in Konto A zu gewähren.

   Die folgende Beispielrichtlinie erlaubt ListBucket und GetObject für den Bucket amzn-s3-demo-bucket. Es erlaubt den Zugriff, wenn die Rolle, die auf den Bucket zugreift, zu einem Konto in Ihrer Organisation gehört und einen Namen hat, der mit AccessAnalyzerMonitorServiceRole beginnt. Die Verwendung von aws:PrincipalArn als Condition im Resource-Element stellt sicher, dass die Rolle nur dann auf Aktivitäten für das Konto zugreifen kann, wenn es zu Konto A gehört. Sie können amzn-s3-demo-bucket durch Ihren Bucket-Namen, optional-prefix durch ein optionales Präfix für den Bucket und organization-id durch Ihre Organisations-ID ersetzen.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "PolicyGenerationBucketPolicy",
         "Effect": "Allow",
         "Principal": {
           "AWS": "*"
         },
         "Action": [
           "s3:GetObject",
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket",
           "arn:aws:s3:::amzn-s3-demo-bucket/optional-prefix/AWSLogs/organization-id/${aws:PrincipalAccount}/*"
         ],
         "Condition": {
           "StringEquals": {
             "aws:PrincipalOrgID": "organization-id"
           },
           "StringLike": {
             "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
           }
         }
       }
     ]
   }

5. Wenn Sie Ihre Protokolle mit AWS KMS verschlüsseln, aktualisieren Sie Ihre AWS KMS-Schlüsselrichtlinie in dem Konto, in dem Sie die CloudTrail-Protokolle speichern, um IAM Access Analyzer Zugriff auf Ihren Schlüssel zu gewähren, wie im folgenden Richtlinienbeispiel gezeigt. Ersetzen Sie CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN durch den ARN für Ihren Trail und organization-id durch Ihre Organisations-ID.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "*"
         },
         "Action": "kms:Decrypt",
         "Resource": "*",
         "Condition": {
           "StringEquals": {
             "kms:EncryptionContext:aws:cloudtrail:arn": "CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN",
             "aws:PrincipalOrgID": "organization-id"
           },
           "StringLike": {
             "kms:ViaService": [
               "access-analyzer.*.amazonaws.com",
               "s3.*.amazonaws.com"
             ],
             "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
           }
         }
       }
     ]
   }