Informationen anzeigen, auf die zuletzt zugegriffen wurde für IAM - AWS Identitäts- und Zugriffsverwaltung
Informationen für IAM (Konsole) anzeigenInformationen anzeigen für IAM (AWS CLI)Informationen anzeigen für () IAM AWS API

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Informationen anzeigen, auf die zuletzt zugegriffen wurde für IAM

Sie können die zuletzt aufgerufenen Informationen für die IAM Verwendung von AWS Management Console AWS CLI, oder anzeigen AWS API. Hier finden Sie die Liste der Services und deren Aktionen, für die Informationen zum letzten Zugriff angezeigt werden. Weitere Informationen zu den Informationen zum letzten Zugriff finden Sie unter Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen.

Informationen zu den folgenden Ressourcentypen finden Sie unterIAM. In jedem Fall enthalten die Informationen die zulässigen Services für den jeweiligen Berichtszeitraum:

  • Benutzer – Zeigt den letzten Zugriffsversuch des Benutzers auf jeden zulässigen Service an.

  • Benutzergruppe – Zeigt Informationen zum letzten Zugriffsversuch auf den Service durch ein Mitglied der Gruppe an. Dieser Bericht enthält auch die Gesamtzahl der Mitglieder, die versucht haben, auf den Service zuzugreifen.

  • Rolle – Zeigt den Zeitpunkt des letzten Zugriffsversuchs auf jeden zulässigen Service durch einen Benutzer mithilfe dieser Rolle an.

  • Richtlinie – Zeigt Informationen zum letzten Zugriffsversuch auf jeden zulässigen Service durch einen Benutzer oder eine Rolle an. Dieser Bericht enthält auch die Gesamtzahl der Entitäten, die versucht haben, auf den Service zuzugreifen.

Anmerkung

Bevor Sie die Zugriffsinformationen für eine Ressource in anzeigenIAM, sollten Sie sich mit dem Berichtszeitraum, den gemeldeten Entitäten und den bewerteten Richtlinientypen vertraut machen. Weitere Details finden Sie unter Wissenswertes über die Informationen zum letzten Zugriff.

Informationen für IAM (Konsole) anzeigen

Sie können die Informationen für, auf die zuletzt zugegriffen wurde, IAM auf der Registerkarte Access Advisor in der IAM Konsole anzeigen.

So zeigen Sie Informationen für IAM an (Konsole):

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich entweder Groups (Gruppen), Users (Benutzer), Roles (Rollen) oder Policies (Richtlinien).

  3. Wählen Sie einen Benutzer, eine Gruppe, eine Rolle oder einen Richtliniennamen aus, um die Seite Summary (Details) zu öffnen, und klicken Sie auf die Registerkarte Access Advisor. Zeigen Sie die folgenden Informationen basierend auf der gewählten Ressource an:

    • Group (Gruppe) – Zeigt die Liste der Services an, auf die Gruppenmitglieder (Benutzer) zugreifen können. Sie können auch anzeigen, wann ein Mitglied zuletzt auf den Service zugegriffen hat, welche Gruppenrichtlinien es verwendet hat, und welches Gruppenmitglied die Anforderung gestellt hat. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie oder eine eingebundene Gruppenrichtlinie handelt. Wählen Sie den Namen des Gruppenmitglieds aus, um alle Mitglieder der Gruppe und deren letztes Service-Zugriffsdatum anzuzeigen.

    • User (Benutzer) – Zeigt die Liste der Services an, auf die der Benutzer zugreifen kann. Sie können auch anzeigen, wann der Benutzer zuletzt auf den Service zugegriffen hat und welche Richtlinien dem Benutzer aktuell zugeordnet sind. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie, eine Inline-Benutzerrichtlinie oder eine Inline-Richtlinie für die Gruppe handelt.

    • Rolle – Zeigen Sie die Liste der Services, auf die die Rolle zugreifen kann, das letzte Service-Zugriffsdatum der Rolle und die verwendeten Richtlinien an. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie oder eine eingebundene Rollenrichtlinie handelt.

    • Policy (Richtlinie) – Zeigt die Liste der Services mit zulässigen Aktionen in der Richtlinie an. Sie können auch anzeigen, wann die Richtlinie zuletzt für den Zugriff auf den Service verwendet wurde, und welche Entität (Benutzer oder Rolle) die Richtlinie verwendet hat. Das Datum des letzten Zugriffs umfasst auch den Zeitpunkt, zu dem der Zugriff auf diese Richtlinie über eine andere Richtlinie gewährt wurde. Wählen Sie den Namen der Entität aus, um zu erfahren, welchen Entitäten diese Richtlinie angefügt ist und wann diese zuletzt auf den Service zugegriffen haben.

  4. Wählen Sie in der Spalte Dienst der Tabelle den Namen eines der Dienste aus, der Informationen über die Aktion enthält, auf die zuletzt zugegriffen wurde, um eine Liste der Verwaltungsaktionen anzuzeigen, auf die IAM Entitäten zuzugreifen versucht haben. Sie können die AWS-Region und einen Zeitstempel anzeigen, der anzeigt, wann jemand zuletzt versucht hat, die Aktion auszuführen.

  5. Die Spalte Letzter Zugriff wird für Services und Verwaltungsaktionen der Services angezeigt, die Informationen zur Aktion enthalten, auf die zuletzt zugegriffen wurde. Überprüfen Sie die folgenden möglichen Ergebnisse, die in dieser Spalte zurückgegeben werden. Diese Ergebnisse hängen davon ab, ob ein Dienst oder eine Aktion zugelassen ist, ob auf sie zugegriffen wurde und ob die Informationen, auf die zuletzt zugegriffen wurde, nachverfolgt wurden AWS .

    vor <number of> Tagen

    Die Anzahl der Tage, seitdem der Service oder die Aktion im Nachverfolgungszeitraum verwendet wurde. Der Nachverfolgungszeitraum für Services erstreckt sich über die letzten 400 Tage. Der Nachverfolgungszeitraum für Amazon S3 Aktionen begann am 12. April 2020. Der Nachverfolgungszeitraum für Amazon EC2 IAM - und Lambda-Aktionen begann am 7. April 2021. Der Nachverfolgungszeitraum für alle anderen Services begann am 23. Mai 2023. Weitere Informationen zu den jeweiligen Startdaten für die Nachverfolgung finden Sie AWS-Region unterWo werden die AWS zuletzt aufgerufenen Informationen aufgezeichnet.

    Kein Zugriff im Nachverfolgungszeitraum

    Der nachverfolgte Service oder die Aktion wurde im Nachverfolgungszeitraum nicht von einer Entität verwendet.

    Es ist möglich, dass Sie Berechtigungen für eine Aktion haben, die nicht in der Liste angezeigt wird. Dies kann vorkommen, wenn die Nachverfolgungsinformationen für die Aktion derzeit nicht in AWS enthalten sind. Sie sollten keine Berechtigungsentscheidungen nur auf der Grundlage des Fehlens von Nachverfolgungsinformationen treffen. Stattdessen empfehlen wir, diese Informationen zu verwenden, um Ihre allgemeine Strategie für die Gewährung der geringsten Privilegien zu unterstützen. Überprüfen Sie Ihre Richtlinien, um zu bestätigen, dass die Zugriffsebene angemessen ist.

Informationen anzeigen für IAM (AWS CLI)

Sie können den verwenden AWS CLI , um Informationen darüber abzurufen, wann eine IAM Ressource das letzte Mal verwendet wurde, um auf AWS Dienste und Amazon S3- EC2IAM, Amazon- und Lambda-Aktionen zuzugreifen. Bei einer IAM Ressource kann es sich um einen Benutzer, eine Benutzergruppe, eine Rolle oder eine Richtlinie handeln.

So zeigen Sie Informationen für IAM (AWS CLI) an:

  1. Erstellen Sie einen Bericht. Die Anfrage muss die ARN IAM Ressource (Benutzer, Benutzergruppe, Rolle oder Richtlinie) enthalten, für die Sie einen Bericht erstellen möchten. Sie können die Granularität angeben, die Sie im Bericht generieren möchten, um Zugriffsdetails nur für Services oder für Services und Aktionen anzuzeigen. Die Anforderung gibt eine job-id zurück, die Sie in den Operationen get-service-last-accessed-details und get-service-last-accessed-details-with-entities nutzen können, um den job-status bis zum Abschluss des Auftrags zu überwachen.

  2. Rufen Sie Details zum Bericht mithilfe des Parameters job-id aus dem vorherigen Schritt ab.

    Mit dieser Operation werden abhängig von der Art der Ressource und der Granularität, die Sie in der Operation generate-service-last-accessed-details angefordert haben, die folgenden Informationen zurückgegeben:

    • Benutzer – Gibt eine Liste der Services zurück, auf die der angegebene Benutzer zugreifen kann. Für jeden Dienst gibt die Operation das Datum und die Uhrzeit des letzten Versuchs des Benutzers sowie den des Benutzers zurück. ARN

    • Benutzergruppe – Gibt eine Liste der Services zurück, auf die Mitglieder der angegebenen Benutzergruppe mithilfe der an die Benutzergruppe angefügten Richtlinien zugreifen können. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs durch ein Mitglied der Gruppe (Benutzer) zurück. Außerdem werden die Daten ARN dieses Benutzers und die Gesamtzahl der Benutzergruppenmitglieder zurückgegeben, die versucht haben, auf den Dienst zuzugreifen. Verwenden Sie den GetServiceLastAccessedDetailsWithEntitiesVorgang, um eine Liste aller Mitglieder abzurufen.

    • Rolle – Gibt eine Liste der Services zurück, auf die die angegebene Rolle zugreifen kann. Für jeden Dienst gibt die Operation das Datum und die Uhrzeit des letzten Versuchs der Rolle sowie das Datum und die Uhrzeit ARN der Rolle zurück.

    • Richtlinie – Gibt eine Liste der Services zurück, auf die die angegebene Richtlinie Zugriff gewährt. Die Operation gibt für jeden Service Datum und Uhrzeit des letzten Zugriffsversuch auf den Service durch eine Entität (Benutzer oder Rolle) mithilfe der Richtlinie zurück. Außerdem werden die Daten ARN dieser Entität und die Gesamtzahl der Entitäten zurückgegeben, die versucht haben, darauf zuzugreifen.

  3. Weitere Informationen zu den Entitäten, die mithilfe von Gruppen- oder Richtlinienberechtigungen versucht haben, auf einen bestimmten Service zuzugreifen. Dieser Vorgang gibt eine Liste von Entitäten zurück, die jeweils die IDARN, den Namen, den Pfad, den Typ (Benutzer oder Rolle) sowie den Zeitpunkt des letzten Zugriffs auf den Dienst enthält. Sie können diese Operation auch für Benutzer und Rollen verwenden. Es werden jedoch nur Informationen zu dieser Entität zurückgegeben.

  4. Weitere Informationen zu den identitätsbasierten Richtlinien, die eine Identität (Benutzer, Gruppe oder Rolle) verwendet hat, um auf einen bestimmten Service zuzugreifen. Wenn Sie eine Identität und einen Service angeben, gibt diese Operation eine Liste der Berechtigungsrichtlinien zurück, die die Identität nutzen kann, um auf den angegebenen Service zuzugreifen. Diese Operation gibt den aktuellen Status der Richtlinien zurück und ist unabhängig von dem erzeugten Bericht. Es werden auch keine anderen Richtlinientypen zurückgegeben, wie z. B. ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations Richtlinien, IAM Berechtigungsgrenzen oder Sitzungsrichtlinien. Weitere Informationen finden Sie unter Richtlinientypen oder Auswerten von Richtlinien in einem einzelnen Konto.

Informationen anzeigen für () IAM AWS API

Sie können den verwenden AWS API, um Informationen darüber abzurufen, wann eine IAM Ressource das letzte Mal verwendet wurde, um auf AWS Dienste und Amazon S3- EC2IAM, Amazon- und Lambda-Aktionen zuzugreifen. Bei einer IAM Ressource kann es sich um einen Benutzer, eine Benutzergruppe, eine Rolle oder eine Richtlinie handeln. Sie können die Granularität angeben, die Sie im Bericht generieren möchten, um Details nur für Services oder für Services und Aktionen anzuzeigen.

Um Informationen für IAM (AWS API) anzuzeigen

  1. Erstellen Sie einen Bericht. Die Anfrage muss die ARN IAM Ressource (Benutzer, Benutzergruppe, Rolle oder Richtlinie) enthalten, für die Sie einen Bericht erstellen möchten. Es wird eine JobId zurückgegeben, die Sie in den Operationen GetServiceLastAccessedDetails und GetServiceLastAccessedDetailsWithEntities nutzen können, um den JobStatus bis zum Abschluss des Auftrags zu überwachen.

  2. Rufen Sie Details zum Bericht mithilfe des Parameters JobId aus dem vorherigen Schritt ab.

    Mit dieser Operation werden abhängig von der Art der Ressource und der Granularität, die Sie in der Operation GenerateServiceLastAccessedDetails angefordert haben, die folgenden Informationen zurückgegeben:

    • Benutzer – Gibt eine Liste der Services zurück, auf die der angegebene Benutzer zugreifen kann. Für jeden Dienst gibt der Vorgang Datum und Uhrzeit des letzten Versuchs des Benutzers und ARN des Benutzers zurück.

    • Benutzergruppe – Gibt eine Liste der Services zurück, auf die Mitglieder der angegebenen Benutzergruppe mithilfe der an die Benutzergruppe angefügten Richtlinien zugreifen können. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs durch ein Mitglied der Gruppe (Benutzer) zurück. Außerdem werden die Daten ARN dieses Benutzers und die Gesamtzahl der Benutzergruppenmitglieder zurückgegeben, die versucht haben, auf den Dienst zuzugreifen. Verwenden Sie den GetServiceLastAccessedDetailsWithEntitiesVorgang, um eine Liste aller Mitglieder abzurufen.

    • Rolle – Gibt eine Liste der Services zurück, auf die die angegebene Rolle zugreifen kann. Für jeden Dienst gibt die Operation das Datum und die Uhrzeit des letzten Versuchs der Rolle sowie das Datum und die Uhrzeit ARN der Rolle zurück.

    • Richtlinie – Gibt eine Liste der Services zurück, auf die die angegebene Richtlinie Zugriff gewährt. Die Operation gibt für jeden Service Datum und Uhrzeit des letzten Zugriffsversuch auf den Service durch eine Entität (Benutzer oder Rolle) mithilfe der Richtlinie zurück. Außerdem werden die Daten ARN dieser Entität und die Gesamtzahl der Entitäten zurückgegeben, die versucht haben, darauf zuzugreifen.

  3. Weitere Informationen zu den Entitäten, die mithilfe von Gruppen- oder Richtlinienberechtigungen versucht haben, auf einen bestimmten Service zuzugreifen. Dieser Vorgang gibt eine Liste von Entitäten zurück, die jeweils die IDARN, den Namen, den Pfad, den Typ (Benutzer oder Rolle) sowie den Zeitpunkt des letzten Zugriffs auf den Dienst enthält. Sie können diese Operation auch für Benutzer und Rollen verwenden. Es werden jedoch nur Informationen zu dieser Entität zurückgegeben.

  4. Weitere Informationen zu den identitätsbasierten Richtlinien, die eine Identität (Benutzer, Gruppe oder Rolle) verwendet hat, um auf einen bestimmten Service zuzugreifen. Wenn Sie eine Identität und einen Service angeben, gibt diese Operation eine Liste der Berechtigungsrichtlinien zurück, die die Identität nutzen kann, um auf den angegebenen Service zuzugreifen. Diese Operation gibt den aktuellen Status der Richtlinien zurück und ist unabhängig von dem erzeugten Bericht. Es werden auch keine anderen Richtlinientypen zurückgegeben, wie z. B. ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations Richtlinien, IAM Berechtigungsgrenzen oder Sitzungsrichtlinien. Weitere Informationen finden Sie unter Richtlinientypen oder Auswerten von Richtlinien in einem einzelnen Konto.