Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen - AWS Identitäts- und Zugriffsverwaltung
Informationstypen zum letzten Zugriff für IAMInformationen zum letzten Zugriff für AWS OrganizationsWissenswertes über die Informationen zum letzten ZugriffErforderliche BerechtigungenFehlerbehebung bei Aktivitäten für Entitäten IAM und OrganizationsWo werden die AWS zuletzt aufgerufenen Informationen aufgezeichnet

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verfeinern Sie die Berechtigungen für AWS die Verwendung der zuletzt abgerufenen Informationen

Als Administrator können Sie IAM Ressourcen (Rollen, Benutzern, Benutzergruppen oder Richtlinien) Berechtigungen gewähren, die über das hinausgehen, was diese benötigen. IAMstellt Informationen zur Verfügung, auf die zuletzt zugegriffen wurde, um Ihnen zu helfen, ungenutzte Berechtigungen zu identifizieren, sodass Sie sie entfernen können. Sie können die Informationen zum letzten Zugriff verwenden, um Ihre Richtlinien zu verfeinern und nur den Zugriff auf die Dienste und Aktionen zu gewähren, die für Ihre IAM Identitäten und Richtlinien verwendet werden. Auf diese Weise können Sie besser die bewährten Methoden der geringsten Rechte befolgen. Sie können Informationen zum letzten Zugriff für Identitäten oder Richtlinien anzeigen, die in IAM oder vorhanden sind. AWS Organizations

Sie können die zuletzt abgerufenen Informationen mit Analysatoren für ungenutzten Zugriff kontinuierlich überwachen. Weitere Informationen finden Sie unter Ergebnisse für externen und ungenutzten Zugriff.

Themen

Informationstypen zum letzten Zugriff für IAM

Sie können zwei Arten von Informationen, auf die zuletzt zugegriffen wurde, für IAM Identitäten anzeigen: Informationen zu erlaubten AWS Diensten und Informationen zu zulässigen Aktionen. Zu den Informationen gehören Datum und Uhrzeit des Zugriffsversuchs. AWS API Bei Aktionen werden die zuletzt aufgerufenen Informationen über Service-Verwaltungsaktionen gemeldet. Managementaktionen umfassen Erstellungs-, Lösch- und Änderungsaktionen. Weitere Informationen zum Anzeigen der Informationen für, auf die zuletzt zugegriffen wurdeIAM, finden Sie unterInformationen anzeigen, auf die zuletzt zugegriffen wurde für IAM.

Beispielszenarien für die Verwendung von Informationen, auf die zuletzt zugegriffen wurde, um Entscheidungen über die Berechtigungen zu treffen, die Sie Ihren IAM Identitäten gewähren, finden Beispielszenarien für die Verwendung von Informationen zum letzten Zugriff Sie unter.

Weitere Informationen dazu, wie die Informationen für Managementaktionen bereitgestellt werden, finden Sie unter Wissenswertes über die Informationen zum letzten Zugriff.

Informationen zum letzten Zugriff für AWS Organizations

Wenn Sie sich mit den Anmeldeinformationen für das Verwaltungskonto anmelden, können Sie Informationen zum Dienst, auf den zuletzt zugegriffen wurde, für eine AWS Organizations Entität oder Richtlinie in Ihrer Organisation anzeigen. AWS Organizations Zu den Entitäten gehören der Organisationsstamm, die Organisationseinheiten (OUs) oder die Konten. Zu den Informationen für, auf die zuletzt zugegriffen wurde, AWS Organizations gehören Informationen über Dienste, die gemäß einer Dienststeuerungsrichtlinie (SCP) zulässig sind. Die Informationen geben an, welche Hauptbenutzer (Root-Benutzer, IAM Benutzer oder Rolle) in einer Organisation oder einem Konto zuletzt versucht haben, auf den Dienst zuzugreifen, und wann. Weitere Informationen zum Bericht und zum Anzeigen der Informationen, auf die zuletzt zugegriffen wurde AWS Organizations, finden Sie unterInformationen für Organizations anzeigen, auf die zuletzt zugegriffen wurde.

Beispielszenarien zur Verwendung der Informationen zum letzten Zugriff für Entscheidungen zu den Berechtigungen für Ihre Organizations-Entitäten finden Sie unter Beispielszenarien für die Verwendung von Informationen zum letzten Zugriff.

Wissenswertes über die Informationen zum letzten Zugriff

Bevor Sie Informationen aus einem Bericht, auf die zuletzt zugegriffen wurde, verwenden, um die Berechtigungen für eine IAM Identität oder Organisationsentität zu ändern, überprüfen Sie die folgenden Informationen zu den Informationen.

  • Nachverfolgungszeitraum — Aktuelle Aktivitäten werden innerhalb von vier Stunden in der IAM Konsole angezeigt. Der Nachverfolgungszeitraum für Service-Informationen beträgt mindestens 400 Tage, je nachdem, wann der Service mit der Nachverfolgung von Aktionsinformationen begonnen hat. Der Nachverfolgungszeitraum für Amazon S3 Aktionsinformationen begann am 12. April 2020. Der Nachverfolgungszeitraum für Amazon EC2 IAM - und Lambda-Aktionen begann am 7. April 2021. Der Nachverfolgungszeitraum für alle anderen Services begann am 23. Mai 2023. Eine Liste der Services, für die Informationen über die zuletzt aufgerufene Aktion verfügbar sind, finden Sie unter IAMAktion, zuletzt aufgerufene Informationsdienste und Aktionen. Weitere Informationen darüber, in welchen Regionen die Aktion zuletzt aufgerufen wurde, finden Sie unter Wo werden die AWS zuletzt aufgerufenen Informationen aufgezeichnet.

  • Gemeldete Versuche — Die Daten, auf die der Dienst zuletzt zugegriffen hat AWS API, umfassen alle Zugriffsversuche und nicht nur die erfolgreichen Versuche. Dazu gehören alle Versuche, die mit AWS Management Console, AWS API über eines der oder eines der SDKs Befehlszeilentools unternommen wurden. Ein unerwarteter Eintrag als letztes Service-Zugriffsdatum bedeutet nicht, dass Ihr Konto beschädigt oder infiziert worden ist, da der Zugriff möglicherweise verweigert wurde. Informationen zu allen API Anrufen und dazu, ob der Zugriff erfolgreich war oder verweigert wurde, finden Sie in Ihren CloudTrail Protokollen als verlässliche Quelle.

  • PassRole— Die iam:PassRole Aktion wird nicht nachverfolgt und ist nicht in den Informationen zur zuletzt aufgerufenen IAM Aktion enthalten.

  • Informationen zur zuletzt aufgerufenen Aktion — Informationen zur zuletzt aufgerufenen Aktion sind für Service-Management-Aktionen verfügbar, auf die über IAM Identitäten zugegriffen wurde. Hier finden Sie die Liste der Services und deren Aktionen, für die zuletzt auf Berichtsinformationen zugegriffen wurde.

    Anmerkung

    Informationen zur Aktion, auf die zuletzt zugegriffen wurde, sind für Amazon-S3-Datenaktionen verfügbar.

  • Verwaltungsereignisse — IAM stellt Aktionsinformationen für Servicemanagement-Ereignisse bereit, die von protokolliert wurden CloudTrail. Manchmal werden CloudTrail Verwaltungsereignisse auch als Operationen auf Kontrollebene oder Ereignisse auf Kontrollebene bezeichnet. Verwaltungsereignisse bieten Einblick in Verwaltungsvorgänge, die an Ressourcen in Ihrem Unternehmen ausgeführt werden AWS-Konto. Weitere Informationen zu Verwaltungsereignissen finden Sie unter Protokollieren von Verwaltungsereignissen im AWS CloudTrail Benutzerhandbuch. CloudTrail

  • Berichtsbesitzer – Nur der Auftraggeber, der einen Bericht generiert, kann die Berichtsdetails anzeigen. Das bedeutet, dass Sie beim Anzeigen der Informationen in der möglicherweise warten müssen AWS Management Console, bis sie generiert und geladen sind. Wenn Sie das AWS CLI oder verwenden, AWS API um Berichtsdetails abzurufen, müssen Ihre Anmeldeinformationen mit den Anmeldeinformationen des Prinzipals übereinstimmen, der den Bericht generiert hat. Wenn Sie temporäre Anmeldeinformationen für eine Rolle oder einen Verbundbenutzer verwenden, müssen Sie den Bericht während derselben Sitzung generieren und abrufen. Weitere Hinweise zu Sitzungs-Auftraggeber für angenommene Rollen finden Sie unter AWS JSONpolitische Elemente: Principal.

  • IAMRessourcen — Zu den Informationen für, auf die zuletzt zugegriffen wurde, IAM gehören IAM Ressourcen (Rollen, Benutzer, IAM Gruppen und Richtlinien) in Ihrem Konto. Zu den zuletzt aufgerufenen Informationen für Organizations gehören Prinzipale (IAMBenutzer, IAM Rollen oder die Root-Benutzer des AWS-Kontos) in der angegebenen Organisationsentität. Die zuletzt zugegriffenen Informationen beinhalten keine nicht authentifizierten Versuche.

  • IAMRichtlinientypen — Zu den Informationen für, auf die zuletzt zugegriffen wurde, IAM gehören Dienste, die gemäß den Richtlinien einer IAM Identität zulässig sind. Diese Richtlinien sind einer Rolle oder einem Benutzer direkt oder über eine Gruppe angefügt. Zugriff, der über andere Richtlinientypen gewährt wird, ist in diesem Bericht nicht enthalten. Zu den ausgeschlossenen Richtlinientypen gehören ressourcenbasierte Richtlinien, Zugriffskontrolllisten AWS Organizations SCPs, IAM Berechtigungsgrenzen und Sitzungsrichtlinien. Berechtigungen, die durch dienstbezogene Rollen bereitgestellt werden, werden durch den Dienst definiert, mit dem sie verknüpft sind, und können nicht geändert werden. IAM Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Erstellen einer serviceverknüpften Rolle. Informationen dazu, wie die verschiedenen Richtlinientypen ausgewertet werden, um den Zugriff zuzulassen oder zu verweigern, finden Sie unter Auswertungslogik für Richtlinien.

  • Richtlinientypen für Organizations — Die Informationen für AWS Organizations umfassen nur Dienste, die durch die übernommenen Dienststeuerungsrichtlinien einer Organisationsentität (SCPs) zulässig sind. SCPssind Richtlinien, die einem Root, einer Organisationseinheit oder einem Konto zugeordnet sind. Zugriff, der über andere Richtlinientypen gewährt wird, ist in diesem Bericht nicht enthalten. Zu den ausgeschlossenen Richtlinientypen gehören identitätsbasierte Richtlinien, ressourcenbasierte Richtlinien, Zugriffskontrolllisten, IAM Berechtigungsgrenzen und Sitzungsrichtlinien. Informationen dazu, wie die verschiedenen Richtlinientypen ausgewertet werden, um Zugriff zu erlauben oder zu verweigern, finden Sie unter Auswertungslogik für Richtlinien.

  • Angabe einer Richtlinien-ID — Wenn Sie das AWS CLI oder verwenden AWS API, um einen Bericht für Informationen zu erstellen, auf die zuletzt in Organizations zugegriffen wurde, können Sie optional eine Richtlinien-ID angeben. Der resultierende Bericht enthält Daten für die Services, die nur aufgrund dieser Richtlinie zulässig sind. Die Daten beinhalten die letzten Kontoaktivitäten in der angegebenen Organizations-Entität oder den untergeordneten Elementen der Entität. Weitere Informationen finden Sie unter aws iam generate-organizations-access -report oder. GenerateOrganizationsAccessReport

  • Verwaltungskonto der Organisation – Sie müssen sich bei dem Verwaltungskonto Ihrer Organisation anmelden, um die zuletzt abgerufenen Informationen zum Dienst anzuzeigen. Sie können wählen, ob Sie Informationen für das Verwaltungskonto über die IAM Konsole, den oder den AWS CLI anzeigen möchten. AWS API Der resultierende Bericht listet alle AWS Dienste auf, da das Verwaltungskonto nicht eingeschränkt ist durchSCPs. Wenn Sie im Feld CLI oder eine Richtlinien-ID angebenAPI, wird die Richtlinie ignoriert. Für jeden Service beinhaltet der Bericht nur Daten für das Hauptkonto. Die Berichte für andere Organisationseinheiten liefern jedoch keine Informationen über die Aktivitäten auf dem Verwaltungskonto.

  • Organisationseinstellungen — Ein Administrator muss sie SCPs in Ihrem Organisationsstamm aktivieren, bevor Sie Daten für Organizations generieren können.

Erforderliche Berechtigungen

Um die zuletzt aufgerufenen Informationen in der anzeigen zu können AWS Management Console, benötigen Sie eine Richtlinie, die die erforderlichen Berechtigungen gewährt.

Berechtigungen für IAM-Informationen

Um die IAM Konsole zum Anzeigen der zuletzt aufgerufenen Informationen für einen IAM Benutzer, eine Rolle oder eine Richtlinie verwenden zu können, benötigen Sie eine Richtlinie, die die folgenden Aktionen umfasst:

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

Diese Berechtigungen erlauben einem Benutzer, folgende Informationen anzuzeigen:

  • Welche Benutzer, Gruppen oder Rollen einer verwalteten Richtlinie angefügt sind

  • Auf welche Services ein Benutzer oder eine Rolle zugreifen kann

  • Das Datum des letzten Zugriffs auf den Service

  • Das letzte Mal, als sie versucht haben, eine bestimmte Amazon- EC2IAM, Lambda- oder Amazon S3 S3-Aktion zu verwenden

Um das AWS CLI oder AWS API zum Anzeigen der zuletzt aufgerufenen Informationen verwenden zu könnenIAM, müssen Sie über Berechtigungen verfügen, die dem Vorgang entsprechen, den Sie verwenden möchten:

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen könnten, die das Anzeigen der IAM zuletzt abgerufenen Informationen ermöglicht. Darüber hinaus ermöglicht sie den schreibgeschützten Zugriff auf alle. IAM Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. 

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }

Berechtigungen für AWS Organizations -Informationen

Um mit der IAM Konsole einen Bericht für die Stamm-, OU- oder Kontoentitäten in Organizations anzuzeigen, benötigen Sie eine Richtlinie, die die folgenden Aktionen umfasst:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Um das AWS CLI oder zu verwenden AWS API, um Informationen über den Dienst, auf den zuletzt zugegriffen wurde, für Organizations anzuzeigen, benötigen Sie eine Richtlinie, die die folgenden Aktionen umfasst:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Anzeige von Informationen über den letzten Zugriff auf Services für Organisationen erlaubt. Darüber hinaus ermöglicht es schreibgeschützten Zugriff auf sämtliche Organizations. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff. 

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}

Sie können auch den OrganizationsPolicyId Bedingungsschlüssel iam: verwenden, um die Generierung eines Berichts nur für eine bestimmte Organisationsrichtlinie zu ermöglichen. Eine Beispielrichtlinie finden Sie unter IAM: Informationen zum zuletzt aufgerufenen Dienst für eine Organisationsrichtlinie anzeigen.

Fehlerbehebung bei Aktivitäten für Entitäten IAM und Organizations

In einigen Fällen ist Ihre AWS Management Console letzte Informationstabelle, auf die Sie zugegriffen haben, möglicherweise leer. Oder vielleicht gibt Ihre AWS CLI AWS API Oder-Anfrage einen leeren Satz von Informationen oder ein Nullfeld zurück. Überprüfen Sie in solch einem Fall die folgenden Punkte:

  • Bei Informationen zum letzten Zugriff auf Aktionen kann es sein, dass eine Aktion, die Sie in der Liste erwarten, dort nicht angezeigt wird. Dies kann entweder passieren, weil die IAM Identität keine Berechtigungen für die Aktion AWS besitzt, oder weil die Aktion für die zuletzt aufgerufenen Informationen noch nicht verfolgt wird.

  • Stellen Sie für einen IAM Benutzer sicher, dass dem Benutzer mindestens eine Inline-Richtlinie oder eine verwaltete Richtlinie zugewiesen ist, entweder direkt oder über Gruppenmitgliedschaften.

  • Stellen Sie für eine IAM Gruppe sicher, dass der Gruppe mindestens eine Inline-Richtlinie oder eine verwaltete Richtlinie zugeordnet ist.

  • Für eine IAM Gruppe gibt der Bericht nur die Informationen über den Dienst zurück, auf den zuletzt zugegriffen wurde, und zwar für Mitglieder, die die Gruppenrichtlinien für den Zugriff auf einen Dienst verwendet haben. Wenn Sie wissen möchten, ob ein Mitglied andere Richtlinien verwendet hat, überprüfen Sie die Informationen zum letzten Zugriff für diesen Benutzer.

  • Stellen Sie für eine IAM Rolle sicher, dass der Rolle mindestens eine Inline-Richtlinie oder eine verwaltete Richtlinie zugeordnet ist.

  • Überprüfen Sie für eine IAM Entität (Benutzer oder Rolle) andere Richtlinientypen, die sich auf die Berechtigungen dieser Entität auswirken könnten. Dazu gehören ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations Richtlinien, IAM Berechtigungsgrenzen oder Sitzungsrichtlinien. Weitere Informationen finden Sie unter Richtlinientypen oder Auswerten von Richtlinien in einem einzelnen Konto.

  • Stellen Sie bei einer IAM Richtlinie sicher, dass die angegebene verwaltete Richtlinie mindestens einem Benutzer, einer Gruppe mit Mitgliedern oder einer Rolle zugeordnet ist.

  • Vergewissern Sie sich, dass Sie für eine Organisationsentität (Stamm, OU oder Konto) mit den Anmeldeinformationen des Verwaltungskontos Organisationen signiert sind.

  • Vergewissern Sie SCPssich, dass sie im Stammverzeichnis Ihrer Organisation aktiviert sind.

  • Die Information über den letzten Zugriff auf eine Aktion ist nur für die unter IAMAktion, zuletzt aufgerufene Informationsdienste und Aktionen aufgeführten Aktionen verfügbar.

Wenn Sie Änderungen vornehmen, warten Sie mindestens vier Stunden, bis die Aktivität in Ihrem IAM Konsolenbericht angezeigt wird. Wenn Sie das AWS CLI oder verwenden AWS API, müssen Sie einen neuen Bericht erstellen, um die aktualisierten Informationen anzeigen zu können.

Wo werden die AWS zuletzt aufgerufenen Informationen aufgezeichnet

AWS sammelt Informationen, auf die zuletzt zugegriffen wurde, für die AWS Standardregionen. Wenn weitere Regionen AWS hinzugefügt werden, werden diese Regionen der folgenden Tabelle hinzugefügt, einschließlich des Datums, AWS an dem mit der Erfassung von Informationen in jeder Region begonnen wurde.

  • Serviceinformationen – Der Nachverfolgungszeitraum für Services beträgt mindestens 400 Tage oder weniger, wenn Ihre Region innerhalb der letzten 400 Tage mit der Verfolgung dieses Features begonnen hat.

  • Aktionsinformationen – Der Nachverfolgungszeitraum für Amazon S3-Managementaktionen begann am 12. April 2020. Der Nachverfolgungszeitraum für Amazon EC2 IAM - und Lambda-Managementaktionen begann am 7. April 2021. Der Nachverfolgungszeitraum für Verwaltungsmaßnahmen für alle anderen Services begann am 23. Mai 2023. Wenn das Nachverfolgungsdatum einer Region nach dem 23. Mai 2023 liegt, beginnt die Aktion mit den zuletzt aufgerufenen Informationen aus dieser Region zu dem späteren Datum.

Name der Region Region Startdatum für Verfolgung
USA Ost (Ohio) us-east-2 27. Oktober 2017
USA Ost (Nord-Virginia) us-east-1 1. Oktober 2015
USA West (Nordkalifornien) us-west-1 1. Oktober 2015
USA West (Oregon) us-west-2 1. Oktober 2015
Afrika (Kapstadt) af-south-1 22. April 2020
Asien-Pazifik (Hongkong) ap-east-1 24. April 2019
Asien-Pazifik (Hyderabad) ap-south-2 22. November 2022
Asien-Pazifik (Jakarta) ap-southeast-3 13. Dezember 2021
Asien-Pazifik (Melbourne) ap-southeast-4 23. Januar 2023
Asien-Pazifik (Mumbai) ap-south-1 27. Juni 2016
Asien-Pazifik (Osaka) ap-northeast-3 11. Februar 2018
Asien-Pazifik (Seoul) ap-northeast-2 6. Januar 2016
Asien-Pazifik (Singapur) ap-southeast-1 1. Oktober 2015
Asien-Pazifik (Sydney) ap-southeast-2 1. Oktober 2015
Asien-Pazifik (Tokio) ap-northeast-1 1. Oktober 2015
Kanada (Zentral) ca-central-1 28. Oktober 2017
Europa (Frankfurt) eu-central-1 1. Oktober 2015
Europa (Irland) eu-west-1 1. Oktober 2015
Europa (London) eu-west-2 28. Oktober 2017
Europa (Mailand) eu-south-1 28. April 2020
Europa (Paris) eu-west-3 18. Dezember 2017
Europa (Spanien) eu-south-2 15. November 2022
Europa (Stockholm) eu-north-1 12. Dezember 2018
Europa (Zürich) eu-central-2 08. November 2022
Israel (Tel Aviv) il-central-1 1. August 2023
Naher Osten (Bahrain) me-south-1 29. Juli 2019
Naher Osten () UAE me-central-1 30. August 2022
Südamerika (São Paulo) sa-east-1 11. Dezember 2015
AWS GovCloud (US-Ost) us-gov-east-1 1. Juli 2023
AWS GovCloud (US-West) us-gov-west-1 1. Juli 2023

Wenn eine Region in der vorherigen Tabelle nicht aufgeführt ist, stehen Informationen zum letzten Servicezugriff für diese Region noch nicht zur Verfügung.

Eine AWS Region ist eine Sammlung von AWS Ressourcen in einem geografischen Gebiet. Regionen werden in Partitionen gruppiert. Die Standardregionen sind die Regionen, die zur aws-Partition gehören. Weitere Informationen zu den verschiedenen Partitionen finden Sie unter Amazon Resource Names (ARNs) -Format in der Allgemeine AWS-Referenz. Weitere Informationen zu Regionen finden Sie unter Über AWS Regionen auch in der Allgemeine AWS-Referenz.