Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Die Verwendung von AWS Identity and Access Management Access Analyzer
AWS Identity and Access Management Access Analyzer bietet die folgenden Funktionen:
-
IAMMithilfe der Access Analyzer Analyzer für externen Zugriff können Sie Ressourcen in Ihrer Organisation und Konten identifizieren, die mit einer externen Entität gemeinsam genutzt werden.
-
IAMMit den Access Analyzer-Analysatoren für ungenutzten Zugriff können Sie ungenutzten Zugriff in Ihrer Organisation und Ihren Konten identifizieren.
-
IAMAccess Analyzer validiert IAM Richtlinien anhand der Richtliniengrammatik und AWS bewährte Verfahren.
-
IAMMithilfe der benutzerdefinierten Richtlinienprüfungen von Access Analyzer können Sie überprüfen, ob IAM Richtlinien Ihren angegebenen Sicherheitsstandards entsprechen.
-
IAMAccess Analyzer generiert IAM Richtlinien auf der Grundlage der Zugriffsaktivitäten in Ihrem AWS CloudTrail Logs.
Identifizieren von Ressourcen, die mit einer externen Entität geteilt wurden
IAMAccess Analyzer hilft Ihnen dabei, die Ressourcen in Ihrer Organisation und Ihren Konten zu identifizieren, wie z. B. Amazon S3 S3-Buckets oder IAM Rollen, die mit einer externen Entität gemeinsam genutzt werden. Dies hilft Ihnen, unbeabsichtigten Zugriff auf Ihre Ressourcen und Daten zu identifizieren, was ein Sicherheitsrisiko darstellt. IAMAccess Analyzer identifiziert Ressourcen, die mit externen Prinzipalen gemeinsam genutzt werden, indem es die ressourcenbasierten Richtlinien in Ihrem AWS Umgebung. IAMAccess Analyzer generiert für jede Instanz einer Ressource, die außerhalb Ihres Kontos gemeinsam genutzt wird, ein Ergebnis. Die Ergebnisse enthalten Informationen über den Zugang und den externen Prinzipal, dem dieser gewährt wurde. Sie können Ergebnisse überarbeiten, um festzustellen, ob der Zugriff beabsichtigt und sicher ist oder ob er unbeabsichtigt ist und ein Sicherheitsrisiko darstellt. Sie können nicht nur Ressourcen identifizieren, die mit einer externen Entität gemeinsam genutzt werden, sondern auch anhand der Ergebnisse von IAM Access Analyzer eine Vorschau der Auswirkungen Ihrer Richtlinie auf den öffentlichen und kontoübergreifenden Zugriff auf Ihre Ressource anzeigen, bevor Sie Ressourcenberechtigungen bereitstellen. Die Ergebnisse sind in einem visuellen Übersichts-Dashboard zusammengefasst. Das Dashboard verdeutlicht die Aufteilung zwischen Ergebnissen mit öffentlichem Zugriff und kontenübergreifendem Zugriff und bietet eine Aufschlüsselung der Ergebnisse nach Ressourcentyp. Weitere Informationen zum Dashboard finden Sie unter Sehen Sie sich das IAM Access Analyzer-Ergebnis-Dashboard an.
Anmerkung
Eine externe Entität kann eine andere sein AWS Konto, ein Root-Benutzer, ein IAM Benutzer oder eine Rolle, ein Verbundbenutzer, ein anonymer Benutzer oder eine andere Entität, mit der Sie einen Filter erstellen können. Weitere Informationen finden Sie unter AWS JSONPolitische Elemente: Prinzipal.
Wenn Sie IAM Access Analyzer aktivieren, erstellen Sie einen Analyzer für Ihre gesamte Organisation oder Ihr Konto. Die von Ihnen gewählte Organisation oder das von Ihnen ausgewählte Konto wird als Vertrauenszone für den Analysator bezeichnet. Der Analysator überwacht alle unterstützten Ressourcen in Ihrer Vertrauenszone. Jeder Ressourcenzugang von Auftraggeber innerhalb Ihrer Vertrauenszone gilt als vertrauenswürdig. Nach der Aktivierung analysiert IAM Access Analyzer die Richtlinien, die auf alle unterstützten Ressourcen in Ihrer Vertrauenszone angewendet werden. Nach der ersten Analyse analysiert IAM Access Analyzer diese Richtlinien regelmäßig. Wenn Sie eine neue Richtlinie hinzufügen oder eine bestehende Richtlinie ändern, analysiert IAM Access Analyzer die neue oder aktualisierte Richtlinie innerhalb von etwa 30 Minuten.
Wenn IAM Access Analyzer bei der Analyse der Richtlinien eine identifiziert, die Zugriff auf einen externen Prinzipal gewährt, der sich nicht in Ihrer Vertrauenszone befindet, wird ein Ergebnis generiert. Jedes Ergebnis enthält Details über die Ressource, die externe Entität, die Zugriff darauf hat, und die gewährten Berechtigungen, so dass Sie entsprechende Maßnahmen ergreifen können. Sie können die im Ergebnis enthaltenen Details anzeigen, um festzustellen, ob der Ressourcenzugriff beabsichtigt ist oder ein potenzielles Risiko darstellt, das Sie lösen sollten. Wenn Sie einer Ressource eine Richtlinie hinzufügen oder eine bestehende Richtlinie aktualisieren, analysiert IAM Access Analyzer die Richtlinie. IAMAccess Analyzer analysiert außerdem regelmäßig alle ressourcenbasierten Richtlinien.
In seltenen Fällen erhält IAM Access Analyzer unter bestimmten Bedingungen keine Benachrichtigung über eine hinzugefügte oder aktualisierte Richtlinie, was zu Verzögerungen bei den generierten Ergebnissen führen kann. IAMEs kann bis zu 6 Stunden dauern, bis Access Analyzer Ergebnisse generiert oder behoben hat, wenn Sie einen Access Point mit mehreren Regionen erstellen oder löschen, der einem Amazon S3 S3-Bucket zugeordnet ist, oder wenn Sie die Richtlinie für den Access Point mit mehreren Regionen aktualisieren. Auch wenn es ein Lieferproblem gibt mit AWS CloudTrail Bei der Protokollzustellung wird durch die Änderung der Richtlinie kein erneuter Scan der im Ergebnis gemeldeten Ressource ausgelöst. In diesem Fall analysiert IAM Access Analyzer die neue oder aktualisierte Richtlinie beim nächsten regelmäßigen Scan, der innerhalb von 24 Stunden erfolgt. Wenn Sie sicherstellen möchten, dass eine Änderung, die Sie an einer Richtlinie vornehmen, ein in einem Ergebnis gemeldetes Zugriffsproblem behebt, können Sie die in einem Ergebnis gemeldete Ressource erneut scannen, indem Sie auf der Seite mit den Ergebnisdetails auf den Link Erneut scannen klicken oder den StartResourceScanVorgang von Access Analyzer verwenden. IAM API Weitere Informationen hierzu finden Sie unter IAMAccess Analyzer-Ergebnisse lösen.
Wichtig
IAMAccess Analyzer analysiert nur Richtlinien, die auf dieselben Ressourcen angewendet wurden AWS Region, in der es aktiviert ist. Um alle Ressourcen in Ihrem zu überwachen AWS In jeder unterstützten Umgebung müssen Sie einen Analyzer erstellen, um IAM Access Analyzer in jeder Region zu aktivieren, die Sie verwenden AWS Ressourcen schätzen.
IAMAccess Analyzer analysiert die folgenden Ressourcentypen:
Identifizierung von ungenutztem Zugriff, der IAM Benutzern und Rollen gewährt wurde
IAMAccess Analyzer hilft Ihnen bei der Identifizierung und Überprüfung ungenutzter Zugriffe in Ihrem AWS Organisation und Konten. IAMAccess Analyzer überwacht kontinuierlich alle IAM Rollen und Benutzer in Ihrem AWS Organisation und Konten und generiert Ergebnisse für ungenutzten Zugriff. Die Ergebnisse heben ungenutzte Rollen, ungenutzte Zugriffsschlüssel für IAM Benutzer und unbenutzte Passwörter für IAM Benutzer hervor. Für aktive IAM Rollen und Benutzer bieten die Ergebnisse Aufschluss über ungenutzte Dienste und Aktionen.
Die Ergebnisse für externen und ungenutzten Zugriff werden in einem visuellen Übersichts-Dashboard dargestellt. Das Dashboard hebt Ihre hervor AWS-Konten mit den meisten Ergebnissen und einer Aufschlüsselung der Ergebnisse nach Typ. Weitere Informationen zu den Seiten im Dashboard finden Sie unter Sehen Sie sich das IAM Access Analyzer-Ergebnis-Dashboard an.
IAMAccess Analyzer überprüft die Informationen, auf die zuletzt zugegriffen wurde, für alle Rollen in Ihrem AWS Organisation und Konten, um Ihnen zu helfen, ungenutzten Zugriff zu identifizieren. IAMInformationen zur Aktion, auf die zuletzt zugegriffen wurde, helfen Ihnen dabei, ungenutzte Aktionen für Rollen in Ihrem AWS-Konten. Weitere Informationen finden Sie unterVerfeinern Sie die Berechtigungen in AWS unter Verwendung der zuletzt abgerufenen Informationen.
Richtlinien werden validiert gegen AWS Bewährte Methoden
Sie können Ihre Richtlinien anhand IAM der Grammatik der Richtlinien validieren und AWS bewährte Methoden unter Verwendung der grundlegenden Richtlinienprüfungen, die im Rahmen der IAM Access Analyzer-Richtlinienvalidierung bereitgestellt werden. Sie können eine Richtlinie erstellen oder bearbeiten, indem Sie AWS CLI, AWS API, oder den JSON Richtlinien-Editor in der IAM Konsole. Sie können die Ergebnisse der Richtlinienvalidierung anzeigen, die Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge für Ihre Richtlinie enthalten. Diese Ergebnisse bieten umsetzbare Empfehlungen, die Ihnen helfen, Richtlinien zu erstellen, die funktionsfähig sind und den folgenden Anforderungen entsprechen AWS bewährte Verfahren. Weitere Informationen zum Validieren von Richtlinien mit der Richtlinienvalidierung finden Sie unter Richtlinien mit IAM Access Analyzer validieren.
Überprüfen von Richtlinien anhand der von Ihnen angegebenen Sicherheitsstandards
Mithilfe der benutzerdefinierten Richtlinienprüfungen von IAM Access Analyzer können Sie Ihre Richtlinien anhand der angegebenen Sicherheitsstandards überprüfen. Sie können eine Richtlinie erstellen oder bearbeiten, indem Sie AWS CLI, AWS API, oder den JSON Richtlinien-Editor in der IAM Konsole. Sie können über die Konsole überprüfen, ob die aktualisierte Richtlinie im Gegensatz zur vorhandenen Version nun Zugriff gewährt. Durch AWS CLI and AWS API, können Sie auch überprüfen, ob bestimmte IAM Aktionen, die Sie für wichtig halten, in einer Richtlinie nicht zulässig sind. Diese Überprüfungen heben eine Richtlinienanweisung hervor, die neuen Zugriff gewährt. Sie können die Richtlinienanweisung aktualisieren und die Prüfungen erneut ausführen, bis die Richtlinie Ihrem Sicherheitsstandard entspricht. Weitere Informationen zum Validieren von Richtlinien mit benutzerdefinierter Richtlinienprüfungen finden Sie unter Überprüfen Sie Richtlinien mit benutzerdefinierten Richtlinienprüfungen von IAM Access Analyzer.
Generieren von Richtlinien
IAMAccess Analyzer analysiert Ihre AWS CloudTrail Protokolle zur Identifizierung von Aktionen und Diensten, die von einer IAM Entität (Benutzer oder Rolle) innerhalb des von Ihnen angegebenen Datumsbereichs genutzt wurden. Anschließend wird eine IAM Richtlinie generiert, die auf dieser Zugriffsaktivität basiert. Sie können die generierte Richtlinie verwenden, um die Berechtigungen einer Entität zu verfeinern, indem Sie sie einem IAM Benutzer oder einer Rolle zuordnen. Weitere Informationen zum Generieren von Richtlinien mit IAM Access Analyzer finden Sie unterIAMGenerierung von Access Analyzer-Richtlinien.
Preise für IAM Access Analyzer
IAMAccess Analyzer berechnet Gebühren für ungenutzte Zugriffsanalysen auf der Grundlage der Anzahl der pro Analyzer pro Monat analysierten IAM Rollen und Benutzer.
-
Jeder Analysator für ungenutzten Zugriff, den Sie erstellen, wird Ihnen in Rechnung gestellt.
-
Wenn Sie Analysatoren für ungenutzten Zugriff in mehreren Regionen einrichten, wird Ihnen jeder Analysator in Rechnung gestellt.
-
Mit Diensten verknüpfte Rollen werden nicht auf ungenutzte Zugriffsaktivitäten analysiert und sie sind auch nicht in der Gesamtzahl der analysierten IAM Rollen enthalten.
IAMAccess Analyzer berechnet Gebühren für benutzerdefinierte Richtlinienprüfungen auf der Grundlage der Anzahl der API Anfragen, die an IAM Access Analyzer gestellt wurden, um nach neuen Zugriffen zu suchen.
Eine vollständige Liste der Gebühren und Preise für IAM Access Analyzer finden Sie unter IAMAccess Analyzer-Preise
Um Ihre Rechnung zu sehen, gehen Sie zum Billing and Cost Management Kostenmanagement-Dashboard im AWS Billing and Cost Management Konsole
Wenn Sie Fragen haben zu AWS Abrechnung, Konten und Ereignisse, wenden Sie sich an AWS Support
