Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# IAM Access Analyzer-Beispiele mit AWS CLI
Die folgenden Codebeispiele zeigen Ihnen, wie Sie AWS Command Line Interface mit dem IAM Access Analyzer Aktionen ausführen und allgemeine Szenarien implementieren.
*Aktionen* sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Während Aktionen Ihnen zeigen, wie Sie einzelne Service-Funktionen aufrufen, können Sie Aktionen im Kontext der zugehörigen Szenarien anzeigen.
Jedes Beispiel enthält einen Link zum vollständigen Quellcode, wo Sie Anweisungen zum Einrichten und Ausführen des Codes im Kodex finden.
**Topics**
+ [Aktionen](#actions)
## Aktionen
### `apply-archive-rule`
Das folgende Codebeispiel zeigt, wie Sie`apply-archive-rule`.
**AWS CLI**
**So wenden Sie eine Archivierungsregel auf vorhandene Erkenntnisse an, die den Archivregelkriterien entsprechen**
Im folgenden Beispiel für `apply-archive-rule` wird eine Archivierungsregel auf vorhandene Erkenntnisse angewendet, die den Archivregelkriterien entsprechen.
```
aws accessanalyzer apply-archive-rule \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization \
--rule-name MyArchiveRule
```
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter [Archivierungsregeln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie [ApplyArchiveRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/apply-archive-rule.html)in der *AWS CLI Befehlsreferenz*.
### `cancel-policy-generation`
Das folgende Codebeispiel zeigt die Verwendung`cancel-policy-generation`.
**AWS CLI**
**So stornieren Sie die angeforderte Richtliniengenerierung**
Im folgenden Beispiel für `cancel-policy-generation` wird die Auftrags-ID für die angeforderte Richtliniengenerierung storniert.
```
aws accessanalyzer cancel-policy-generation \
--job-id 923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2
```
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter [Richtliniengenerierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie [CancelPolicyGeneration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/cancel-policy-generation.html)in der *AWS CLI Befehlsreferenz*.
### `check-access-not-granted`
Das folgende Codebeispiel zeigt die Verwendung`check-access-not-granted`.
**AWS CLI**
**So überprüfen Sie, ob der angegebene Zugriff durch eine Richtlinie nicht zulässig ist**
Im folgenden Beispiel für `check-access-not-granted` wird überprüft, ob der angegebene Zugriff durch eine Richtlinie nicht zulässig ist.
```
aws accessanalyzer check-access-not-granted \
--policy-document file://myfile.json \
--access actions="s3:DeleteBucket","s3:GetBucketLocation" \
--policy-type IDENTITY_POLICY
```
Inhalt von `myfile.json`:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
Ausgabe:
```
{
"result": "PASS",
"message": "The policy document does not grant access to perform one or more of the listed actions."
}
```
Weitere Informationen finden Sie unter [Vorschau des Zugriffs mit IAM Access Analyzer APIs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html) im *AWS IAM-Benutzerhandbuch*.
+ *Einzelheiten zur API finden Sie [CheckAccessNotGranted](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/check-access-not-granted.html)in AWS CLI der Befehlsreferenz.*
### `check-no-new-access`
Das folgende Codebeispiel zeigt die Verwendung`check-no-new-access`.
**AWS CLI**
**So überprüfen Sie, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff gewährt wird**
Im folgenden Beispiel für `check-no-new-access` wird überprüft, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff gewährt wird.
```
aws accessanalyzer check-no-new-access \
--existing-policy-document file://existing-policy.json \
--new-policy-document file://new-policy.json \
--policy-type IDENTITY_POLICY
```
Inhalt von `existing-policy.json`:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
Inhalt von `new-policy.json`:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectAcl",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::amzn-s3-demo-bucket",
"arn:aws:s3:::amzn-s3-demo-bucket/*"
]
}
]
}
```
Ausgabe:
```
{
"result": "FAIL",
"message": "The modified permissions grant new access compared to your existing policy.",
"reasons": [
{
"description": "New access in the statement with index: 0.",
"statementIndex": 0
}
]
}
```
Weitere Informationen finden Sie unter [Vorschau des Zugriffs mit IAM Access Analyzer APIs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html) im *AWS IAM-Benutzerhandbuch*.
+ *Einzelheiten zur API finden Sie [CheckNoNewAccess](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/check-no-new-access.html)in AWS CLI der Befehlsreferenz.*
### `check-no-public-access`
Das folgende Codebeispiel zeigt die Verwendung`check-no-public-access`.
**AWS CLI**
**So überprüfen Sie, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf den angegebenen Ressourcentyp gewähren kann**
Mit dem folgenden Beispiel für `check-no-public-access` wird überprüft, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf den angegebenen Ressourcentyp gewähren kann.
```
aws accessanalyzer check-no-public-access \
--policy-document file://check-no-public-access-myfile.json \
--resource-type AWS::S3::Bucket
```
Inhalt von `myfile.json`:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CheckNoPublicAccess",
"Effect": "Allow",
"Principal": { "AWS": "arn:aws:iam::111122223333:user/JohnDoe" },
"Action": [
"s3:GetObject"
]
}
]
}
```
Ausgabe:
```
{
"result": "PASS",
"message": "The resource policy does not grant public access for the given resource type."
}
```
Weitere Informationen finden Sie unter [Vorschau des Zugriffs mit IAM Access Analyzer APIs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html) im *AWS IAM-Benutzerhandbuch*.
+ *Einzelheiten zur API finden Sie [CheckNoPublicAccess](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/check-no-public-access.html)in AWS CLI der Befehlsreferenz.*
### `create-access-preview`
Das folgende Codebeispiel zeigt die Verwendung`create-access-preview`.
**AWS CLI**
**So erstellen Sie eine Zugriffsvorschau, mit der Sie eine Vorschau der Erkenntnisse von IAM Access Analyzer für Ihre Ressource anzeigen können, bevor Sie Ressourcenberechtigungen bereitstellen**
Im folgenden `create-access-preview` Beispiel wird eine Zugriffsvorschau erstellt, mit der Sie eine Vorschau der Ergebnisse von IAM Access Analyzer für Ihre Ressource anzeigen können, bevor Sie Ressourcenberechtigungen in Ihrem AWS Konto bereitstellen.
```
aws accessanalyzer create-access-preview \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--configurations file://myfile.json
```
Inhalt von `myfile.json`:
```
{
"arn:aws:s3:::amzn-s3-demo-bucket": {
"s3Bucket": {
"bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::amzn-s3-demo-bucket/*\"}]}",
"bucketPublicAccessBlock": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true
},
"bucketAclGrants": [
{
"grantee": {
"id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be"
},
"permission": "READ"
}
]
}
}
}
```
Ausgabe:
```
{
"id": "3c65eb13-6ef9-4629-8919-a32043619e6b"
}
```
Weitere Informationen finden Sie unter [Vorschau des Zugriffs mit IAM Access Analyzer APIs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html) im *AWS IAM-Benutzerhandbuch*.
+ *Einzelheiten zur API finden Sie [CreateAccessPreview](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/create-access-preview.html)in AWS CLI der Befehlsreferenz.*
### `create-analyzer`
Das folgende Codebeispiel zeigt die Verwendung`create-analyzer`.
**AWS CLI**
**Um einen Analyzer zu erstellen**
Im folgenden `create-analyzer` Beispiel wird ein Analyzer in Ihrem AWS Konto erstellt.
```
aws accessanalyzer create-analyzer \
--analyzer-name example \
--type ACCOUNT
```
Ausgabe:
```
{
"arn": "arn:aws:access-analyzer:us-east-2:111122223333:analyzer/example"
}
```
Weitere Informationen finden Sie unter [Erste Schritte mit AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-getting-started.html) im *AWS IAM-Benutzerhandbuch*.
+ Einzelheiten zur API finden Sie [CreateAnalyzer](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/create-analyzer.html)in der *AWS CLI Befehlsreferenz.*
### `create-archive-rule`
Das folgende Codebeispiel zeigt die Verwendung`create-archive-rule`.
**AWS CLI**
**So erstellen Sie eine Archivierungsregel für den angegebenen Analysator**
Im folgenden `create-archive-rule` Beispiel wird eine Archivierungsregel für den angegebenen Analyzer in Ihrem AWS Konto erstellt.
```
aws accessanalyzer create-archive-rule \
--analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
--rule-name MyRule \
--filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'
```
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter [Archivierungsregeln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie [CreateArchiveRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/create-archive-rule.html)in der *AWS CLI Befehlsreferenz*.
### `delete-analyzer`
Das folgende Codebeispiel zeigt die Verwendung`delete-analyzer`.
**AWS CLI**
**So löschen Sie den angegebenen Analysator**
Das folgende `delete-analyzer` Beispiel löscht den angegebenen Analyzer in Ihrem AWS Konto.
```
aws accessanalyzer delete-analyzer \
--analyzer-name example
```
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter [Archivierungsregeln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie [DeleteAnalyzer](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/delete-analyzer.html)in der *AWS CLI Befehlsreferenz.*
### `delete-archive-rule`
Das folgende Codebeispiel zeigt die Verwendung`delete-archive-rule`.
**AWS CLI**
**So löschen Sie die angegebene Archivierungsregel**
Im folgenden `delete-archive-rule` Beispiel wird die angegebene Archivierungsregel in Ihrem AWS Konto gelöscht.
```
aws accessanalyzer delete-archive-rule \
--analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
--rule-name MyRule
```
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter [Archivierungsregeln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie [DeleteArchiveRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/delete-archive-rule.html)in der *AWS CLI Befehlsreferenz.*
### `get-access-preview`
Das folgende Codebeispiel zeigt die Verwendung`get-access-preview`.
**AWS CLI**
**So rufen Sie Informationen über eine Zugriffsvorschau für den angegebenen Analysator ab**
Im folgenden `get-access-preview` Beispiel werden Informationen zu einer Zugriffsvorschau für den angegebenen Analyzer in Ihrem AWS Konto abgerufen.
```
aws accessanalyzer get-access-preview \
--access-preview-id 3c65eb13-6ef9-4629-8919-a32043619e6b \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
```
Ausgabe:
```
{
"accessPreview": {
"id": "3c65eb13-6ef9-4629-8919-a32043619e6b",
"analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
"configurations": {
"arn:aws:s3:::amzn-s3-demo-bucket": {
"s3Bucket": {
"bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::amzn-s3-demo-bucket/*\"}]}",
"bucketAclGrants": [
{
"permission": "READ",
"grantee": {
"id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be"
}
}
],
"bucketPublicAccessBlock": {
"ignorePublicAcls": true,
"restrictPublicBuckets": true
}
}
}
},
"createdAt": "2024-02-17T00:18:44+00:00",
"status": "COMPLETED"
}
}
```
Weitere Informationen finden Sie unter [Vorschau des Zugriffs mit IAM Access Analyzer APIs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html) im *AWS IAM-Benutzerhandbuch*.
+ *Einzelheiten zur API finden Sie [GetAccessPreview](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-access-preview.html)in AWS CLI der Befehlsreferenz.*
### `get-analyzed-resource`
Das folgende Codebeispiel zeigt die Verwendung`get-analyzed-resource`.
**AWS CLI**
**So rufen Sie Informationen über eine Ressource ab, die analysiert wurde**
Im folgenden `get-analyzed-resource` Beispiel werden Informationen zu einer Ressource abgerufen, die in Ihrem AWS Konto analysiert wurde.
```
aws accessanalyzer get-analyzed-resource \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--resource-arn arn:aws:s3:::amzn-s3-demo-bucket
```
Ausgabe:
```
{
"resource": {
"analyzedAt": "2024-02-15T18:01:53.002000+00:00",
"isPublic": false,
"resourceArn": "arn:aws:s3:::amzn-s3-demo-bucket",
"resourceOwnerAccount": "111122223333",
"resourceType": "AWS::S3::Bucket"
}
}
```
Weitere Informationen finden Sie unter [Using AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) im *AWS IAM-Benutzerhandbuch*.
+ Einzelheiten zur API finden Sie unter [GetAnalyzedResource AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-analyzed-resource.html)*Befehlsreferenz.*
### `get-analyzer`
Das folgende Codebeispiel zeigt die Verwendung`get-analyzer`.
**AWS CLI**
**So rufen Sie Informationen über den angegebenen Analysator ab**
Im folgenden `get-analyzer` Beispiel werden Informationen über den angegebenen Analyzer in Ihrem AWS Konto abgerufen.
```
aws accessanalyzer get-analyzer \
--analyzer-name ConsoleAnalyzer-account
```
Ausgabe:
```
{
"analyzer": {
"arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
"createdAt": "2019-12-03T07:28:17+00:00",
"lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic",
"lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00",
"name": "ConsoleAnalyzer-account",
"status": "ACTIVE",
"tags": {
"auto-delete": "no"
},
"type": "ACCOUNT"
}
}
```
Weitere Informationen finden Sie unter [Using AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) im *AWS IAM-Benutzerhandbuch*.
+ Einzelheiten zur API finden Sie unter [GetAnalyzer AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-analyzer.html)*Befehlsreferenz.*
### `get-archive-rule`
Das folgende Codebeispiel zeigt die Verwendung`get-archive-rule`.
**AWS CLI**
**So rufen Sie Informationen über eine Archivierungsregel ab**
Im folgenden `get-archive-rule` Beispiel werden Informationen zu einer Archivierungsregel in Ihrem AWS Konto abgerufen.
```
aws accessanalyzer get-archive-rule \
--analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
--rule-name MyArchiveRule
```
Ausgabe:
```
{
"archiveRule": {
"createdAt": "2024-02-15T00:49:27+00:00",
"filter": {
"resource": {
"contains": [
"Cognito"
]
},
"resourceType": {
"eq": [
"AWS::IAM::Role"
]
}
},
"ruleName": "MyArchiveRule",
"updatedAt": "2024-02-15T00:49:27+00:00"
}
}
```
Weitere Informationen finden Sie unter [Archivierungsregeln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie unter [GetArchiveRule AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-archive-rule.html)*Befehlsreferenz.*
### `get-finding-v2`
Das folgende Codebeispiel zeigt die Verwendung`get-finding-v2`.
**AWS CLI**
**So rufen Sie Informationen über die angegebene Erkenntnis ab**
Im folgenden `get-finding-v2` Beispiel werden Informationen über den angegebenen Befund in Ihrem AWS Konto abgerufen.
```
aws accessanalyzer get-finding-v2 \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization \
--id 0910eedb-381e-4e95-adda-0d25c19e6e90
```
Ausgabe:
```
{
"findingDetails": [
{
"externalAccessDetails": {
"action": [
"sts:AssumeRoleWithWebIdentity"
],
"condition": {
"cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
},
"isPublic": false,
"principal": {
"Federated": "cognito-identity.amazonaws.com"
}
}
}
],
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
"status": "ACTIVE",
"error": null,
"createdAt": "2021-02-26T21:17:50.905000+00:00",
"resourceType": "AWS::IAM::Role",
"findingType": "ExternalAccess",
"resourceOwnerAccount": "111122223333",
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"id": "0910eedb-381e-4e95-adda-0d25c19e6e90",
"updatedAt": "2021-02-26T21:17:50.905000+00:00"
}
```
Weitere Informationen finden Sie unter [Überprüfen von Erkenntnissen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie unter [GetFindingV2](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-finding-v2.html) in der *AWS CLI Befehlsreferenz.*
### `get-finding`
Das folgende Codebeispiel zeigt die Verwendung`get-finding`.
**AWS CLI**
**So rufen Sie Informationen über die angegebene Erkenntnis ab**
Im folgenden `get-finding` Beispiel werden Informationen über den angegebenen Befund in Ihrem AWS Konto abgerufen.
```
aws accessanalyzer get-finding \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization \
--id 0910eedb-381e-4e95-adda-0d25c19e6e90
```
Ausgabe:
```
{
"finding": {
"id": "0910eedb-381e-4e95-adda-0d25c19e6e90",
"principal": {
"Federated": "cognito-identity.amazonaws.com"
},
"action": [
"sts:AssumeRoleWithWebIdentity"
],
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
"isPublic": false,
"resourceType": "AWS::IAM::Role",
"condition": {
"cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
},
"createdAt": "2021-02-26T21:17:50.905000+00:00",
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"updatedAt": "2021-02-26T21:17:50.905000+00:00",
"status": "ACTIVE",
"resourceOwnerAccount": "111122223333"
}
}
```
Weitere Informationen finden Sie unter [Überprüfen von Erkenntnissen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie unter [GetFinding AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-finding.html)*Befehlsreferenz.*
### `get-generated-policy`
Das folgende Codebeispiel zeigt die Verwendung`get-generated-policy`.
**AWS CLI**
**Um die Richtlinie abzurufen, die mit der StartPolicyGeneration ``-API generiert wurde**
Im folgenden `get-generated-policy` Beispiel wird die Richtlinie abgerufen, die mithilfe der StartPolicyGeneration API in Ihrem AWS Konto generiert wurde.
```
aws accessanalyzer get-generated-policy \
--job-id c557dc4a-0338-4489-95dd-739014860ff9
```
Ausgabe:
```
{
"generatedPolicyResult": {
"generatedPolicies": [
{
"policy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"SupportedServiceSid0\",\"Effect\":\"Allow\",\"Action\":[\"access-analyzer:GetAnalyzer\",\"access-analyzer:ListAnalyzers\",\"access-analyzer:ListArchiveRules\",\"access-analyzer:ListFindings\",\"cloudtrail:DescribeTrails\",\"cloudtrail:GetEventDataStore\",\"cloudtrail:GetEventSelectors\",\"cloudtrail:GetInsightSelectors\",\"cloudtrail:GetTrailStatus\",\"cloudtrail:ListChannels\",\"cloudtrail:ListEventDataStores\",\"cloudtrail:ListQueries\",\"cloudtrail:ListTags\",\"cloudtrail:LookupEvents\",\"ec2:DescribeRegions\",\"iam:GetAccountSummary\",\"iam:GetOpenIDConnectProvider\",\"iam:GetRole\",\"iam:ListAccessKeys\",\"iam:ListAccountAliases\",\"iam:ListOpenIDConnectProviders\",\"iam:ListRoles\",\"iam:ListSAMLProviders\",\"kms:ListAliases\",\"s3:GetBucketLocation\",\"s3:ListAllMyBuckets\"],\"Resource\":\"*\"}]}"
}
],
"properties": {
"cloudTrailProperties": {
"endTime": "2024-02-14T22:44:40+00:00",
"startTime": "2024-02-13T00:30:00+00:00",
"trailProperties": [
{
"allRegions": true,
"cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail",
"regions": []
}
]
},
"isComplete": false,
"principalArn": "arn:aws:iam::111122223333:role/Admin"
}
},
"jobDetails": {
"completedOn": "2024-02-14T22:47:01+00:00",
"jobId": "c557dc4a-0338-4489-95dd-739014860ff9",
"startedOn": "2024-02-14T22:44:41+00:00",
"status": "SUCCEEDED"
}
}
```
Weitere Informationen finden Sie unter [Richtliniengenerierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie [GetGeneratedPolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/get-generated-policy.html)in der *AWS CLI Befehlsreferenz.*
### `list-access-preview-findings`
Das folgende Codebeispiel zeigt die Verwendung`list-access-preview-findings`.
**AWS CLI**
**So rufen Sie eine Liste mit Erkenntnissen der Zugriffsvorschau ab, die mit der angegebenen Zugriffsvorschau generiert wurden**
Im folgenden `list-access-preview-findings` Beispiel wird eine Liste mit Ergebnissen der Zugriffsvorschau abgerufen, die durch die angegebene Zugriffsvorschau in Ihrem AWS Konto generiert wurden.
```
aws accessanalyzer list-access-preview-findings \
--access-preview-id 3c65eb13-6ef9-4629-8919-a32043619e6b \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
```
Ausgabe:
```
{
"findings": [
{
"id": "e22fc158-1c87-4c32-9464-e7f405ce8d74",
"principal": {
"AWS": "111122223333"
},
"action": [
"s3:PutObject",
"s3:PutObjectAcl"
],
"condition": {},
"resource": "arn:aws:s3:::amzn-s3-demo-bucket",
"isPublic": false,
"resourceType": "AWS::S3::Bucket",
"createdAt": "2024-02-17T00:18:46+00:00",
"changeType": "NEW",
"status": "ACTIVE",
"resourceOwnerAccount": "111122223333",
"sources": [
{
"type": "POLICY"
}
]
}
]
}
```
Weitere Informationen finden Sie unter [Vorschau des Zugriffs mit IAM Access Analyzer APIs](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html) im *AWS IAM-Benutzerhandbuch*.
+ *Einzelheiten zur API finden Sie [ListAccessPreviewFindings](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-access-preview-findings.html)in AWS CLI der Befehlsreferenz.*
### `list-access-previews`
Das folgende Codebeispiel zeigt die Verwendung`list-access-previews`.
**AWS CLI**
**So rufen Sie eine Liste der Zugriffsvorschauen für den angegebenen Analysator ab**
Im folgenden `list-access-previews` Beispiel wird eine Liste der Zugriffsvorschauen für den angegebenen Analyzer in Ihrem AWS Konto abgerufen.
```
aws accessanalyzer list-access-previews \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
```
Ausgabe:
```
{
"accessPreviews": [
{
"id": "3c65eb13-6ef9-4629-8919-a32043619e6b",
"analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
"createdAt": "2024-02-17T00:18:44+00:00",
"status": "COMPLETED"
}
]
}
```
*Weitere Informationen finden Sie unter [Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-preview-access-apis.html).*
+ *Einzelheiten zur API finden Sie [ListAccessPreviews](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-access-previews.html)in AWS CLI der Befehlsreferenz.*
### `list-analyzed-resources`
Das folgende Codebeispiel zeigt die Verwendung`list-analyzed-resources`.
**AWS CLI**
**So listen Sie die verfügbaren Widgets auf**
Das folgende `list-analyzed-resources` Beispiel listet die verfügbaren Widgets in Ihrem AWS Konto auf.
```
aws accessanalyzer list-analyzed-resources \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--resource-type AWS::IAM::Role
```
Ausgabe:
```
{
"analyzedResources": [
{
"resourceArn": "arn:aws:sns:us-west-2:111122223333:Validation-Email",
"resourceOwnerAccount": "111122223333",
"resourceType": "AWS::SNS::Topic"
},
{
"resourceArn": "arn:aws:sns:us-west-2:111122223333:admin-alerts",
"resourceOwnerAccount": "111122223333",
"resourceType": "AWS::SNS::Topic"
},
{
"resourceArn": "arn:aws:sns:us-west-2:111122223333:config-topic",
"resourceOwnerAccount": "111122223333",
"resourceType": "AWS::SNS::Topic"
},
{
"resourceArn": "arn:aws:sns:us-west-2:111122223333:inspector-topic",
"resourceOwnerAccount": "111122223333",
"resourceType": "AWS::SNS::Topic"
}
]
}
```
Weitere Informationen finden Sie unter [Using AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) im *AWS IAM-Benutzerhandbuch*.
+ Einzelheiten zur API finden Sie unter [ListAnalyzedResources AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-analyzed-resources.html)*Befehlsreferenz.*
### `list-analyzers`
Das folgende Codebeispiel zeigt die Verwendung`list-analyzers`.
**AWS CLI**
**So rufen Sie eine Liste von Analysatoren ab**
Im folgenden `list-analyzers` Beispiel wird eine Liste der Analysatoren in Ihrem AWS Konto abgerufen.
```
aws accessanalyzer list-analyzers
```
Ausgabe:
```
{
"analyzers": [
{
"arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization",
"createdAt": "2024-02-15T00:46:40+00:00",
"name": "UnusedAccess-ConsoleAnalyzer-organization",
"status": "ACTIVE",
"tags": {
"auto-delete": "no"
},
"type": "ORGANIZATION_UNUSED_ACCESS"
},
{
"arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization",
"createdAt": "2020-04-25T07:43:28+00:00",
"lastResourceAnalyzed": "arn:aws:s3:::amzn-s3-demo-bucket",
"lastResourceAnalyzedAt": "2024-02-15T21:51:56.517000+00:00",
"name": "ConsoleAnalyzer-organization",
"status": "ACTIVE",
"tags": {
"auto-delete": "no"
},
"type": "ORGANIZATION"
},
{
"arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
"createdAt": "2019-12-03T07:28:17+00:00",
"lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic",
"lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00",
"name": "ConsoleAnalyzer-account",
"status": "ACTIVE",
"tags": {
"auto-delete": "no"
},
"type": "ACCOUNT"
}
]
}
```
Weitere Informationen finden Sie unter [Using AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) im *AWS IAM-Benutzerhandbuch*.
+ Einzelheiten zur API finden Sie unter [ListAnalyzers AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-analyzers.html)*Befehlsreferenz.*
### `list-archive-rules`
Das folgende Codebeispiel zeigt die Verwendung`list-archive-rules`.
**AWS CLI**
**So rufen Sie eine Liste von Archivierungsregeln ab, die für den angegebenen Analysator erstellt wurden**
Im folgenden `list-archive-rules` Beispiel wird eine Liste von Archivierungsregeln abgerufen, die für den angegebenen Analyzer in Ihrem AWS Konto erstellt wurden.
```
aws accessanalyzer list-archive-rules \
--analyzer-name UnusedAccess-ConsoleAnalyzer-organization
```
Ausgabe:
```
{
"archiveRules": [
{
"createdAt": "2024-02-15T00:49:27+00:00",
"filter": {
"resource": {
"contains": [
"Cognito"
]
},
"resourceType": {
"eq": [
"AWS::IAM::Role"
]
}
},
"ruleName": "MyArchiveRule",
"updatedAt": "2024-02-15T00:49:27+00:00"
},
{
"createdAt": "2024-02-15T23:27:45+00:00",
"filter": {
"findingType": {
"eq": [
"UnusedIAMUserAccessKey"
]
}
},
"ruleName": "ArchiveRule-56125a39-e517-4ff8-afb1-ef06f58db612",
"updatedAt": "2024-02-15T23:27:45+00:00"
}
]
}
```
Weitere Informationen finden Sie unter [Using AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) im *AWS IAM-Benutzerhandbuch*.
+ Einzelheiten zur API finden Sie unter [ListArchiveRules AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-archive-rules.html)*Befehlsreferenz.*
### `list-findings-v2`
Das folgende Codebeispiel zeigt die Verwendung`list-findings-v2`.
**AWS CLI**
**So rufen Sie eine Liste von Erkenntnissen auf, die vom angegebenen Analysator generiert wurden**
Im folgenden `list-findings-v2` Beispiel wird eine Liste mit Ergebnissen abgerufen, die vom angegebenen Analysator in Ihrem AWS Konto generiert wurden. In diesem Beispiel werden die Ergebnisse so gefiltert, dass sie nur IAM-Rollen enthalten, deren Name `Cognito` enthält.
```
aws accessanalyzer list-findings-v2 \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'
```
Ausgabe:
```
{
"findings": [
{
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"createdAt": "2021-02-26T21:17:24.710000+00:00",
"id": "597f3bc2-3adc-4c18-9879-5c4b23485e46",
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role",
"resourceType": "AWS::IAM::Role",
"resourceOwnerAccount": "111122223333",
"status": "ACTIVE",
"updatedAt": "2021-02-26T21:17:24.710000+00:00",
"findingType": "ExternalAccess"
},
{
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"createdAt": "2021-02-26T21:17:50.905000+00:00",
"id": "ce0e221a-85b9-4d52-91ff-d7678075442f",
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
"resourceType": "AWS::IAM::Role",
"resourceOwnerAccount": "111122223333",
"status": "ACTIVE",
"updatedAt": "2021-02-26T21:17:50.905000+00:00",
"findingType": "ExternalAccess"
}
]
}
```
Weitere Informationen finden Sie unter [Using AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) im *AWS IAM-Benutzerhandbuch*.
+ Einzelheiten zur API finden Sie unter [ListFindingsV2](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-findings-v2.html) in der *AWS CLI Befehlsreferenz.*
### `list-findings`
Das folgende Codebeispiel zeigt die Verwendung`list-findings`.
**AWS CLI**
**So rufen Sie eine Liste von Erkenntnissen auf, die vom angegebenen Analysator generiert wurden**
Im folgenden `list-findings` Beispiel wird eine Liste mit Ergebnissen abgerufen, die vom angegebenen Analysator in Ihrem AWS Konto generiert wurden. In diesem Beispiel werden die Ergebnisse so gefiltert, dass sie nur IAM-Rollen enthalten, deren Name `Cognito` enthält.
```
aws accessanalyzer list-findings \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'
```
Ausgabe:
```
{
"findings": [
{
"id": "597f3bc2-3adc-4c18-9879-5c4b23485e46",
"principal": {
"Federated": "cognito-identity.amazonaws.com"
},
"action": [
"sts:AssumeRoleWithWebIdentity"
],
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role",
"isPublic": false,
"resourceType": "AWS::IAM::Role",
"condition": {
"cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
},
"createdAt": "2021-02-26T21:17:24.710000+00:00",
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"updatedAt": "2021-02-26T21:17:24.710000+00:00",
"status": "ACTIVE",
"resourceOwnerAccount": "111122223333"
},
{
"id": "ce0e221a-85b9-4d52-91ff-d7678075442f",
"principal": {
"Federated": "cognito-identity.amazonaws.com"
},
"action": [
"sts:AssumeRoleWithWebIdentity"
],
"resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
"isPublic": false,
"resourceType": "AWS::IAM::Role",
"condition": {
"cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
},
"createdAt": "2021-02-26T21:17:50.905000+00:00",
"analyzedAt": "2024-02-16T18:17:47.888000+00:00",
"updatedAt": "2021-02-26T21:17:50.905000+00:00",
"status": "ACTIVE",
"resourceOwnerAccount": "111122223333"
}
]
}
```
Weitere Informationen finden Sie unter [Using AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) im *AWS IAM-Benutzerhandbuch*.
+ Einzelheiten zur API finden Sie unter [ListFindings AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-findings.html)*Befehlsreferenz.*
### `list-policy-generations`
Das folgende Codebeispiel zeigt die Verwendung`list-policy-generations`.
**AWS CLI**
**So listen Sie alle in den letzten sieben Tagen angeforderten Richtliniengenerierungen auf**
Im folgenden `list-policy-generations` Beispiel werden alle Richtliniengenerationen aufgeführt, die in den letzten sieben Tagen in Ihrem AWS Konto angefordert wurden.
```
aws accessanalyzer list-policy-generations
```
Ausgabe:
```
{
"policyGenerations": [
{
"completedOn": "2024-02-14T23:43:38+00:00",
"jobId": "923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2",
"principalArn": "arn:aws:iam::111122223333:role/Admin",
"startedOn": "2024-02-14T23:43:02+00:00",
"status": "CANCELED"
},
{
"completedOn": "2024-02-14T22:47:01+00:00",
"jobId": "c557dc4a-0338-4489-95dd-739014860ff9",
"principalArn": "arn:aws:iam::111122223333:role/Admin",
"startedOn": "2024-02-14T22:44:41+00:00",
"status": "SUCCEEDED"
}
]
}
```
Weitere Informationen finden Sie unter [Richtliniengenerierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie [ListPolicyGenerations](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-policy-generations.html)in der *AWS CLI Befehlsreferenz*.
### `list-tags-for-resource`
Das folgende Codebeispiel zeigt die Verwendung`list-tags-for-resource`.
**AWS CLI**
**So rufen Sie eine Liste von Tags ab, die auf die angegebene Ressource angewendet wurden**
Im folgenden `list-tags-for-resource` Beispiel wird eine Liste von Tags abgerufen, die auf die angegebene Ressource in Ihrem AWS Konto angewendet wurden.
```
aws accessanalyzer list-tags-for-resource \
--resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
```
Ausgabe:
```
{
"tags": {
"Zone-of-trust": "Account",
"Name": "ConsoleAnalyzer"
}
}
```
Weitere Informationen finden Sie unter [Richtliniengenerierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie unter [ListTagsForResource AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/list-tags-for-resource.html)*Befehlsreferenz.*
### `start-policy-generation`
Das folgende Codebeispiel zeigt die Verwendung`start-policy-generation`.
**AWS CLI**
**So starten Sie eine Anforderung zur Richtliniengenerierung**
Im folgenden `start-policy-generation` Beispiel wird eine Anfrage zur Richtliniengenerierung in Ihrem AWS Konto gestartet.
```
aws accessanalyzer start-policy-generation \
--policy-generation-details '{"principalArn":"arn:aws:iam::111122223333:role/Admin"}' \
--cloud-trail-details file://myfile.json
```
Inhalt von `myfile.json`:
```
{
"accessRole": "arn:aws:iam::111122223333:role/service-role/AccessAnalyzerMonitorServiceRole",
"startTime": "2024-02-13T00:30:00Z",
"trails": [
{
"allRegions": true,
"cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail"
}
]
}
```
Ausgabe:
```
{
"jobId": "c557dc4a-0338-4489-95dd-739014860ff9"
}
```
Weitere Informationen finden Sie unter [Richtliniengenerierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie [StartPolicyGeneration](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/start-policy-generation.html)in der *AWS CLI Befehlsreferenz*.
### `start-resource-scan`
Das folgende Codebeispiel zeigt die Verwendung`start-resource-scan`.
**AWS CLI**
**So starten Sie sofort einen Scan der Richtlinien, die auf angegebene Ressource angewendet wurden**
Im folgenden `start-resource-scan` Beispiel wird sofort ein Scan der Richtlinien gestartet, die auf die angegebene Ressource in Ihrem AWS Konto angewendet wurden.
```
aws accessanalyzer start-resource-scan \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--resource-arn arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role
```
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter [Richtliniengenerierung von IAM Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-generation.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie unter [StartResourceScan AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/start-resource-scan.html)*Befehlsreferenz*.
### `tag-resource`
Das folgende Codebeispiel zeigt die Verwendung`tag-resource`.
**AWS CLI**
**So fügen Sie der angegebenen Ressource ein Tag hinzu**
Das folgende `tag-resource` Beispiel fügt der angegebenen Ressource in Ihrem AWS Konto ein Tag hinzu.
```
aws accessanalyzer tag-resource \
--resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--tags Environment=dev,Purpose=testing
```
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter [Using AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) im *AWS IAM-Benutzerhandbuch*.
+ Einzelheiten zur API finden Sie unter [TagResource AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/tag-resource.html)*Befehlsreferenz.*
### `untag-resource`
Das folgende Codebeispiel zeigt die Verwendung`untag-resource`.
**AWS CLI**
**So entfernen Sie Tags aus den angegebenen Ressourcen**
Im folgenden `untag-resource` Beispiel werden Tags aus der angegebenen Ressource in Ihrem AWS Konto entfernt.
```
aws accessanalyzer untag-resource \
--resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
--tag-keys Environment Purpose
```
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter [Using AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) im *AWS IAM-Benutzerhandbuch*.
+ Einzelheiten zur API finden Sie unter [UntagResource AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/untag-resource.html)*Befehlsreferenz.*
### `update-archive-rule`
Das folgende Codebeispiel zeigt die Verwendung`update-archive-rule`.
**AWS CLI**
**So aktualisieren Sie die Kriterien und Werte für die angegebene Archivierungsregel**
Im folgenden `update-archive-rule` Beispiel werden die Kriterien und Werte für die angegebene Archivierungsregel in Ihrem AWS Konto aktualisiert.
```
aws accessanalyzer update-archive-rule \
--analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
--rule-name MyArchiveRule \
--filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'
```
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter [Archivierungsregeln](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-archive-rules.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie [UpdateArchiveRule](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/update-archive-rule.html)unter *AWS CLI Befehlsreferenz*.
### `update-findings`
Das folgende Codebeispiel zeigt die Verwendung`update-findings`.
**AWS CLI**
**So aktualisieren Sie den Status für die angegebenen Erkenntnisse**
Im folgenden `update-findings` Beispiel wird der Status der angegebenen Ergebnisse in Ihrem AWS Konto aktualisiert.
```
aws accessanalyzer update-findings \
--analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization \
--ids 4f319ac3-2e0c-4dc4-bf51-7013a086b6ae 780d586a-2cce-4f72-aff6-359d450e7500 \
--status ARCHIVED
```
Mit diesem Befehl wird keine Ausgabe zurückgegeben.
Weitere Informationen finden Sie unter [Using AWS Identity and Access Management Access Analyzer](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) im *AWS IAM-Benutzerhandbuch*.
+ Einzelheiten zur API finden Sie unter [UpdateFindings AWS CLI](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/update-findings.html)*Befehlsreferenz.*
### `validate-policy`
Das folgende Codebeispiel zeigt die Verwendung`validate-policy`.
**AWS CLI**
**So fordern Sie die Validierung einer Richtlinie an und geben eine Liste von Erkenntnissen zurück**
Im folgenden Beispiel für `validate-policy` werden die Validierung einer Richtlinie angefordert und eine Liste von Erkenntnissen zurückgegeben. Die Richtlinie im Beispiel ist eine Rollenvertrauensrichtlinie für eine Rolle in Amazon Cognito, die für den Web-Identitätsverbund verwendet wird. Die Erkenntnisse der Vertrauensrichtlinie beziehen sich auf einen leeren `Sid`-Elementwert und einen nicht übereinstimmenden Richtlinienprinzipal, da die falsche Aktion für „Rolle übernehmen“, `sts:AssumeRole`, verwendet wurde. Die richtige Aktion für „Rolle annehmen“ für die Verwendung mit Cognito ist `sts:AssumeRoleWithWebIdentity`.
```
aws accessanalyzer validate-policy \
--policy-document file://myfile.json \
--policy-type RESOURCE_POLICY
```
Inhalt von `myfile.json`:
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "",
"Effect": "Allow",
"Principal": {
"Federated": "cognito-identity.amazonaws.com"
},
"Action": [
"sts:AssumeRole",
"sts:TagSession"
],
"Condition": {
"StringEquals": {
"cognito-identity.amazonaws.com:aud": "us-west-2_EXAMPLE"
}
}
}
]
}
```
Ausgabe:
```
{
"findings": [
{
"findingDetails": "Add a value to the empty string in the Sid element.",
"findingType": "SUGGESTION",
"issueCode": "EMPTY_SID_VALUE",
"learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-suggestion-empty-sid-value",
"locations": [
{
"path": [
{
"value": "Statement"
},
{
"index": 0
},
{
"value": "Sid"
}
],
"span": {
"end": {
"column": 21,
"line": 5,
"offset": 81
},
"start": {
"column": 19,
"line": 5,
"offset": 79
}
}
}
]
},
{
"findingDetails": "The sts:AssumeRole action is invalid with the following principal(s): cognito-identity.amazonaws.com. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.",
"findingType": "ERROR",
"issueCode": "MISMATCHED_ACTION_FOR_PRINCIPAL",
"learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-mismatched-action-for-principal",
"locations": [
{
"path": [
{
"value": "Statement"
},
{
"index": 0
},
{
"value": "Action"
},
{
"index": 0
}
],
"span": {
"end": {
"column": 32,
"line": 11,
"offset": 274
},
"start": {
"column": 16,
"line": 11,
"offset": 258
}
}
},
{
"path": [
{
"value": "Statement"
},
{
"index": 0
},
{
"value": "Principal"
},
{
"value": "Federated"
}
],
"span": {
"end": {
"column": 61,
"line": 8,
"offset": 202
},
"start": {
"column": 29,
"line": 8,
"offset": 170
}
}
}
]
},
{
"findingDetails": "The following actions: sts:TagSession are not supported by the condition key cognito-identity.amazonaws.com:aud. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.",
"findingType": "ERROR",
"issueCode": "UNSUPPORTED_ACTION_FOR_CONDITION_KEY",
"learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-unsupported-action-for-condition-key",
"locations": [
{
"path": [
{
"value": "Statement"
},
{
"index": 0
},
{
"value": "Action"
},
{
"index": 1
}
],
"span": {
"end": {
"column": 32,
"line": 12,
"offset": 308
},
"start": {
"column": 16,
"line": 12,
"offset": 292
}
}
},
{
"path": [
{
"value": "Statement"
},
{
"index": 0
},
{
"value": "Condition"
},
{
"value": "StringEquals"
},
{
"value": "cognito-identity.amazonaws.com:aud"
}
],
"span": {
"end": {
"column": 79,
"line": 16,
"offset": 464
},
"start": {
"column": 58,
"line": 16,
"offset": 443
}
}
}
]
}
]
}
```
Weitere Informationen finden Sie unter [Überprüfungen für die Validierung von Richtlinien](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-checks-validating-policies.html) im *Benutzerhandbuch für AWS IAM*.
+ Einzelheiten zur API finden Sie [ValidatePolicy](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/accessanalyzer/validate-policy.html)in der *AWS CLI Befehlsreferenz*.