IAMAccess Analyzer-Beispiele mit AWS CLI - AWS SDKCode-Beispiele
Aktionen

Weitere AWS SDK Beispiele sind im Repo AWS Doc SDK Examples GitHub verfügbar.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAMAccess Analyzer-Beispiele mit AWS CLI

Die folgenden Codebeispiele zeigen Ihnen, wie Sie AWS Command Line Interface mit IAM Access Analyzer Aktionen ausführen und allgemeine Szenarien implementieren.

Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Aktionen zeigen Ihnen zwar, wie Sie einzelne Servicefunktionen aufrufen, aber Sie können Aktionen im Kontext der zugehörigen Szenarien sehen.

Jedes Beispiel enthält einen Link zum vollständigen Quellcode, in dem Sie Anweisungen zum Einrichten und Ausführen des Codes im Kontext finden.

Themen

Aktionen

Das folgende Codebeispiel zeigt die Verwendungapply-archive-rule.

AWS CLI

Um eine Archivierungsregel auf vorhandene Ergebnisse anzuwenden, die die Kriterien der Archivierungsregel erfüllen

Im folgenden apply-archive-rule Beispiel wird eine Archivierungsregel auf vorhandene Ergebnisse angewendet, die die Archivregelkriterien erfüllen.

aws accessanalyzer apply-archive-rule \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyArchiveRule

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Archivierungsregeln.

Das folgende Codebeispiel zeigt, wie man es benutztcancel-policy-generation.

AWS CLI

Um die angeforderte Richtliniengenerierung abzubrechen

Im folgenden cancel-policy-generation Beispiel wird die angeforderte Job-ID für die Richtliniengenerierung storniert.

aws accessanalyzer cancel-policy-generation \
    --job-id 923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Generierung von IAM Access Analyzer-Richtlinien.

Das folgende Codebeispiel zeigt, wie man es benutztcheck-access-not-granted.

AWS CLI

Um zu überprüfen, ob der angegebene Zugriff durch eine Richtlinie nicht zulässig ist

Im folgenden check-access-not-granted Beispiel wird geprüft, ob der angegebene Zugriff durch eine Richtlinie nicht zulässig ist.

aws accessanalyzer check-access-not-granted \
    --policy-document file://myfile.json \
    --access actions="s3:DeleteBucket","s3:GetBucketLocation" \
    --policy-type IDENTITY_POLICY

Inhalt von myfile.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        }
    ]
}

Ausgabe:

{
    "result": "PASS",
    "message": "The policy document does not grant access to perform one or more of the listed actions."
}

Weitere Informationen finden Sie APIs im AWS IAMBenutzerhandbuch unter Vorschau des IAM Zugriffs mit Access Analyzer.

Das folgende Codebeispiel zeigt, wie man es benutztcheck-no-new-access.

AWS CLI

Um zu überprüfen, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff zulässig ist

Im folgenden check-no-new-access Beispiel wird geprüft, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff zulässig ist.

aws accessanalyzer check-no-new-access \
    --existing-policy-document file://existing-policy.json \
    --new-policy-document file://new-policy.json \
    --policy-type IDENTITY_POLICY

Inhalt von existing-policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        }
    ]
}

Inhalt von new-policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
                "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*"
            ]
        }
    ]
}

Ausgabe:

{
    "result": "FAIL",
    "message": "The modified permissions grant new access compared to your existing policy.",
    "reasons": [
        {
            "description": "New access in the statement with index: 0.",
            "statementIndex": 0
        }
    ]
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAMBenutzerhandbuch.

Das folgende Codebeispiel zeigt, wie man es benutztcheck-no-public-access.

AWS CLI

Um zu überprüfen, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf den angegebenen Ressourcentyp gewähren kann

Im folgenden check-no-public-access Beispiel wird geprüft, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf den angegebenen Ressourcentyp gewähren kann.

aws accessanalyzer check-no-public-access \
    --policy-document file://check-no-public-access-myfile.json \
    --resource-type AWS::S3::Bucket

Inhalt von myfile.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CheckNoPublicAccess",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:user/JohnDoe" },
            "Action": [
                "s3:GetObject"
            ]
        }
    ]
}

Ausgabe:

{
    "result": "PASS",
    "message": "The resource policy does not grant public access for the given resource type."
}

Weitere Informationen finden Sie APIs im AWS IAMBenutzerhandbuch unter Vorschau des IAM Zugriffs mit Access Analyzer.

Das folgende Codebeispiel zeigt, wie man es benutztcreate-access-preview.

AWS CLI

Um eine Zugriffsvorschau zu erstellen, mit der Sie eine Vorschau der IAM Access Analyzer-Ergebnisse für Ihre Ressource anzeigen können, bevor Sie Ressourcenberechtigungen bereitstellen

Im folgenden create-access-preview Beispiel wird eine Zugriffsvorschau erstellt, mit der Sie eine Vorschau der IAM Access Analyzer-Ergebnisse für Ihre Ressource anzeigen können, bevor Sie Ressourcenberechtigungen für Ihr AWS Konto bereitstellen.

aws accessanalyzer create-access-preview \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --configurations file://myfile.json

Inhalt von myfile.json:

{
    "arn:aws:s3:::DOC-EXAMPLE-BUCKET": {
        "s3Bucket": {
            "bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*\"}]}",
            "bucketPublicAccessBlock": {
                "ignorePublicAcls": true,
                "restrictPublicBuckets": true
            },
            "bucketAclGrants": [
                {
                    "grantee": {
                        "id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be"
                    },
                    "permission": "READ"
                }
            ]
        }
    }
}

Ausgabe:

{
    "id": "3c65eb13-6ef9-4629-8919-a32043619e6b"
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAMBenutzerhandbuch.

Das folgende Codebeispiel zeigt, wie man es benutztcreate-analyzer.

AWS CLI

Um einen Analyzer zu erstellen

Im folgenden create-analyzer Beispiel wird ein Analyzer in Ihrem AWS Konto erstellt.

aws accessanalyzer create-analyzer \
    --analyzer-name example \
    --type ACCOUNT

Ausgabe:

{
    "arn": "arn:aws:access-analyzer:us-east-2:111122223333:analyzer/example"
}

Weitere Informationen finden Sie unter Erste Schritte mit AWS Identity and Access Management Access Analyzer im AWS IAMBenutzerhandbuch.

  • APIEinzelheiten finden Sie CreateAnalyzerunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie man es benutztcreate-archive-rule.

AWS CLI

Um eine Archivierungsregel für den angegebenen Analyzer zu erstellen

Im folgenden create-archive-rule Beispiel wird eine Archivierungsregel für den angegebenen Analyzer in Ihrem AWS Konto erstellt.

aws accessanalyzer create-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyRule \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Archivierungsregeln.

Das folgende Codebeispiel zeigt, wie man es benutztdelete-analyzer.

AWS CLI

Um den angegebenen Analysator zu löschen

Im folgenden delete-analyzer Beispiel wird der angegebene Analysator in Ihrem AWS Konto gelöscht.

aws accessanalyzer delete-analyzer \
    --analyzer-name example

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Archivierungsregeln.

  • APIEinzelheiten finden Sie DeleteAnalyzerin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie man es benutztdelete-archive-rule.

AWS CLI

Um die angegebene Archivierungsregel zu löschen

Im folgenden delete-archive-rule Beispiel wird die angegebene Archivierungsregel in Ihrem AWS Konto gelöscht.

aws accessanalyzer delete-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyRule

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Archivierungsregeln.

Das folgende Codebeispiel zeigt, wie man es benutztget-access-preview.

AWS CLI

Ruft Informationen über eine Zugriffsvorschau für den angegebenen Analysator ab

Im folgenden get-access-preview Beispiel werden Informationen über eine Zugriffsvorschau für den angegebenen Analyzer in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-access-preview \
    --access-preview-id 3c65eb13-6ef9-4629-8919-a32043619e6b \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "accessPreview": {
        "id": "3c65eb13-6ef9-4629-8919-a32043619e6b",
        "analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
        "configurations": {
            "arn:aws:s3:::DOC-EXAMPLE-BUCKET": {
                "s3Bucket": {
                    "bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*\"}]}",
                    "bucketAclGrants": [
                        {
                            "permission": "READ",
                            "grantee": {
                                "id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be"
                            }
                        }
                    ],
                    "bucketPublicAccessBlock": {
                        "ignorePublicAcls": true,
                        "restrictPublicBuckets": true
                    }
                }
            }
        },
        "createdAt": "2024-02-17T00:18:44+00:00",
        "status": "COMPLETED"
    }
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAMBenutzerhandbuch.

Das folgende Codebeispiel zeigt, wie man es benutztget-analyzed-resource.

AWS CLI

Um Informationen über eine Ressource abzurufen, die analysiert wurde

Im folgenden get-analyzed-resource Beispiel werden Informationen über eine Ressource abgerufen, die in Ihrem AWS Konto analysiert wurde.

aws accessanalyzer get-analyzed-resource \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --resource-arn arn:aws:s3:::DOC-EXAMPLE-BUCKET

Ausgabe:

{
    "resource": {
        "analyzedAt": "2024-02-15T18:01:53.002000+00:00",
        "isPublic": false,
        "resourceArn": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
        "resourceOwnerAccount": "111122223333",
        "resourceType": "AWS::S3::Bucket"
    }
}

Weitere Informationen finden Sie unter Verwenden von AWS Identity and Access Management Access Analyzer im AWS IAMBenutzerhandbuch.

Das folgende Codebeispiel zeigt, wie man es benutztget-analyzer.

AWS CLI

Um Informationen über den angegebenen Analysator abzurufen

Im folgenden get-analyzer Beispiel werden Informationen über den angegebenen Analysator in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-analyzer \
    --analyzer-name ConsoleAnalyzer-account

Ausgabe:

{
    "analyzer": {
        "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
        "createdAt": "2019-12-03T07:28:17+00:00",
        "lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic",
        "lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00",
        "name": "ConsoleAnalyzer-account",
        "status": "ACTIVE",
        "tags": {
            "auto-delete": "no"
        },
        "type": "ACCOUNT"
    }
}

Weitere Informationen finden Sie unter Verwenden von AWS Identity and Access Management Access Analyzer im AWS IAMBenutzerhandbuch.

  • APIEinzelheiten finden Sie GetAnalyzerunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie man es benutztget-archive-rule.

AWS CLI

Um Informationen über eine Archivierungsregel abzurufen

Im folgenden get-archive-rule Beispiel werden Informationen zu einer Archivierungsregel in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyArchiveRule

Ausgabe:

{
    "archiveRule": {
        "createdAt": "2024-02-15T00:49:27+00:00",
        "filter": {
            "resource": {
                "contains": [
                    "Cognito"
                ]
            },
            "resourceType": {
                "eq": [
                    "AWS::IAM::Role"
                ]
            }
        },
        "ruleName": "MyArchiveRule",
        "updatedAt": "2024-02-15T00:49:27+00:00"
    }
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Archivierungsregeln.

  • APIEinzelheiten finden Sie GetArchiveRulein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie man es benutztget-finding-v2.

AWS CLI

Um Informationen über den angegebenen Befund abzurufen

Im folgenden get-finding-v2 Beispiel werden Informationen zum angegebenen Ergebnis in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-finding-v2 \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization \
    --id 0910eedb-381e-4e95-adda-0d25c19e6e90

Ausgabe:

{
    "findingDetails": [
        {
            "externalAccessDetails": {
                "action": [
                    "sts:AssumeRoleWithWebIdentity"
                ],
                "condition": {
                    "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
                },
                "isPublic": false,
                "principal": {
                    "Federated": "cognito-identity.amazonaws.com"
                }
            }
        }
    ],
    "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
    "status": "ACTIVE",
    "error": null,
    "createdAt": "2021-02-26T21:17:50.905000+00:00",
    "resourceType": "AWS::IAM::Role",
    "findingType": "ExternalAccess",
    "resourceOwnerAccount": "111122223333",
    "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
    "id": "0910eedb-381e-4e95-adda-0d25c19e6e90",
    "updatedAt": "2021-02-26T21:17:50.905000+00:00"
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ergebnisse überprüfen.

  • APIEinzelheiten finden Sie unter GetFindingV2 in der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-finding.

AWS CLI

Um Informationen über den angegebenen Befund abzurufen

Im folgenden get-finding Beispiel werden Informationen zum angegebenen Ergebnis in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-finding \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization \
    --id 0910eedb-381e-4e95-adda-0d25c19e6e90

Ausgabe:

{
    "finding": {
        "id": "0910eedb-381e-4e95-adda-0d25c19e6e90",
        "principal": {
            "Federated": "cognito-identity.amazonaws.com"
        },
        "action": [
            "sts:AssumeRoleWithWebIdentity"
        ],
        "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
        "isPublic": false,
        "resourceType": "AWS::IAM::Role",
        "condition": {
            "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
        },
        "createdAt": "2021-02-26T21:17:50.905000+00:00",
        "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
        "updatedAt": "2021-02-26T21:17:50.905000+00:00",
        "status": "ACTIVE",
        "resourceOwnerAccount": "111122223333"
    }
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Ergebnisse überprüfen.

  • APIEinzelheiten finden Sie GetFindingin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie man es benutztget-generated-policy.

AWS CLI

Um die Richtlinie abzurufen, die mit dem `StartPolicyGeneration` generiert wurde API

Im folgenden get-generated-policy Beispiel wird die Richtlinie abgerufen, die mithilfe von StartPolicyGeneration API in Ihrem AWS Konto generiert wurde.

aws accessanalyzer get-generated-policy \
    --job-id c557dc4a-0338-4489-95dd-739014860ff9

Ausgabe:

{
    "generatedPolicyResult": {
        "generatedPolicies": [
            {
                "policy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"SupportedServiceSid0\",\"Effect\":\"Allow\",\"Action\":[\"access-analyzer:GetAnalyzer\",\"access-analyzer:ListAnalyzers\",\"access-analyzer:ListArchiveRules\",\"access-analyzer:ListFindings\",\"cloudtrail:DescribeTrails\",\"cloudtrail:GetEventDataStore\",\"cloudtrail:GetEventSelectors\",\"cloudtrail:GetInsightSelectors\",\"cloudtrail:GetTrailStatus\",\"cloudtrail:ListChannels\",\"cloudtrail:ListEventDataStores\",\"cloudtrail:ListQueries\",\"cloudtrail:ListTags\",\"cloudtrail:LookupEvents\",\"ec2:DescribeRegions\",\"iam:GetAccountSummary\",\"iam:GetOpenIDConnectProvider\",\"iam:GetRole\",\"iam:ListAccessKeys\",\"iam:ListAccountAliases\",\"iam:ListOpenIDConnectProviders\",\"iam:ListRoles\",\"iam:ListSAMLProviders\",\"kms:ListAliases\",\"s3:GetBucketLocation\",\"s3:ListAllMyBuckets\"],\"Resource\":\"*\"}]}"
            }
        ],
        "properties": {
            "cloudTrailProperties": {
                "endTime": "2024-02-14T22:44:40+00:00",
                "startTime": "2024-02-13T00:30:00+00:00",
                "trailProperties": [
                    {
                        "allRegions": true,
                        "cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail",
                        "regions": []
                    }
                ]
            },
            "isComplete": false,
            "principalArn": "arn:aws:iam::111122223333:role/Admin"
        }
    },
    "jobDetails": {
        "completedOn": "2024-02-14T22:47:01+00:00",
        "jobId": "c557dc4a-0338-4489-95dd-739014860ff9",
        "startedOn": "2024-02-14T22:44:41+00:00",
        "status": "SUCCEEDED"
    }
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Generierung von IAM Access Analyzer-Richtlinien.

Das folgende Codebeispiel zeigt, wie man es benutztlist-access-preview-findings.

AWS CLI

Um eine Liste von Access-Preview-Ergebnissen abzurufen, die mit der angegebenen Access-Preview generiert wurden

Im folgenden list-access-preview-findings Beispiel wird eine Liste mit Ergebnissen der Zugriffsvorschau abgerufen, die mit der angegebenen Zugriffsvorschau in Ihrem AWS Konto generiert wurden.

aws accessanalyzer list-access-preview-findings \
    --access-preview-id 3c65eb13-6ef9-4629-8919-a32043619e6b \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "findings": [
        {
            "id": "e22fc158-1c87-4c32-9464-e7f405ce8d74",
            "principal": {
                "AWS": "111122223333"
            },
            "action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "condition": {},
            "resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "isPublic": false,
            "resourceType": "AWS::S3::Bucket",
            "createdAt": "2024-02-17T00:18:46+00:00",
            "changeType": "NEW",
            "status": "ACTIVE",
            "resourceOwnerAccount": "111122223333",
            "sources": [
                {
                    "type": "POLICY"
                }
            ]
        }
    ]
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAMBenutzerhandbuch.

Das folgende Codebeispiel zeigt, wie man es benutztlist-access-previews.

AWS CLI

Um eine Liste von Zugriffsvorschauen für den angegebenen Analysator abzurufen

Im folgenden list-access-previews Beispiel wird eine Liste der Zugriffsvorschauen für den angegebenen Analysator in Ihrem Konto abgerufen. AWS 

aws accessanalyzer list-access-previews \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "accessPreviews": [
        {
            "id": "3c65eb13-6ef9-4629-8919-a32043619e6b",
            "analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
            "createdAt": "2024-02-17T00:18:44+00:00",
            "status": "COMPLETED"
        }
    ]
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM Benutzerhandbuch.

Das folgende Codebeispiel zeigt, wie man es benutztlist-analyzed-resources.

AWS CLI

Um die verfügbaren Widgets aufzulisten

Das folgende list-analyzed-resources Beispiel listet die verfügbaren Widgets in Ihrem AWS Konto auf.

aws accessanalyzer list-analyzed-resources \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --resource-type AWS::IAM::Role

Ausgabe:

{
    "analyzedResources": [
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:Validation-Email",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        },
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:admin-alerts",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        },
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:config-topic",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        },
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:inspector-topic",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        }
    ]
}

Weitere Informationen finden Sie unter Verwenden von AWS Identity and Access Management Access Analyzer im AWS IAMBenutzerhandbuch.

Das folgende Codebeispiel zeigt, wie man es benutztlist-analyzers.

AWS CLI

Um eine Liste von Analysatoren abzurufen

Im folgenden list-analyzers Beispiel wird eine Liste der Analysatoren in Ihrem Konto abgerufen. AWS 

aws accessanalyzer list-analyzers

Ausgabe:

{
    "analyzers": [
        {
            "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization",
            "createdAt": "2024-02-15T00:46:40+00:00",
            "name": "UnusedAccess-ConsoleAnalyzer-organization",
            "status": "ACTIVE",
            "tags": {
                "auto-delete": "no"
            },
            "type": "ORGANIZATION_UNUSED_ACCESS"
        },
        {
            "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization",
            "createdAt": "2020-04-25T07:43:28+00:00",
            "lastResourceAnalyzed": "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
            "lastResourceAnalyzedAt": "2024-02-15T21:51:56.517000+00:00",
            "name": "ConsoleAnalyzer-organization",
            "status": "ACTIVE",
            "tags": {
                "auto-delete": "no"
            },
            "type": "ORGANIZATION"
        },
        {
            "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
            "createdAt": "2019-12-03T07:28:17+00:00",
            "lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic",
            "lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00",
            "name": "ConsoleAnalyzer-account",
            "status": "ACTIVE",
            "tags": {
                "auto-delete": "no"
            },
            "type": "ACCOUNT"
        }
    ]
}

Weitere Informationen finden Sie unter Verwenden von AWS Identity and Access Management Access Analyzer im AWS IAMBenutzerhandbuch.

  • APIEinzelheiten finden Sie ListAnalyzersunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie man es benutztlist-archive-rules.

AWS CLI

Um eine Liste von Archivregeln abzurufen, die für den angegebenen Analyzer erstellt wurden

Im folgenden list-archive-rules Beispiel wird eine Liste von Archivregeln abgerufen, die für den angegebenen Analyzer in Ihrem AWS Konto erstellt wurden.

aws accessanalyzer list-archive-rules \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization

Ausgabe:

{
    "archiveRules": [
        {
            "createdAt": "2024-02-15T00:49:27+00:00",
            "filter": {
                "resource": {
                    "contains": [
                        "Cognito"
                    ]
                },
                "resourceType": {
                    "eq": [
                        "AWS::IAM::Role"
                    ]
                }
            },
            "ruleName": "MyArchiveRule",
            "updatedAt": "2024-02-15T00:49:27+00:00"
        },
        {
            "createdAt": "2024-02-15T23:27:45+00:00",
            "filter": {
                "findingType": {
                    "eq": [
                        "UnusedIAMUserAccessKey"
                    ]
                }
            },
            "ruleName": "ArchiveRule-56125a39-e517-4ff8-afb1-ef06f58db612",
            "updatedAt": "2024-02-15T23:27:45+00:00"
        }
    ]
}

Weitere Informationen finden Sie unter Verwenden von AWS Identity and Access Management Access Analyzer im AWS IAMBenutzerhandbuch.

Das folgende Codebeispiel zeigt, wie man es benutztlist-findings-v2.

AWS CLI

Um eine Liste von Ergebnissen abzurufen, die vom angegebenen Analysator generiert wurden

Im folgenden list-findings-v2 Beispiel wird eine Liste von Ergebnissen abgerufen, die vom angegebenen Analysator in Ihrem AWS Konto generiert wurden. In diesem Beispiel werden die Ergebnisse so gefiltert, dass sie nur IAM Rollen enthalten, deren Name enthältCognito.

aws accessanalyzer list-findings-v2 \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Ausgabe:

{
    "findings": [
        {
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "createdAt": "2021-02-26T21:17:24.710000+00:00",
            "id": "597f3bc2-3adc-4c18-9879-5c4b23485e46",
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role",
            "resourceType": "AWS::IAM::Role",
            "resourceOwnerAccount": "111122223333",
            "status": "ACTIVE",
            "updatedAt": "2021-02-26T21:17:24.710000+00:00",
            "findingType": "ExternalAccess"
        },
        {
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "createdAt": "2021-02-26T21:17:50.905000+00:00",
            "id": "ce0e221a-85b9-4d52-91ff-d7678075442f",
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
            "resourceType": "AWS::IAM::Role",
            "resourceOwnerAccount": "111122223333",
            "status": "ACTIVE",
            "updatedAt": "2021-02-26T21:17:50.905000+00:00",
            "findingType": "ExternalAccess"
        }
    ]
}

Weitere Informationen finden Sie unter Verwenden von AWS Identity and Access Management Access Analyzer im AWS IAMBenutzerhandbuch.

  • APIEinzelheiten finden Sie unter ListFindingsV2 in der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-findings.

AWS CLI

Um eine Liste von Ergebnissen abzurufen, die vom angegebenen Analysator generiert wurden

Im folgenden list-findings Beispiel wird eine Liste von Ergebnissen abgerufen, die vom angegebenen Analysator in Ihrem AWS Konto generiert wurden. In diesem Beispiel werden die Ergebnisse so gefiltert, dass sie nur IAM Rollen enthalten, deren Name enthältCognito.

aws accessanalyzer list-findings \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Ausgabe:

{
    "findings": [
        {
            "id": "597f3bc2-3adc-4c18-9879-5c4b23485e46",
            "principal": {
                "Federated": "cognito-identity.amazonaws.com"
            },
            "action": [
                "sts:AssumeRoleWithWebIdentity"
            ],
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role",
            "isPublic": false,
            "resourceType": "AWS::IAM::Role",
            "condition": {
                "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
            },
            "createdAt": "2021-02-26T21:17:24.710000+00:00",
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "updatedAt": "2021-02-26T21:17:24.710000+00:00",
            "status": "ACTIVE",
            "resourceOwnerAccount": "111122223333"
        },
        {
            "id": "ce0e221a-85b9-4d52-91ff-d7678075442f",
            "principal": {
                "Federated": "cognito-identity.amazonaws.com"
            },
            "action": [
                "sts:AssumeRoleWithWebIdentity"
            ],
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
            "isPublic": false,
            "resourceType": "AWS::IAM::Role",
            "condition": {
                "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
            },
            "createdAt": "2021-02-26T21:17:50.905000+00:00",
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "updatedAt": "2021-02-26T21:17:50.905000+00:00",
            "status": "ACTIVE",
            "resourceOwnerAccount": "111122223333"
        }
    ]
}

Weitere Informationen finden Sie unter Verwenden von AWS Identity and Access Management Access Analyzer im AWS IAMBenutzerhandbuch.

  • APIEinzelheiten finden Sie ListFindingsunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie man es benutztlist-policy-generations.

AWS CLI

Um alle in den letzten sieben Tagen angeforderten Richtliniengenerationen aufzulisten

Im folgenden list-policy-generations Beispiel werden alle Versicherungsgenerationen aufgeführt, die in den letzten sieben Tagen in Ihrem AWS Konto angefordert wurden.

aws accessanalyzer list-policy-generations

Ausgabe:

{
    "policyGenerations": [
        {
            "completedOn": "2024-02-14T23:43:38+00:00",
            "jobId": "923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2",
            "principalArn": "arn:aws:iam::111122223333:role/Admin",
            "startedOn": "2024-02-14T23:43:02+00:00",
            "status": "CANCELED"
        },
        {
            "completedOn": "2024-02-14T22:47:01+00:00",
            "jobId": "c557dc4a-0338-4489-95dd-739014860ff9",
            "principalArn": "arn:aws:iam::111122223333:role/Admin",
            "startedOn": "2024-02-14T22:44:41+00:00",
            "status": "SUCCEEDED"
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Generierung von IAM Access Analyzer-Richtlinien.

Das folgende Codebeispiel zeigt, wie man es benutztlist-tags-for-resource.

AWS CLI

Um eine Liste von Tags abzurufen, die auf die angegebene Ressource angewendet wurden

Im folgenden list-tags-for-resource Beispiel wird eine Liste von Tags abgerufen, die auf die angegebene Ressource in Ihrem AWS Konto angewendet wurden.

aws accessanalyzer list-tags-for-resource \
    --resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "tags": {
        "Zone-of-trust": "Account",
        "Name": "ConsoleAnalyzer"
    }
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Generierung von IAM Access Analyzer-Richtlinien.

Das folgende Codebeispiel zeigt, wie man es benutztstart-policy-generation.

AWS CLI

Um eine Anfrage zur Richtliniengenerierung zu starten

Im folgenden start-policy-generation Beispiel wird eine Anfrage zur Generierung von Richtlinien in Ihrem AWS Konto gestartet.

aws accessanalyzer start-policy-generation \
    --policy-generation-details '{"principalArn":"arn:aws:iam::111122223333:role/Admin"}' \
    --cloud-trail-details file://myfile.json

Inhalt von myfile.json:

{
    "accessRole": "arn:aws:iam::111122223333:role/service-role/AccessAnalyzerMonitorServiceRole",
    "startTime": "2024-02-13T00:30:00Z",
    "trails": [
        {
            "allRegions": true,
            "cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail"
        }
    ]
}

Ausgabe:

{
    "jobId": "c557dc4a-0338-4489-95dd-739014860ff9"
}

Weitere Informationen finden Sie unter Generierung von IAM Access Analyzer-Richtlinien im AWS IAMBenutzerhandbuch.

Das folgende Codebeispiel zeigt, wie man es benutztstart-resource-scan.

AWS CLI

Um sofort einen Scan der Richtlinien zu starten, die auf die angegebene Ressource angewendet wurden

Im folgenden start-resource-scan Beispiel wird sofort ein Scan der Richtlinien gestartet, die auf die angegebene Ressource in Ihrem AWS Konto angewendet wurden.

aws accessanalyzer start-resource-scan \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --resource-arn arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Generierung von IAM Access Analyzer-Richtlinien.

Das folgende Codebeispiel zeigt, wie man es benutzttag-resource.

AWS CLI

Um der angegebenen Ressource ein Tag hinzuzufügen

Im folgenden tag-resource Beispiel wird der angegebenen Ressource in Ihrem AWS Konto ein Tag hinzugefügt.

aws accessanalyzer tag-resource \
    --resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --tags Environment=dev,Purpose=testing

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden von AWS Identity and Access Management Access Analyzer im AWS IAMBenutzerhandbuch.

  • APIEinzelheiten finden Sie TagResourceunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt, wie man es benutztuntag-resource.

AWS CLI

Um Tags aus den angegebenen Ressourcen zu entfernen

Im folgenden untag-resource Beispiel werden Tags aus der angegebenen Ressource in Ihrem AWS Konto entfernt.

aws accessanalyzer untag-resource \
    --resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --tag-keys Environment Purpose

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden von AWS Identity and Access Management Access Analyzer im AWS IAMBenutzerhandbuch.

  • APIEinzelheiten finden Sie UntagResourceunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungupdate-archive-rule.

AWS CLI

Um die Kriterien und Werte für die angegebene Archivierungsregel zu aktualisieren

Im folgenden update-archive-rule Beispiel werden die Kriterien und Werte für die angegebene Archivierungsregel in Ihrem AWS Konto aktualisiert.

aws accessanalyzer update-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyArchiveRule \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Archivierungsregeln.

Das folgende Codebeispiel zeigt die Verwendungupdate-findings.

AWS CLI

Um den Status der angegebenen Ergebnisse zu aktualisieren

Im folgenden update-findings Beispiel wird der Status der angegebenen Ergebnisse in Ihrem AWS Konto aktualisiert.

aws accessanalyzer update-findings \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization \
    --ids 4f319ac3-2e0c-4dc4-bf51-7013a086b6ae 780d586a-2cce-4f72-aff6-359d450e7500 \
    --status ARCHIVED

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Verwenden von AWS Identity and Access Management Access Analyzer im AWS IAMBenutzerhandbuch.

  • APIEinzelheiten finden Sie UpdateFindingsunter AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungvalidate-policy.

AWS CLI

Um die Validierung einer Richtlinie anzufordern und eine Ergebnisliste zurückzugeben

Das folgende validate-policy Beispiel fordert die Validierung einer Richtlinie an und gibt eine Ergebnisliste zurück. Die Richtlinie im Beispiel ist eine Rollenvertrauensrichtlinie für eine Amazon Cognito Cognito-Rolle, die für den Web-Identitätsverbund verwendet wird. Die Ergebnisse der Vertrauensrichtlinie beziehen sich auf einen leeren Sid Elementwert und ein nicht übereinstimmendes Richtlinienprinzipal, da die falsche Aktion „Rolle übernehmen“ verwendet wurde. sts:AssumeRole Die richtige Aktion „Rolle annehmen“ für die Verwendung mit Cognito iststs:AssumeRoleWithWebIdentity.

aws accessanalyzer validate-policy \
    --policy-document file://myfile.json \
    --policy-type RESOURCE_POLICY

Inhalt von myfile.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Federated": "cognito-identity.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Condition": {
                "StringEquals": {
                    "cognito-identity.amazonaws.com:aud": "us-west-2_EXAMPLE"
                }
            }
        }
    ]
}

Ausgabe:

{
    "findings": [
        {
            "findingDetails": "Add a value to the empty string in the Sid element.",
            "findingType": "SUGGESTION",
            "issueCode": "EMPTY_SID_VALUE",
            "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-suggestion-empty-sid-value",
            "locations": [
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Sid"
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 21,
                            "line": 5,
                            "offset": 81
                        },
                        "start": {
                            "column": 19,
                            "line": 5,
                            "offset": 79
                        }
                    }
                }
            ]
        },
        {
            "findingDetails": "The sts:AssumeRole action is invalid with the following principal(s): cognito-identity.amazonaws.com. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.",
            "findingType": "ERROR",
            "issueCode": "MISMATCHED_ACTION_FOR_PRINCIPAL",
            "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-mismatched-action-for-principal",
            "locations": [
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Action"
                        },
                        {
                            "index": 0
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 32,
                            "line": 11,
                            "offset": 274
                        },
                        "start": {
                            "column": 16,
                            "line": 11,
                            "offset": 258
                        }
                    }
                },
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Principal"
                        },
                        {
                            "value": "Federated"
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 61,
                            "line": 8,
                            "offset": 202
                        },
                        "start": {
                            "column": 29,
                            "line": 8,
                            "offset": 170
                        }
                    }
                }
            ]
        },
        {
            "findingDetails": "The following actions: sts:TagSession are not supported by the condition key cognito-identity.amazonaws.com:aud. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.",
            "findingType": "ERROR",
            "issueCode": "UNSUPPORTED_ACTION_FOR_CONDITION_KEY",
            "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-unsupported-action-for-condition-key",
            "locations": [
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Action"
                        },
                        {
                            "index": 1
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 32,
                            "line": 12,
                            "offset": 308
                        },
                        "start": {
                            "column": 16,
                            "line": 12,
                            "offset": 292
                        }
                    }
                },
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Condition"
                        },
                        {
                            "value": "StringEquals"
                        },
                        {
                            "value": "cognito-identity.amazonaws.com:aud"
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 79,
                            "line": 16,
                            "offset": 464
                        },
                        "start": {
                            "column": 58,
                            "line": 16,
                            "offset": 443
                        }
                    }
                }
            ]
        }
    ]
}

Weitere Informationen finden Sie im AWS IAMBenutzerhandbuch unter Prüfungen zur Validierung von Richtlinien.

  • APIEinzelheiten finden Sie ValidatePolicyin der AWS CLI Befehlsreferenz.