Archivregeln - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Archivregeln

Mit Archivregeln werden neue Ergebnisse, die den beim Erstellen der Regel definierten Kriterien entsprechen, automatisch archiviert. Sie können Archivregeln auch nachträglich anwenden, um vorhandene Ergebnisse zu archivieren, die die Archivregelkriterien erfüllen. Sie können beispielsweise eine Archivregel erstellen, um alle Ergebnisse für einen bestimmten Amazon-S3-Bucket, auf den Sie regelmäßig Zugriff gewähren, automatisch zu archivieren. Oder wenn Sie einem bestimmten Auftraggeber Zugriff auf mehrere Ressourcen gewähren, können Sie eine Regel erstellen, mit der alle neuen für den Zugriff auf diesen Auftraggeber generierten Ergebnisse automatisch archiviert werden. Auf diese Weise können Sie sich nur auf aktive Ergebnisse konzentrieren, die auf ein Sicherheitsrisiko hinweisen könnten.

Wenn Sie eine Archivregel erstellen, werden automatisch nur neue Ergebnisse archiviert, die den Regelkriterien entsprechen. Vorhandene Ergebnisse werden nicht automatisch archiviert. Wenn Sie eine Regel erstellen, können Sie bis zu 20 Werte pro Kriterium in die Regel aufnehmen. Eine Liste der Filterschlüssel, mit denen Sie eine Archivregel erstellen oder aktualisieren können, finden Sie unter Filterschlüssel für IAM Access Analyzer.

Anmerkung

Wenn Sie eine Archivierungsregel erstellen oder bearbeiten, validiert IAM Access Analyzer nicht die Werte, die Sie in den Filter für die Regel aufnehmen. Wenn Sie beispielsweise eine Regel hinzufügen, um ein AWS-Konto, akzeptiert IAM Access Analyzer jeden Wert im Feld, selbst wenn es sich nicht um eine gültige AWS -Kontonummer handelt.

So erstellen Sie eine Archivregel

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Access Analyzer und dann Analyzer-Einstellungen aus.

  3. Wählen Sie im Abschnitt Analyzer den Analyzer aus, für den Sie eine Archivierungsregel erstellen möchten.

  4. Wählen Sie auf der Registerkarte Archivregeln die Option Archivregel erstellen aus.

  5. Geben Sie einen Namen für die Regel ein, wenn Sie den Standardnamen ändern möchten.

  6. Wählen Sie im Abschnitt Rule (Regel) unter Criteria (Kriterien) eine Eigenschaft aus, die der Regel entspricht.

  7. Wählen Sie eine Bedingung für den Eigenschaftswert aus, z. B. Enthält, Ist oder Nicht gleich.

    Die verfügbaren Operatoren hängen von der gewählten Eigenschaft ab.

  8. Fügen Sie optional zusätzliche Werte für die Eigenschaft hinzu oder fügen Sie zusätzliche Kriterien für die Regel hinzu. Um bei Ergebnissen mit externem Zugriff sicherzustellen, dass Ihre Regel keine neuen Ergebnisse für den öffentlichen Zugriff archiviert, können Sie auch das Kriterium Öffentlicher Zugriff einschließen und auf false setzen.

    Um einen weiteren Wert als Kriterium hinzuzufügen, wählen Sie Add another value (Weiteren Wert hinzufügen). Um ein weiteres Kriterium für die Regel hinzuzufügen, wählen Sie die Schaltfläche Kriterium hinzufügen.

  9. Wenn Sie mit dem Hinzufügen von Kriterien und Werten fertig sind, wählen Sie Create rule (Regel erstellen), um die Regel nur auf neue Ergebnisse anzuwenden. Wählen Sie Create and archive active findings (Aktive Ergebnisse erstellen und archivieren), um neue und vorhandene Ergebnisse basierend auf den Regelkriterien zu archivieren. Im Abschnitt Results (Ergebnisse) können Sie die Liste der aktiven Ergebnisse überprüfen, für die die Archivregel gilt.

Um beispielsweise eine Regel für Ergebnisse bei externem Zugriff zu erstellen, die automatisch alle Ergebnisse für Amazon-S3-Buckets archiviert: Wählen Sie den Ressourcentyp und dann Ist für den Operator aus. Wählen Sie als Nächstes das S3-Bucket aus der Liste Werte aus.

Um eine Regel für ungenutzte Zugriffsergebnisse zu erstellen, durch die automatisch alle Ergebnisse für ein bestimmtes Konto archiviert werden, wählen Sie Konto des Ressourceneigentümers und dann Ist Gleich als Bedingung aus. Geben Sie die AWS-Konto ID in das Textfeld Wert ein.

Definieren Sie weiterhin Kriterien, um die Regel auf Ihre Umgebung anzupassen, und wählen Sie dann Regel erstellen aus.

Wenn Sie eine neue Regel erstellen und mehrere Kriterien hinzufügen, können Sie ein einzelnes Kriterium aus der Regel entfernen, indem Sie Remove this criterion (Dieses Kriterium entfernen) auswählen. Sie können einen für ein Kriterium hinzugefügten Wert entfernen, indem Sie Remove value (Wert entfernen) auswählen.

So bearbeiten Sie eine Archivregel

  1. Wählen Sie den Namen der zu bearbeitenden Regel in der Spalte Name aus.

    Sie können jeweils nur eine Archivregel bearbeiten.

  2. Fügen Sie neue Kriterien hinzu oder entfernen Sie ein vorhandenes Kriterium bzw. die Werte für jedes Kriterium.

  3. Wählen Sie Save changes (Änderungen speichern), um die Regel nur auf neue Ergebnisse anzuwenden. Wählen Sie Save and archive active findings (Aktive Ergebnisse speichern und archivieren), um neue und vorhandene Ergebnisse basierend auf den Regelkriterien zu archivieren.

So löschen Sie eine Archivregel

  1. Aktivieren Sie das Kontrollkästchen für die Regel, die Sie löschen möchten.

  2. Wählen Sie Löschen.

  3. Geben Sie delete in das Bestätigungsdialogfeld Archivregel löschen ein und wählen Sie dann Löschen.

Die Regeln werden nur aus dem Analysator in der aktuellen Region gelöscht. Sie müssen Archivregeln für jeden Analysator, den Sie in anderen Regionen erstellt haben, separat löschen.