Ergebnisse von Fehlern beim externen Zugriff Ergebnisse interner Zugriffsfehler Behebung von Fehlerergebnissen

IAM Access Analyzer-Fehlerergebnisse

Wenn IAM Access Analyzer Ressourcen analysiert, generiert er in der Regel Ergebnisse, aus denen hervorgeht, wer Zugriff auf Ihre Ressourcen hat. In einigen Fällen kann der Analyzer jedoch auf Probleme stoßen, die ihn daran hindern, die Analyse abzuschließen. In diesen Situationen generiert IAM Access Analyzer stattdessen Fehlerergebnisse.

Fehlerergebnisse deuten darauf hin, dass IAM Access Analyzer die Analyse für eine bestimmte Ressource oder für ein bestimmtes Prinzipal-Ressourcen-Paar nicht abschließen konnte. Diese Ergebnisse helfen Ihnen dabei, Ressourcen zu identifizieren, die möglicherweise Aufmerksamkeit erfordern, um eine ordnungsgemäße Analyse sicherzustellen.

Ergebnisse von Fehlern beim externen Zugriff

Analysatoren für den externen Zugriff, die Ressourcen identifizieren, die außerhalb Ihres Kontos oder Ihrer Organisation gemeinsam genutzt werden, können zu zwei Arten von Fehlerergebnissen führen:

INTERNAL_ERROR — Zeigt an, dass IAM Access Analyzer bei der Analyse der Ressource auf ein internes Problem gestoßen ist. Dies kann auf Diensteinschränkungen oder vorübergehende Probleme zurückzuführen sein.


{
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR",
	"createdAt": "2022-07-14T01:31:43.085000+00:00",
	"resourceType": "AWS::IAM::Role",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
}

ACCESS_DENIED — Zeigt an, dass IAM Access Analyzer nicht über die erforderlichen Berechtigungen zur Analyse der Ressource verfügt. Dies ist in der Regel der Fall, wenn der serviceverknüpften Rolle (SLR) für IAM Access Analyzer der Zugriff auf die Ressource verweigert wird.


{
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
	"status": "ACTIVE",
	"error": "ACCESS_DENIED",
	"createdAt": "2022-07-14T01:31:43.104000+00:00",
	"resourceType": "AWS::KMS::Key",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
}

Ergebnisse interner Zugriffsfehler

Interne Zugriffsanalysatoren, die Zugriffe innerhalb Ihres Kontos oder Ihrer Organisation identifizieren, können zu vier Arten von Fehlerergebnissen führen:

PRINCIPAL_LIMIT_EXCEEDED — Wird generiert, wenn mehr als 3.000 Principals Zugriff auf eine kritische Ressource haben. Dieser Fehler hilft Ihnen dabei, Ressourcen mit zu breitem Zugriff zu identifizieren, die möglicherweise eingeschränkt werden müssen.

Wenn Sie Änderungen an der Ressource oder den Prinzipalen in Ihrer Umgebung vornehmen, sodass die Anzahl der Principals unter den Grenzwert fällt, generiert der Analyzer beim nächsten Scan normale Ergebnisse, und der gefundene Fehler wird als behoben markiert.
```
{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}
```

Fehler auf Ressourcenebene (INTERNAL_ERROR oder ACCESS_DENIED) — Ähnlich wie Fehler beim externen Zugriff weisen sie darauf hin, dass der Analyzer eine bestimmte Ressource aufgrund interner Probleme oder Berechtigungsprobleme nicht analysieren konnte. Wenn ein Fehler auf Ressourcenebene auftritt, generiert der Analyzer anstelle der normalen Ergebnisse einen einzigen Fehlerbefund für die Ressource.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Fehler auf Prinzipalebene (INTERNAL_ERROR oder ACCESS_DENIED) — Zeigt an, dass der Analyzer den Zugriff eines bestimmten Prinzipals auf eine bestimmte Ressource nicht analysieren konnte. Im Gegensatz zu Fehlern auf Ressourcenebene kann eine Ressource sowohl normale Ergebnisse für einige Prinzipale als auch Fehlerergebnisse für andere Prinzipale aufweisen.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess", 
	"findingDetails": [
		{
			"internalAccessDetails": {
				"principal": {
					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
				},
				"principalOwnerAccount": "111122223333",
				"principalType": "IAM_ROLE",
				"accessType": "INTRA_ACCOUNT"
			}
		}
	]
}

PRINCIPAL_ERRORS_LIMIT_EXCEEDED — Wird generiert, wenn für eine einzelne Ressource zu viele Fehler auf Prinzipalebene gefunden wurden. Dies ist ein Fehler auf Ressourcenebene, der zusammen mit normalen Ergebnissen für dieselbe Ressource auftreten kann.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Behebung von Fehlerergebnissen

Wenn Sie das Problem beheben, das IAM Access Analyzer daran gehindert hat, die Ressource zu analysieren, wird die fehlerhafte Erkenntnis vollständig entfernt, anstatt in eine behobene Erkenntnis geändert zu werden.

Um die Ergebnisse von Fehlern zu beheben, sollten Sie je nach Art des Fehlers die folgenden Lösungsansätze in Betracht ziehen:

Stellen Sie bei ACCESS_DENIED-Fehlern sicher, dass die mit dem Dienst verknüpfte IAM Access Analyzer-Rolle über die erforderlichen Berechtigungen für den Zugriff auf die Ressource verfügt.
Bei PRINCIPAL_LIMIT_EXCEEDED-Fehlern sollten Sie die Zugriffsrichtlinien der Ressource überprüfen und erwägen, den Zugriff auf weniger Hauptbenutzer zu beschränken.
Für Ergebnisse im Zusammenhang mit INTERNAL_ERROR müssen Sie möglicherweise auf einen nachfolgenden Analysezyklus warten oder sich an den Support wenden, falls das Problem weiterhin besteht. AWS
Überprüfen Sie für PRINCIPAL_ERRORS_LIMIT_EXCEEDEED die Zugriffsmuster für die betroffene Ressource und vereinfachen Sie sie gegebenenfalls.

Nachdem IAM Access Analyzer Änderungen zur Behebung der zugrunde liegenden Probleme vorgenommen hat, versucht er im nächsten Scanzyklus erneut, die Ressourcen zu analysieren.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Beheben von Erkenntnissen

Unterstützte Ressourcentypen