Erste Schritte mit AWS Identity and Access Management Access Analyzer -Ergebnisse - AWS Identitäts- und Zugriffsverwaltung
Erforderliche Berechtigungen zur Verwendung von IAM Access AnalyzerAktivieren von IAM Access AnalyzerStatus von IAM Access Analyzer

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erste Schritte mit AWS Identity and Access Management Access Analyzer -Ergebnisse

Verwenden Sie die Informationen in diesem Thema, um mehr über die Anforderungen zu erfahren, die für die Verwendung und Verwaltung von IAM Access Analyzer erforderlich sind AWS Identity and Access Management Access Analyzer, und erfahren Sie dann, wie Sie IAM Access Analyzer aktivieren. Weitere Informationen zur serviceverknüpften Rolle für IAM Access Analyzer finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Identity and Access Management Access Analyzer.

Erforderliche Berechtigungen zur Verwendung von IAM Access Analyzer

Um IAM Access Analyzer erfolgreich zu konfigurieren und zu verwenden, müssen dem von Ihnen verwendeten Konto die erforderlichen Berechtigungen erteilt werden.

AWS verwaltete Richtlinien für IAM Access Analyzer

AWS Identity and Access Management Access Analyzer bietet AWS verwaltete Richtlinien, damit Sie schnell loslegen können.

  • IAM AccessAnalyzerFullAccess — Ermöglicht Administratoren vollen Zugriff auf IAM Access Analyzer. Diese Richtlinie ermöglicht auch die Erstellung der dienstbezogenen Rollen, die erforderlich sind, damit IAM Access Analyzer Ressourcen in Ihrem Konto oder Ihrer Organisation analysieren kann. AWS

  • IAM AccessAnalyzerReadOnlyAccess — Ermöglicht den schreibgeschützten Zugriff auf IAM Access Analyzer. Sie müssen zusätzliche Richtlinien zu Ihren IAM-Identitäten (-Benutzer, -Benutzergruppen oder -Rollen) hinzufügen, damit diese die ihre Ergebnisse anzeigen können.

Von IAM Access Analyzer definierte Ressourcen

Informationen zu den von Access Analyzer definierten Ressourcen finden Sie unter Von IAM Access Analyzer definierte Ressourcentypen in der Service-Autorisierungsreferenz.

Erforderliche Service-Berechtigungen für IAM Access Analyzer

IAM Access Analyzer verwendet eine servicegebundene IAM-Rolle (SLR) namens AWSServiceRoleForAccessAnalyzer. Diese Spiegelreflexkamera gewährt dem Dienst nur Lesezugriff, um AWS Ressourcen mit ressourcenbasierten Richtlinien zu analysieren und ungenutzten Zugriff in Ihrem Namen zu analysieren. In den folgenden Szenarien erstellt der Service die Rolle in Ihrem Konto:

  • Sie erstellen einen Analysator für externen Zugriff mit Ihrem Konto als Vertrauenszone.

  • Sie erstellen einen Analysator für ungenutzten Zugriff mit Ihrem Konto als ausgewähltem Konto.

Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Identity and Access Management Access Analyzer.

Anmerkung

IAM Access Analyzer ist regional. Für externen Zugriff müssen Sie IAM Access Analyzer in jeder Region separat aktivieren.

Bei ungenutztem Zugriff ändern sich die Ergebnisse für den Analysator nicht von Region zu Region. Es ist nicht erforderlich, in jeder Region, in der Sie über Ressourcen verfügen, einen Analysator zu erstellen.

In einigen Fällen wird nach der Erstellung eines Analysators für externen Zugriff oder ungenutzten Zugriff in IAM Access Analyzer die Seite Ergebnisse oder das Dashboard ohne Ergebnisse oder Zusammenfassung geladen. Dies kann auf eine Verzögerung in der Konsole beim Auffüllen Ihrer Ergebnisse zurückzuführen sein. Möglicherweise müssen Sie den Browser manuell aktualisieren oder später erneut nachschauen, um die Ergebnisse oder die Zusammenfassung anzuzeigen. Wenn Sie immer noch keine Ergebnisse für einen Analysator für externen Zugriff sehen, liegt das daran, dass die unterstützten Ressourcen in Ihrem Konto fehlen, auf die eine externe Entität zugreifen kann. Wenn eine Richtlinie, die einer externen Entität Zugriff gewährt, auf eine Ressource angewendet wird, generiert IAM Access Analyzer ein Ergebnis.

Anmerkung

Bei Analysatoren für externen Zugriff kann es nach Änderung einer Richtlinie bis zu 30 Minuten dauern, bis IAM Access Analyzer die Ressource analysiert und dann entweder ein neues Ergebnis mit externem Zugriff generiert oder ein vorhandenes Ergebnis für den Zugriff auf die Ressource aktualisiert. Bei Analysatoren für externen und ungenutzten Zugriff erscheinen die aktuellen Ergebnisse möglicherweise nicht sofort im Dashboard.

Erforderliche Berechtigungen für IAM Access Analyzer zum Anzeigen des Ergebnis-Dashboards

Um das Ergebnis-Dashboard von IAM Access Analyzer anzuzeigen, braucht das von Ihnen verwendete Konto Zugriff für die folgenden erforderlichen Aktionen:

Informationen zu alle von Access Analyzer definierten Aktionen finden Sie unter Von IAM Access Analyzer definierte Aktionstypen in der Service-Autorisierungsreferenz.

Aktivieren von IAM Access Analyzer

Um einen externen Zugriffsanalysator mit der AWS-Konto Vertrauenszone zu erstellen

Um einen Analysator für externen Zugriff in einer Region zu aktivieren, müssen Sie einen Analysator in dieser Region erstellen. Sie müssen in jeder Region, in der Sie den Zugriff auf Ihre Ressourcen überwachen möchten, einen Analysator für externen Zugriff erstellen.

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Auf Analysator zugreifen.

  3. Wählen Sie Analysator-Einstellungen.

  4. Wählen Sie Analysator erstellen.

  5. Wählen Sie im Abschnitt Analyse die Option Analyse des externen Zugriffs aus.

  6. Kontrollieren Sie im Abschnitt Analyzer-Details, ob es sich bei der angezeigten Region um die Region handelt, in der Sie IAM Access Analyzer aktivieren möchten.

  7. Geben Sie einen Namen für den Analysator ein.

  8. Wählen Sie Aktuelles AWS-Konto als Vertrauenszone für den Analysator.

    Anmerkung

    Wenn es sich bei Ihrem Konto nicht um das AWS Organizations Verwaltungskonto oder das delegierte Administratorkonto handelt, können Sie nur einen Analyzer mit Ihrem Konto als Vertrauenszone erstellen.

  9. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.

  10. Wählen Sie Absenden aus.

Wenn Sie einen Analysator für externen Zugriff erstellen, um IAM Access Analyzer zu aktivieren, wird in Ihrem Konto eine serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForAccessAnalyzer erstellt.

So erstellen Sie einen Analysator für externen Zugriff mit der Organisation als Vertrauenszone

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Auf Analysator zugreifen.

  3. Wählen Sie Analysator-Einstellungen.

  4. Wählen Sie Analysator erstellen.

  5. Wählen Sie im Abschnitt Analyse die Option Analyse des externen Zugriffs aus.

  6. Kontrollieren Sie im Abschnitt Analyzer-Details, ob es sich bei der angezeigten Region um die Region handelt, in der Sie IAM Access Analyzer aktivieren möchten.

  7. Geben Sie einen Namen für den Analysator ein.

  8. Wählen Sie Aktuelle Organisation als Vertrauenszone für den Analysator.

  9. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.

  10. Wählen Sie Absenden aus.

Wenn Sie einen Analysator für externen Zugriff mit der Organisation als Vertrauenszone erstellen, wird in jedem Konto Ihrer Organisation eine servicegebundene Rolle mit dem Namen AWSServiceRoleForAccessAnalyzer erstellt.

So erstellen Sie einen Analysator für ungenutzten Zugriff für das aktuelle Konto

Gehen Sie wie folgt vor, um einen Analysator für ungenutzten Zugriff für ein einzelnes AWS-Konto zu erstellen. Bei ungenutztem Zugriff ändern sich die Ergebnisse für den Analysator nicht von Region zu Region. Es ist nicht erforderlich, in jeder Region, in der Sie über Ressourcen verfügen, einen Analysator zu erstellen.

IAM Access Analyzer erhebt Gebühren für die Analyse des ungenutzten Zugriffs. Sie entsprechen der Anzahl der pro Monat und pro Analysator analysierten IAM-Rollen und -Benutzer. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAM Access Analyzer.

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Auf Analysator zugreifen.

  3. Wählen Sie Analysator-Einstellungen.

  4. Wählen Sie Analysator erstellen.

  5. Wählen Sie im Abschnitt Analyse die Option Ungenutzte Zugriffsanalyse aus.

  6. Geben Sie einen Namen für den Analysator ein.

  7. Geben Sie unter Nachverfolgungszeitraum die Anzahl der Tage ein, für die Ergebnisse für ungenutzte Berechtigungen generiert werden sollen. Wenn Sie beispielsweise 90 Tage eingeben, generiert der Analysator Ergebnisse für IAM-Entitäten innerhalb des ausgewählten Kontos und berücksichtigt dabei alle Berechtigungen, die innerhalb von 90 oder mehr Tagen seit dem letzten Scan des Analysators nicht verwendet wurden. Sie können einen Wert zwischen 1 und 180 Tagen wählen.

  8. Wählen Sie für Ausgewählte Konten die Option Aktuelles AWS-Konto aus.

    Anmerkung

    Wenn es sich bei Ihrem Konto nicht um das AWS Organizations Verwaltungskonto oder das delegierte Administratorkonto handelt, können Sie nur einen Analyzer mit Ihrem Konto als ausgewähltem Konto erstellen.

  9. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.

  10. Wählen Sie Absenden aus.

Wenn Sie einen Analysator für ungenutzten Zugriff erstellen, um IAM Access Analyzer zu aktivieren, wird in Ihrem Konto eine serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForAccessAnalyzer erstellt.

So erstellen Sie einen Analysator für ungenutzten Zugriff mit der aktuellen Organisation

Gehen Sie wie folgt vor, um einen Analysator für ungenutzten Zugriff für eine Organisation zu erstellen, mit dem Sie alle Daten AWS-Konten in einer Organisation zentral überprüfen können. Bei der Analyse für ungenutzten Zugriff ändern sich die Ergebnisse für den Analysator nicht von Region zu Region. Es ist nicht erforderlich, in jeder Region, in der Sie über Ressourcen verfügen, einen Analysator zu erstellen.

IAM Access Analyzer erhebt Gebühren für die Analyse des ungenutzten Zugriffs. Sie entsprechen der Anzahl der pro Monat und pro Analysator analysierten IAM-Rollen und -Benutzer. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAM Access Analyzer.

Anmerkung

Wenn ein Mitgliedskonto aus der Organisation entfernt wird, generiert der Analysator für ungenutzten Zugriff nach 24 Stunden keine neuen Ergebnisse mehr und aktualisiert keine vorhandenen Ergebnisse mehr für dieses Konto. Ergebnisse im Zusammenhang mit dem Mitgliedskonto, das aus der Organisation entfernt wurde, werden nach 90 Tagen dauerhaft entfernt.

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Auf Analysator zugreifen.

  3. Wählen Sie Analysator-Einstellungen.

  4. Wählen Sie Analysator erstellen.

  5. Wählen Sie im Abschnitt Analyse die Option Ungenutzte Zugriffsanalyse aus.

  6. Geben Sie einen Namen für den Analysator ein.

  7. Geben Sie unter Nachverfolgungszeitraum die Anzahl der Tage ein, für die Ergebnisse für ungenutzte Berechtigungen generiert werden sollen. Wenn Sie beispielsweise 90 Tage eingeben, generiert der Analysator Ergebnisse für IAM-Entitäten innerhalb der Konten der ausgewählten Organisation und berücksichtigt dabei alle Berechtigungen, die innerhalb von 90 oder mehr Tagen seit dem letzten Scan des Analysators nicht verwendet wurden. Sie können einen Wert zwischen 1 und 180 Tagen wählen.

  8. Wählen Sie für Ausgewählte Konten die Option Aktuelle Organisation als ausgewählte Konten für den Analysator aus.

  9. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.

  10. Wählen Sie Absenden aus.

Wenn Sie einen Analysator für ungenutzten Zugriff erstellen, um IAM Access Analyzer zu aktivieren, wird in Ihrem Konto eine serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForAccessAnalyzer erstellt.

Status von IAM Access Analyzer

Um den Status Ihrer Analysatoren anzuzeigen, wählen Sie Analysatoren. Analysatoren, die für eine Organisation oder ein Konto erstellt wurden, können den folgenden Status haben:

Status Description

Aktiv

Der Analysator für externen Zugriff überwacht aktiv Ressourcen innerhalb seiner Vertrauenszone. Der Analysator generiert aktiv neue Erkenntnisse und aktualisiert vorhandene Erkenntnisse.

Bei Analysatoren für ungenutzten Zugriff überwacht der Analyzer aktiv den ungenutzten Zugriff innerhalb der ausgewählten Organisation oder AWS-Konto im angegebenen Nachverfolgungszeitraum. Der Analysator generiert aktiv neue Erkenntnisse und aktualisiert vorhandene Erkenntnisse.

Erstellen

Die Erstellung des Analysators ist noch im Gange. Der Analysator wird aktiv, sobald die Erstellung abgeschlossen ist.

Disabled

Der Analyzer ist aufgrund einer Aktion des AWS Organizations Administrators deaktiviert. Beispiel: Entfernen des Kontos des Analysators als delegierter Administrator für IAM Access Analyzer. Wenn sich der Analysator in einem deaktivierten Zustand befindet, generiert er keine neuen Ergebnisse oder aktualisiert keine vorhandenen Ergebnisse mehr.

Fehlgeschlagen

Die Erstellung des Analysators ist aufgrund eines Konfigurationsproblems fehlgeschlagen. Der Analysator generiert keine Ergebnisse. Löschen Sie den Analysator und erstellen Sie einen neuen Analysator.