Integrieren Sie IAM Access Analyzer mit AWS Security Hub - AWS Identitäts- und Zugriffsverwaltung
Wie IAM Access Analyzer Ergebnisse an Security Hub sendetIAMAccess Analyzer-Ergebnisse in Security Hub anzeigenTypische Ergebnisse von IAM Access AnalyzerAktivieren und Konfigurieren der IntegrationSo beenden Sie das Senden von Ergebnissen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Integrieren Sie IAM Access Analyzer mit AWS Security Hub

AWS Security Hubbietet einen umfassenden Überblick über Ihren Sicherheitsstatus in allen Bereichen AWS. Es hilft Ihnen, Ihre Umgebung anhand von Industriestandards und Best Practices im Bereich Sicherheit zu bewerten. Security Hub sammelt Sicherheitsdaten von überall AWS-Konten, Dienste und unterstützte Produkte von Drittanbietern. Anschließend werden Ihre Sicherheitstrends analysiert und die Sicherheitsprobleme mit der höchsten Priorität identifiziert.

Wenn Sie IAM Access Analyzer in Security Hub integrieren, können Sie Ergebnisse von IAM Access Analyzer an Security Hub senden. Security Hub kann diese Ergebnisse dann in die Analyse Ihres allgemeinen Sicherheitsstatus einbeziehen.

Wie IAM Access Analyzer Ergebnisse an Security Hub sendet

Im Security Hub werden Sicherheitsprobleme als Erkenntnisse verfolgt. Einige Ergebnisse stammen aus Problemen, die von anderen erkannt wurden AWS-Services oder von Drittanbietern. Security Hub verwendet ebenfalls verschiedene Regeln, um Sicherheitsprobleme zu erkennen und Ergebnisse zu generieren.

Security Hub bietet Tools zur Verwaltung von Erkenntnissen aus all diesen Quellen. Sie können Ergebnislisten anzeigen und filtern und detaillierte Informationen zu jedem Ergebnis abrufen. Weitere Informationen finden Sie unter Ergebnisse anzeigen im AWS Security Hub Benutzerleitfaden. Sie können auch den Status der Untersuchungen zu Ergebnissen verfolgen. Weitere Informationen finden Sie unter Maßnahmen aufgrund von Ergebnissen ergreifen in der AWS Security Hub Benutzerleitfaden.

Alle Ergebnisse in Security Hub verwenden ein JSON Standardformat namens AWS Format für Sicherheitslücken (ASFF). Das ASFF enthält Einzelheiten zur Ursache des Problems, zu den betroffenen Ressourcen und zum aktuellen Status der Sicherheitslücke. Weitere Informationen finden Sie unter AWS Format für ASFF Sicherheitsbefunde () im AWS Security Hub Benutzerhandbuch.

AWS Identity and Access Management Access Analyzer ist einer der AWS-Services das sendet Ergebnisse an Security Hub. Bei ungenutztem Zugriff erkennt IAM Access Analyzer ungenutzten Zugriff, der IAM Benutzern oder Rollen gewährt wurde, und generiert für jeden von ihnen einen Befund. IAMAccess Analyzer sendet diese Ergebnisse dann an Security Hub.

Beim externen Zugriff erkennt IAM Access Analyzer Richtlinienerklärungen, die den öffentlichen oder kontoübergreifenden Zugriff auf externe Prinzipale auf unterstützte Ressourcen in Ihrer Organisation oder Ihrem Konto ermöglichen. IAMAccess Analyzer generiert einen Befund für den öffentlichen Zugriff und sendet ihn an Security Hub. Für den kontenübergreifenden Zugriff sendet IAM Access Analyzer jeweils einen einzigen Befund für jeweils einen externen Prinzipal an Security Hub. Wenn IAM Access Analyzer mehrere kontenübergreifende Ergebnisse enthält, müssen Sie den Security Hub Hub-Befund für den einzelnen externen Prinzipal auflösen, bevor IAM Access Analyzer den nächsten kontenübergreifenden Befund liefert. Um eine vollständige Liste der externen Prinzipale mit kontenübergreifendem Zugriff außerhalb der Vertrauenszone für den Analyzer anzuzeigen, müssen Sie sich die Ergebnisse in Access Analyzer ansehen. IAM

Arten von Ergebnissen, die IAM Access Analyzer sendet

IAMAccess Analyzer sendet die Ergebnisse an Security Hub mithilfe der AWS Format für Sicherheitsbefunde (ASFF). In gibt ASFF das Types Feld den Typ des Befundes an. Ergebnisse aus IAM Access Analyzer können die folgenden Werte für habenTypes.

  • Ergebnisse zum externen Zugriff – Auswirkungen/Offenlegung von Daten/gewährter externer Zugriff

  • Ergebnisse des externen Zugriffs — Software- und Konfigurationsprüfungen/AWS Bewährte Methoden im Bereich Sicherheit/Externer Zugriff gewährt

  • Ergebnisse ungenutzter Zugriffe — Software- und Konfigurationsprüfungen/AWS Bewährte Methoden zur Sicherheit/Ungenutzte Berechtigungen

  • Ergebnisse ungenutzter Zugriffe — Software- und Konfigurationsprüfungen/AWS Bewährte Methoden im Bereich Sicherheit/Ungenutzte Rolle IAM

  • Ergebnisse ungenutzter Zugriffe — Software- und Konfigurationsprüfungen/AWS Bewährte Methoden zur Sicherheit/Unbenutztes Benutzerkennwort IAM

  • Ergebnisse ungenutzter Zugriffe — Software- und Konfigurationsprüfungen/AWS Bewährte Methoden zur Sicherheit/Ungenutzter Benutzerzugriffsschlüssel IAM

Latenz für das Senden von Erkenntnissen

Wenn IAM Access Analyzer ein neues Ergebnis erstellt, wird es normalerweise innerhalb von 30 Minuten an Security Hub gesendet. Es gibt jedoch seltene Fälle, in denen IAM Access Analyzer möglicherweise nicht über eine Richtlinienänderung informiert wird. Beispielsweise:

  • Es kann bis zu 12 Stunden dauern, bis Änderungen an den Einstellungen für die Sperrung des öffentlichen Zugriffs auf Amazon S3 S3-Kontoebene in IAM Access Analyzer übernommen werden.

  • Wenn es ein Lieferproblem gibt mit AWS CloudTrail Bei der Protokollzustellung führt eine Änderung der Richtlinie möglicherweise nicht zu einem erneuten Scannen der Ressource, die im Ergebnis gemeldet wurde.

In diesen Situationen analysiert IAM Access Analyzer die neue oder aktualisierte Richtlinie beim nächsten regelmäßigen Scan.

Wiederholen, wenn der Security Hub nicht verfügbar ist

Wenn Security Hub nicht verfügbar ist, versucht IAM Access Analyzer in regelmäßigen Abständen erneut, die Ergebnisse zu senden.

Aktualisieren von vorhandenen Erkenntnissen in Security Hub

Nach dem Senden eines Ergebnisses an Security Hub sendet IAM Access Analyzer weiterhin Updates, um alle zusätzlichen Beobachtungen der Findungsaktivität an Security Hub widerzuspiegeln. Diese Aktualisierungen spiegeln sich in demselben Ergebnis wider.

Bei Ergebnissen aus dem externen IAM Zugriff gruppiert Access Analyzer sie nach Ressourcen. In Security Hub bleibt die Suche für eine Ressource aktiv, wenn mindestens einer der Ergebnisse für diese Ressource in IAM Access Analyzer aktiv ist. Wenn alle Ergebnisse in IAM Access Analyzer für eine Ressource archiviert oder behoben wurden, wird auch der Security Hub Hub-Befund archiviert. Der Security Hub Hub-Befund wird aktualisiert, wenn der Richtlinienzugriff zwischen öffentlichem Zugriff und kontoübergreifendem Zugriff wechselt. Diese Aktualisierung kann Änderungen am Typ, Titel, an der Beschreibung und am Schweregrad des Ergebnisses umfassen.

Bei ungenutzten Zugriffsergebnissen gruppiert IAM Access Analyzer sie nicht nach Ressourcen. Wenn stattdessen ein unbenutztes Zugriffsergebnis in IAM Access Analyzer aufgelöst wird, wird auch das entsprechende Security Hub Hub-Ergebnis aufgelöst. Das Security Hub Hub-Ergebnis wird aktualisiert, wenn Sie den IAM Benutzer oder die Rolle aktualisieren, die den ungenutzten Zugriffsergebnis generiert hat.

IAMAccess Analyzer-Ergebnisse in Security Hub anzeigen

Um Ihre IAM Access Analyzer-Ergebnisse in Security Hub anzuzeigen, wählen Sie Ergebnisse anzeigen in der AWS: IAM Access Analyzer-Abschnitt auf der Übersichtsseite. Alternativ können Sie im Navigationsbereich die Option „Ergebnisse“ auswählen. Sie können die Ergebnisse dann so filtern, dass sie nur angezeigt werden AWS Identity and Access Management Access Analyzer Ergebnisse, indem Sie das Feld Produktname: mit dem Wert auswählenIAM Access Analyzer.

Interpretieren der Namenssuche von IAM Access Analyzer in Security Hub

AWS Identity and Access Management Access Analyzer sendet die Ergebnisse an Security Hub mit dem AWS Format für Sicherheitslücken (ASFF). ASFFIn gibt das Feld Typen den Suchtyp an. ASFFTypen verwenden ein anderes Benennungsschema als AWS Identity and Access Management Access Analyzer. Die folgende Tabelle enthält Einzelheiten zu allen ASFF Typen, die mit verknüpft sind AWS Identity and Access Management Access Analyzer Ergebnisse, wie sie im Security Hub erscheinen.

ASFFTyp finden Security Hub Beschreibung
Auswirkungen/Offenlegung von Daten/Externer Zugriff gewährt <resource ARN > ermöglicht öffentlichen Zugriff Eine ressourcenbasierte Richtlinie, die der Ressource zugewiesen ist, ermöglicht allen externen Prinzipalen den öffentlichen Zugriff auf die Ressource.
Software- und Konfigurationsprüfungen/AWS Bewährte Methoden im Bereich Sicherheit/Externer Zugriff gewährt <resource ARN > ermöglicht kontoübergreifenden Zugriff Eine ressourcenbasierte Richtlinie, die der Ressource zugewiesen ist, ermöglicht dem Analysator kontoübergreifenden Zugriff auf externe Prinzipale außerhalb der Vertrauenszone.
Software- und Konfigurationsprüfungen/AWS Bewährte Methoden zur Sicherheit/Ungenutzte Berechtigungen <resource ARN > enthält ungenutzte Berechtigungen Ein Benutzer oder eine Rolle enthält ungenutzte Service- und Aktionsberechtigungen.
Software- und Konfigurationsprüfungen/AWS Bewährte Methoden im Bereich Sicherheit/Ungenutzte Rolle IAM <resource ARN > enthält eine ungenutzte Rolle IAM Ein Benutzer oder eine Rolle enthält eine ungenutzte IAM Rolle.
Software- und Konfigurationsprüfungen/AWS Bewährte Methoden zur Sicherheit/Unbenutztes Benutzerkennwort IAM <resource ARN > enthält ein unbenutztes Benutzerkennwort IAM Ein Benutzer oder eine Rolle enthält ein unbenutztes IAM Benutzerkennwort.
Software- und Konfigurationsprüfungen/AWS Bewährte Methoden zur Sicherheit/Unbenutzter Benutzerzugriffsschlüssel IAM <resource ARN > enthält einen unbenutzten Benutzerzugriffsschlüssel IAM Ein Benutzer oder eine Rolle enthält einen unbenutzten IAM Benutzerzugriffsschlüssel.

Typische Ergebnisse von IAM Access Analyzer

IAMAccess Analyzer sendet Ergebnisse an Security Hub mithilfe der AWS Format für Sicherheitslücken (ASFF).

Hier ist ein Beispiel für ein typisches Ergebnis von IAM Access Analyzer für externe Zugriffsergebnisse.

{
    "SchemaVersion": "2018-10-08",
    "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/my-analyzer/arn:aws:s3:::amzn-s3-demo-bucket",
    "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
    "GeneratorId": "aws/access-analyzer",
    "AwsAccountId": "111122223333",
    "Types": ["Software and Configuration Checks/AWS Security Best Practices/External Access Granted"],
    "CreatedAt": "2020-11-10T16:17:47Z",
    "UpdatedAt": "2020-11-10T16:43:49Z",
    "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
    },
    "Title": "AwsS3Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access",
    "Description": "AWS::S3::Bucket/arn:aws:s3:::amzn-s3-demo-bucket/ allows cross-account access from AWS 444455556666",
    "Remediation": {
        "Recommendation": {"Text": "If the access isn't intended, it indicates a potential security risk. Use the console for the resource to modify or remove the policy that grants the unintended access. You can use the Rescan button on the Finding details page in the Access Analyzer console to confirm whether the change removed the access. If the access is removed, the status changes to Resolved."}
    },
    "SourceUrl": "https://console.aws.amazon.com/access-analyzer/home?region=us-west-2#/findings/details/dad90d5d-63b4-6575-b0fa-ef9c556ge798",
    "Resources": [
        {
            "Type": "AwsS3Bucket",
            "Id": "arn:aws:s3:::amzn-s3-demo-bucket",
            "Details": {
                "Other": {
                    "External Principal Type": "AWS",
                    "Condition": "none",
                    "Action Granted": "s3:GetObject,s3:GetObjectVersion",
                    "External Principal": "444455556666"
                }
            }
        }
    ],
    "WorkflowState": "NEW",
    "Workflow": {"Status": "NEW"},
    "RecordState": "ACTIVE"
}

Hier ist ein Beispiel für ein typisches Ergebnis von IAM Access Analyzer für ungenutzte Zugriffsergebnisse.

{
    "Findings": [
    {
      "SchemaVersion": "2018-10-08",
      "Id": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "ProductArn": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer",
      "ProductName": "IAM Access Analyzer",
      "CompanyName": "AWS",
      "Region": "us-west-2",
      "GeneratorId": "aws/access-analyzer",
      "AwsAccountId": "111122223333",
      "Types": [
        "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
      ],
      "CreatedAt": "2023-09-18T16:29:09.657Z",
      "UpdatedAt": "2023-09-21T20:39:16.651Z",
      "Severity": {
        "Product": 1,
        "Label": "LOW",
        "Normalized": 1
      },
      "Title": "AwsIamRole/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused permissions",
      "Description": "AWS::IAM::Role/arn:aws:iam::111122223333:role/IsengardRole-DO-NOT-DELETE/ contains unused service and action-level permissions",
      "Remediation": {
        "Recommendation": {
          "Text":"If the unused permissions aren’t required, delete the permissions to refine access to your account. Use the IAM console to modify or remove the policy that grants the unused permissions. If all the unused permissions are removed, the status of the finding changes to Resolved."
        }
      },
      "SourceUrl": "https://us-west-2.console.aws.amazon.com/access-analyzer/home?region=us-west-2#/unused-access-findings?resource=arn%3Aaws%3Aiam%3A%3A903798373645%3Arole%2FTestRole",
      "ProductFields": {
      "numberOfUnusedActions": "256",
      "numberOfUnusedServices": "15",
      "resourceOwnerAccount": "111122223333",
      "findingId": "DEMO24d8d-0d3f-4d3d-99f4-299fc8a62ee7",
      "findingType": "UnusedPermission",
      "aws/securityhub/FindingId": "arn:aws:securityhub:us-west-2::product/aws/access-analyzer/arn:aws:access-analyzer:us-west-2:111122223333:analyzer/integTestAnalyzer-DO-NOT-DELETE/arn:aws:iam::111122223333:role/TestRole/UnusedPermissions",
      "aws/securityhub/ProductName": "AM Access Analyzer",
      "aws/securityhub/CompanyName": "AWS"
    },
    "Resources": [
    {
      "Type": "AwsIamRole",
      "Id": "arn:aws:iam::111122223333:role/TestRole"
    }
  ],
  "WorkflowState": "NEW",
  "Workflow": {
    "Status": "NEW"
    },
  "RecordState": "ARCHIVED",
  "FindingProviderFields": {
    "Severity": {
      "Label": "LOW"
    },
    "Types": [
    "Software and Configuration Checks/AWS Security Best Practices/Unused Permission"
    ]
  }
  }
]
}

Aktivieren und Konfigurieren der Integration

Um die Integration mit Security Hub verwenden zu können, müssen Sie den Security Hub aktivieren. Informationen zur Aktivierung von Security Hub finden Sie unter Security Hub einrichten in der AWS Security Hub Benutzerleitfaden.

Wenn Sie sowohl IAM Access Analyzer als auch Security Hub aktivieren, wird die Integration automatisch aktiviert. IAMAccess Analyzer beginnt sofort, Ergebnisse an Security Hub zu senden.

So beenden Sie das Senden von Ergebnissen

Um das Senden von Ergebnissen an Security Hub zu beenden, können Sie entweder die Security Hub Hub-Konsole oder die verwendenAPI.

Siehe Den Fluss von Ergebnissen aus einer Integration deaktivieren und aktivieren (Konsole) oder Den Fluss von Ergebnissen aus einer Integration deaktivieren (Security Hub, API AWS CLI) in der AWS Security Hub Benutzeranleitung.