Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
In diesem Thema werden die Konzepte und Begriffe beschrieben, die in IAM Access Analyzer verwendet werden, damit Sie sich damit vertraut machen können, wie IAM Access Analyzer den Zugriff auf Ihre AWS-Ressourcen überwacht.
Ergebnisse zum externen Zugriff
Ergebnisse zum externen Zugriff werden für jede Instance einer Ressource, die außerhalb Ihrer Vertrauenszone freigegeben wird, nur einmal generiert. Jedes Mal, wenn eine ressourcenbasierte Richtlinie geändert wird, analysiert IAM Access Analyzer die Richtlinie. Wenn die aktualisierte Richtlinie eine Ressource freigibt, die bereits mit anderen Berechtigungen oder Bedingungen in einem Ergebnis identifiziert wurde, wird für diese Instance der Ressourcenfreigabe ein neues Ergebnis generiert. Wenn der Zugriff im ersten Ergebnis entfernt wird, erhält dieses Ergebnis den Status Gelöst.
Der Status aller Ergebnisse bleibt Aktiv, bis Sie sie archivieren oder den Zugriff, der das Ergebnis generiert hat, entfernen. Wenn Sie den Zugriff entfernen, wird der Ergebnisstatus auf Gelöst aktualisiert.
Anmerkung
Es kann bis zu 30 Minuten dauern, nachdem eine Richtlinie geändert wurde, damit IAM Access Analyzer die Ressource analysiert und das Ergebnis zum externen Zugriff aktualisiert. Änderungen an einer Ressourcenkontrollrichtlinie (RCP) lösen keine erneute Suche der in dem Erkenntnis gemeldeten Ressource aus. IAM Access Analyzer analysiert die neue oder aktualisierte Richtlinie bei der nächsten periodischen Überprüfung, die innerhalb von 24 Stunden stattfindet.
So generiert IAM Access Analyzer Erkenntnisse für externen Zugriff
AWS Identity and Access Management Access Analyzer verwendet eine Technologie namens Zelkova
Zelkova übersetzt IAM-Richtlinien in äquivalente logische Aussagen und führt sie durch eine Reihe allgemeiner und spezialisierter logischer Löser (Erfüllbarkeits-Modulo-Theorien). IAM Access Analyzer wendet Zelkova wiederholt auf eine Richtlinie an und verwendet dabei zunehmend spezifische Abfragen, um die Zugriffsarten zu charakterisieren, die die Richtlinie basierend auf ihrem Inhalt zulässt. Weitere Informationen zu den Satisfiability Modulo-Theorien finden Sie unter Satisfiability Modulo-Theorien
Bei Analyzer für externen Zugriff überprüft IAM Access Analyzer keine Zugriffsprotokolle, um festzustellen, ob eine externe Entität auf eine Ressource innerhalb Ihrer Vertrauenszone zugegriffen hat. Stattdessen wird eine Erkenntnis generiert, wenn eine ressourcenbasierte Richtlinie den Zugriff auf eine Ressource zulässt, unabhängig davon, ob die externe Entität auf die Ressource zugegriffen hat.
Darüber hinaus berücksichtigt IAM Access Analyzer nicht den Status externer Konten bei der Ermittlung. Wenn angegeben wird, dass das Konto 111122223333 auf Ihren Amazon-S3-Bucket zugreifen kann, liegen keine Informationen zu den Benutzern, Rollen, Service-Kontrollrichtlinien (SCP) oder anderen relevanten Konfigurationen in diesem Konto vor. Dies dient dem Datenschutz der Kunden, da IAM Access Analyzer nicht weiß, wem das andere Konto gehört. Dies dient auch der Sicherheit, da es wichtig ist, über potenzielle externe Zugriffe Bescheid zu wissen, auch wenn derzeit keine aktiven Prinzipale vorhanden sind, die diesen nutzen können.
IAM Access Analyzer berücksichtigt nur bestimmte IAM-Bedingungsschlüssel, auf die externe Benutzer keinen direkten Einfluss haben oder die sich auf andere Weise auf die Autorisierung auswirken. Beispiele für Bedingungsschlüssel, die IAM Access Analyzer berücksichtigt, finden Sie unter Filterschlüssel für IAM Access Analyzer.
IAM Access Analyzer meldet derzeit keine Erkenntnisse von AWS-Service-Prinzipalen oder internen Service-Konten. In seltenen Fällen, in denen nicht eindeutig festgestellt werden kann, ob eine Richtlinienanweisung einer externen Entität Zugriff gewährt, besteht die Gefahr, dass ein falsch positives Erkenntnis ausgegeben wird. Dies liegt daran, dass IAM Access Analyzer darauf ausgelegt ist, einen umfassenden Überblick über die Ressourcenfreigabe in Ihrem Konto zu bieten und falsch-negative Ergebnisse zu minimieren.
Ergebnisse zum ungenutzten Zugriff
Ergebnisse zum ungenutzten Zugriff werden für IAM-Entitäten innerhalb des ausgewählten Kontos oder der Organisation basierend auf der Anzahl von Tagen generiert, die bei der Erstellung des Analysators angegeben wurde. Wenn der Analysator die Entitäten das nächste Mal scannt, wird ein neues Ergebnis generiert, wenn eine der folgenden Bedingungen erfüllt ist:
-
Eine Rolle ist für die angegebene Anzahl von Tagen inaktiv.
-
Eine ungenutzte Berechtigung, ein ungenutztes Benutzerpasswort oder ein ungenutzter Benutzerzugriffsschlüssel überschreitet die angegebene Anzahl von Tagen.
Anmerkung
Erkenntnisse zum ungenutzten Zugriff sind nur über die API-Aktion ListFindingsV2 verfügbar.
So generiert IAM Access Analyzer Erkenntnisse für ungenutzten Zugriff
Um ungenutzte Zugriffe zu analysieren, müssen Sie für Ihre Rollen einen separaten Analyzer für Erkenntnisse zu ungenutzten Zugriffen erstellen, auch wenn Sie bereits einen Analyzer zum Generieren von Erkenntnissen zu externen Zugriffen für Ihre Ressourcen erstellt haben.
Nach der Erstellung des Analyzers für ungenutzten Zugriff überprüft der IAM Access Analyzer die Zugriffsaktivität, um ungenutzten Zugriff zu identifizieren. IAM Access Analyzer untersucht die zuletzt aufgerufenen Informationen für alle Rollen, Benutzer-Zugriffsschlüssel und Benutzerpasswörter in Ihrer AWS-Organisation und allen Konten. Auf diese Weise können Sie ungenutzten Zugriff identifizieren.
Für aktive IAM-Rollen und Benutzer verwendet IAM Access Analyzer Informationen über den letzten Zugriff auf IAM-Services und -Aktionen, um ungenutzte Berechtigungen zu identifizieren. Dadurch können Sie Ihren Überprüfungsprozess auf AWS-Organisations- und Kontoebene skalieren. Sie können die Informationen zum letzten Zugriff auf die Aktion auch für eine eingehendere Untersuchung einzelner Rollen verwenden. Dadurch erhalten Sie einen genaueren Einblick darüber, welche spezifischen Berechtigungen nicht genutzt werden.
Durch die Erstellung eines Analyzer für ungenutzten Zugriffe, können Sie ungenutzte Zugriffe in Ihrer gesamten AWS-Umgebung umfassend überprüfen und identifizieren und so die von Ihrem vorhandenen Analyzer für externe Zugriffe generierten Erkenntnisse ergänzen.