Anzeigen von Informationen zum letzten Zugriff für IAM - AWS Identitäts- und Zugriffsverwaltung
Anzeigen von Informationen für IAM (Konsole)Anzeigen von Informationen für IAM (AWS CLI)Informationen für IAM (API) anzeigen AWS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Anzeigen von Informationen zum letzten Zugriff für IAM

Sie können die zuletzt aufgerufenen Informationen für IAM mithilfe der AWS API AWS Management Console AWS CLI, oder anzeigen. Hier finden Sie die Liste der Services und deren Aktionen, für die Informationen zum letzten Zugriff angezeigt werden. Weitere Informationen zu den Informationen zum letzten Zugriff finden Sie unter Verfeinerung der Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Sie können Informationen für die folgenden Ressourcentypen in IAM anzeigen. In jedem Fall enthalten die Informationen die zulässigen Services für den jeweiligen Berichtszeitraum:

  • Benutzer – Zeigt den letzten Zugriffsversuch des Benutzers auf jeden zulässigen Service an.

  • Benutzergruppe – Zeigt Informationen zum letzten Zugriffsversuch auf den Service durch ein Mitglied der Gruppe an. Dieser Bericht enthält auch die Gesamtzahl der Mitglieder, die versucht haben, auf den Service zuzugreifen.

  • Rolle – Zeigt den Zeitpunkt des letzten Zugriffsversuchs auf jeden zulässigen Service durch einen Benutzer mithilfe dieser Rolle an.

  • Richtlinie – Zeigt Informationen zum letzten Zugriffsversuch auf jeden zulässigen Service durch einen Benutzer oder eine Rolle an. Dieser Bericht enthält auch die Gesamtzahl der Entitäten, die versucht haben, auf den Service zuzugreifen.

Anmerkung

Bevor Sie die Zugriffsinformationen für eine Ressource in IAM anzeigen, stellen Sie sicher, dass Sie den Berichtszeitraum, die gemeldeten Entitäten und die ausgewerteten Richtlinientypen für Ihre Informationen verstehen. Weitere Details finden Sie unter Wissenswertes über die Informationen zum letzten Zugriff.

Anzeigen von Informationen für IAM (Konsole)

Sie können Informationen zum letzten Zugriff für IAM auf der Registerkarte Access Advisor (Advisor aufrufen) in der IAM-Konsole anzeigen.

So zeigen Sie Informationen für IAM an (Konsole)

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich entweder Groups (Gruppen), Users (Benutzer), Roles (Rollen) oder Policies (Richtlinien).

  3. Wählen Sie einen Benutzer, eine Gruppe, eine Rolle oder einen Richtliniennamen aus, um die Seite Summary (Details) zu öffnen, und klicken Sie auf die Registerkarte Access Advisor. Zeigen Sie die folgenden Informationen basierend auf der gewählten Ressource an:

    • Group (Gruppe) – Zeigt die Liste der Services an, auf die Gruppenmitglieder (Benutzer) zugreifen können. Sie können auch anzeigen, wann ein Mitglied zuletzt auf den Service zugegriffen hat, welche Gruppenrichtlinien es verwendet hat, und welches Gruppenmitglied die Anforderung gestellt hat. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie oder eine eingebundene Gruppenrichtlinie handelt. Wählen Sie den Namen des Gruppenmitglieds aus, um alle Mitglieder der Gruppe und deren letztes Service-Zugriffsdatum anzuzeigen.

    • User (Benutzer) – Zeigt die Liste der Services an, auf die der Benutzer zugreifen kann. Sie können auch anzeigen, wann der Benutzer zuletzt auf den Service zugegriffen hat und welche Richtlinien dem Benutzer aktuell zugeordnet sind. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie, eine Inline-Benutzerrichtlinie oder eine Inline-Richtlinie für die Gruppe handelt.

    • Rolle – Zeigen Sie die Liste der Services, auf die die Rolle zugreifen kann, das letzte Service-Zugriffsdatum der Rolle und die verwendeten Richtlinien an. Wählen Sie den Namen der Richtlinie aus, um zu erfahren, ob es sich um eine verwaltete Richtlinie oder eine eingebundene Rollenrichtlinie handelt.

    • Policy (Richtlinie) – Zeigt die Liste der Services mit zulässigen Aktionen in der Richtlinie an. Sie können auch anzeigen, wann die Richtlinie zuletzt für den Zugriff auf den Service verwendet wurde, und welche Entität (Benutzer oder Rolle) die Richtlinie verwendet hat. Das Datum des letzten Zugriffs umfasst auch den Zeitpunkt, zu dem der Zugriff auf diese Richtlinie über eine andere Richtlinie gewährt wurde. Wählen Sie den Namen der Entität aus, um zu erfahren, welchen Entitäten diese Richtlinie angefügt ist und wann diese zuletzt auf den Service zugegriffen haben.

  4. Wählen Sie in der Spalte Service der Tabelle den Namen eines der Services, der Informationen über die zuletzt aufgerufene Aktion enthält, um eine Liste der Verwaltungsaktionen anzuzeigen, auf die IAM-Entitäten versucht haben zuzugreifen. Sie können die AWS-Region und einen Zeitstempel anzeigen, der anzeigt, wann jemand zuletzt versucht hat, die Aktion auszuführen.

  5. Die Spalte Letzter Zugriff wird für Services und Verwaltungsaktionen der Services angezeigt, die Informationen zur Aktion enthalten, auf die zuletzt zugegriffen wurde. Überprüfen Sie die folgenden möglichen Ergebnisse, die in dieser Spalte zurückgegeben werden. Diese Ergebnisse hängen davon ab, ob ein Dienst oder eine Aktion zugelassen ist, ob auf sie zugegriffen wurde und ob die Informationen, auf die zuletzt zugegriffen wurde AWS , nachverfolgt werden.

    vor <number of> Tagen

    Die Anzahl der Tage, seitdem der Service oder die Aktion im Nachverfolgungszeitraum verwendet wurde. Der Nachverfolgungszeitraum für Services erstreckt sich über die letzten 400 Tage. Der Nachverfolgungszeitraum für Amazon S3 Aktionen begann am 12. April 2020. Der Nachverfolgungszeitraum für die Verwaltungsmaßnahmen von Amazon EC2, IAM und Lambda begann am 7. April 2021. Der Erfassungszeitraum für alle anderen Services begann am 23. Mai 2023. Weitere Informationen zu den jeweiligen AWS-Region Startdaten der Nachverfolgung finden Sie unterWo werden die AWS zuletzt aufgerufenen Informationen aufgezeichnet.

    Kein Zugriff im Nachverfolgungszeitraum

    Der nachverfolgte Service oder die Aktion wurde im Nachverfolgungszeitraum nicht von einer Entität verwendet.

    Es ist möglich, dass Sie Berechtigungen für eine Aktion haben, die nicht in der Liste angezeigt wird. Dies kann vorkommen, wenn die Nachverfolgungsinformationen für die Aktion derzeit nicht in AWS enthalten sind. Sie sollten keine Berechtigungsentscheidungen nur auf der Grundlage des Fehlens von Nachverfolgungsinformationen treffen. Stattdessen empfehlen wir, diese Informationen zu verwenden, um Ihre allgemeine Strategie für die Gewährung der geringsten Privilegien zu unterstützen. Überprüfen Sie Ihre Richtlinien, um zu bestätigen, dass die Zugriffsebene angemessen ist.

Anzeigen von Informationen für IAM (AWS CLI)

Sie können den verwenden AWS CLI , um Informationen darüber abzurufen, wann eine IAM-Ressource zum letzten Mal verwendet wurde, um auf AWS Services und Amazon S3-, Amazon EC2-, IAM- und Lambda-Aktionen zuzugreifen. Bei einer IAM-Ressource kann es sich um einen Benutzer, eine Gruppe, eine Rolle oder eine Richtlinie handeln.

So zeigen Sie Informationen für IAM (AWS CLI)

  1. Erstellen Sie einen Bericht. Die Anforderung muss den ARN der IAM-Ressource (Benutzer, Gruppe, Rolle oder Richtlinie) enthalten, für die Sie den Bericht erstellen möchten. Sie können die Granularität angeben, die Sie im Bericht generieren möchten, um Zugriffsdetails nur für Services oder für Services und Aktionen anzuzeigen. Die Anforderung gibt eine job-id zurück, die Sie in den Operationen get-service-last-accessed-details und get-service-last-accessed-details-with-entities nutzen können, um den job-status bis zum Abschluss des Auftrags zu überwachen.

  2. Rufen Sie Details zum Bericht mithilfe des Parameters job-id aus dem vorherigen Schritt ab.

    Mit dieser Operation werden abhängig von der Art der Ressource und der Granularität, die Sie in der Operation generate-service-last-accessed-details angefordert haben, die folgenden Informationen zurückgegeben:

    • Benutzer – Gibt eine Liste der Services zurück, auf die der angegebene Benutzer zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs des Benutzers sowie den ARN des Benutzers zurück.

    • Benutzergruppe – Gibt eine Liste der Services zurück, auf die Mitglieder der angegebenen Benutzergruppe mithilfe der an die Benutzergruppe angefügten Richtlinien zugreifen können. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs durch ein Mitglied der Gruppe (Benutzer) zurück. Außerdem werden der ARN dieses Benutzers sowie die Gesamtzahl der Gruppenmitglieder, die versucht haben, auf den Service zuzugreifen, zurückgegeben. Verwenden Sie den GetServiceLastAccessedDetailsWithEntitiesVorgang, um eine Liste aller Mitglieder abzurufen.

    • Rolle – Gibt eine Liste der Services zurück, auf die die angegebene Rolle zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs der Rolle sowie den ARN der Rolle zurück.

    • Richtlinie – Gibt eine Liste der Services zurück, auf die die angegebene Richtlinie Zugriff gewährt. Die Operation gibt für jeden Service Datum und Uhrzeit des letzten Zugriffsversuch auf den Service durch eine Entität (Benutzer oder Rolle) mithilfe der Richtlinie zurück. Außerdem werden der ARN der Entität sowie die Gesamtzahl der Entitäten, die versucht haben, auf den Service zuzugreifen, zurückgegeben.

  3. Weitere Informationen zu den Entitäten, die mithilfe von Gruppen- oder Richtlinienberechtigungen versucht haben, auf einen bestimmten Service zuzugreifen. Diese Operation gibt eine Liste der Entitäten einschließlich ARN, ID, Name, Pfad, Typ (Benutzer oder Rolle) und letztem Service-Zugriffsdatum jeder Entität zurück. Sie können diese Operation auch für Benutzer und Rollen verwenden. Es werden jedoch nur Informationen zu dieser Entität zurückgegeben.

  4. Weitere Informationen zu den identitätsbasierten Richtlinien, die eine Identität (Benutzer, Gruppe oder Rolle) verwendet hat, um auf einen bestimmten Service zuzugreifen. Wenn Sie eine Identität und einen Service angeben, gibt diese Operation eine Liste der Berechtigungsrichtlinien zurück, die die Identität nutzen kann, um auf den angegebenen Service zuzugreifen. Diese Operation gibt den aktuellen Status der Richtlinien zurück und ist unabhängig von dem erzeugten Bericht. Es werden auch keine anderen Richtlinientypen wie ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations -Richtlinien,IAM-Berechtigungsgrenzen oder Sitzungsrichtlinien zurückgegeben. Weitere Informationen finden Sie unter Richtlinientypen oder Auswerten von Richtlinien in einem einzelnen Konto.

Informationen für IAM (API) anzeigen AWS

Sie können die AWS API verwenden, um Informationen darüber abzurufen, wann eine IAM-Ressource zum letzten Mal verwendet wurde, um auf AWS Services und Amazon S3-, Amazon EC2-, IAM- und Lambda-Aktionen zuzugreifen. Bei einer IAM-Ressource kann es sich um einen Benutzer, eine Gruppe, eine Rolle oder eine Richtlinie handeln. Sie können die Granularität angeben, die Sie im Bericht generieren möchten, um Details nur für Services oder für Services und Aktionen anzuzeigen.

Um Informationen für IAM (API) anzuzeigen AWS

  1. Erstellen Sie einen Bericht. Die Anforderung muss den ARN der IAM-Ressource (Benutzer, Gruppe, Rolle oder Richtlinie) enthalten, für die Sie den Bericht erstellen möchten. Es wird eine JobId zurückgegeben, die Sie in den Operationen GetServiceLastAccessedDetails und GetServiceLastAccessedDetailsWithEntities nutzen können, um den JobStatus bis zum Abschluss des Auftrags zu überwachen.

  2. Rufen Sie Details zum Bericht mithilfe des Parameters JobId aus dem vorherigen Schritt ab.

    Mit dieser Operation werden abhängig von der Art der Ressource und der Granularität, die Sie in der Operation GenerateServiceLastAccessedDetails angefordert haben, die folgenden Informationen zurückgegeben:

    • Benutzer – Gibt eine Liste der Services zurück, auf die der angegebene Benutzer zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs des Benutzers sowie den ARN des Benutzers zurück.

    • Benutzergruppe – Gibt eine Liste der Services zurück, auf die Mitglieder der angegebenen Benutzergruppe mithilfe der an die Benutzergruppe angefügten Richtlinien zugreifen können. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs durch ein Mitglied der Gruppe (Benutzer) zurück. Außerdem werden der ARN dieses Benutzers sowie die Gesamtzahl der Gruppenmitglieder, die versucht haben, auf den Service zuzugreifen, zurückgegeben. Verwenden Sie den GetServiceLastAccessedDetailsWithEntitiesVorgang, um eine Liste aller Mitglieder abzurufen.

    • Rolle – Gibt eine Liste der Services zurück, auf die die angegebene Rolle zugreifen kann. Für jeden Service gibt die Operation das Datum und die Uhrzeit des letzten Zugriffsversuchs der Rolle sowie den ARN der Rolle zurück.

    • Richtlinie – Gibt eine Liste der Services zurück, auf die die angegebene Richtlinie Zugriff gewährt. Die Operation gibt für jeden Service Datum und Uhrzeit des letzten Zugriffsversuch auf den Service durch eine Entität (Benutzer oder Rolle) mithilfe der Richtlinie zurück. Außerdem werden der ARN der Entität sowie die Gesamtzahl der Entitäten, die versucht haben, auf den Service zuzugreifen, zurückgegeben.

  3. Weitere Informationen zu den Entitäten, die mithilfe von Gruppen- oder Richtlinienberechtigungen versucht haben, auf einen bestimmten Service zuzugreifen. Diese Operation gibt eine Liste der Entitäten einschließlich ARN, ID, Name, Pfad, Typ (Benutzer oder Rolle) und letztem Service-Zugriffsdatum jeder Entität zurück. Sie können diese Operation auch für Benutzer und Rollen verwenden. Es werden jedoch nur Informationen zu dieser Entität zurückgegeben.

  4. Weitere Informationen zu den identitätsbasierten Richtlinien, die eine Identität (Benutzer, Gruppe oder Rolle) verwendet hat, um auf einen bestimmten Service zuzugreifen. Wenn Sie eine Identität und einen Service angeben, gibt diese Operation eine Liste der Berechtigungsrichtlinien zurück, die die Identität nutzen kann, um auf den angegebenen Service zuzugreifen. Diese Operation gibt den aktuellen Status der Richtlinien zurück und ist unabhängig von dem erzeugten Bericht. Es werden auch keine anderen Richtlinientypen wie ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations -Richtlinien,IAM-Berechtigungsgrenzen oder Sitzungsrichtlinien zurückgegeben. Weitere Informationen finden Sie unter Richtlinientypen oder Auswerten von Richtlinien in einem einzelnen Konto.