Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verfeinerung der Berechtigungen in AWS anhand der Informationen über den letzten Zugriff
Als Administrator können Sie Berechtigungen für IAM-Ressourcen (Rollen, Benutzer, Benutzergruppen oder Richtlinien) gewähren, die über ihre Anforderungen hinausgehen. IAM bietet Informationen zum jeweils letzten Zugriff auf diese Informationen, anhand derer Sie nicht verwendete Berechtigungen identifizieren und diese dann entfernen können. Sie können die Informationen zum letzten Zugriff verwenden, um Ihre Richtlinien zu verfeinern und den Zugriff nur auf Services und Aktionen zu gewähren, die Ihre IAM-Identitäten und -Richtlinien verwenden. Auf diese Weise können Sie besser die bewährten Methoden der geringsten Rechte befolgen. Sie können Informationen zum letzten Zugriff für Identitäten oder Richtlinien anzeigen, die in IAM oder AWS Organizations vorhanden sind.
Sie können die zuletzt abgerufenen Informationen mit Analysatoren für ungenutzten Zugriff kontinuierlich überwachen. Weitere Informationen finden Sie unter Ergebnisse für externen und ungenutzten Zugriff.
Themen
- Informationstypen zum letzten Zugriff für IAM
- Informationen zum letzten Zugriff für AWS Organizations
- Wissenswertes über die Informationen zum letzten Zugriff
- Erforderliche Berechtigungen
- Fehlerbehebungsaktivitäten für IAM und Organizationsentität
- Wo AWS die Informationen zum letzten Zugriff nachverfolgt
- Anzeigen von Informationen zum letzten Zugriff für IAM
- So zeigen Sie Informationen zum letzten Zugriff für Organizations an
- Beispielszenarien für die Verwendung von Informationen zum letzten Zugriff
- IAM-Aktion, zuletzt aufgerufene Informationsservices und Aktionen
Informationstypen zum letzten Zugriff für IAM
Sie können zwei Arten von Informationen über die letzten Zugriffe auf IAM-Identitäten anzeigen: Informationen über genehmigte AWS-Services und Informationen über genehmigte Aktionen. Zu den Informationen gehören Datum und Uhrzeit des Zugriffsversuchs auf eine AWS-API. Bei Aktionen werden die zuletzt aufgerufenen Informationen über Service-Verwaltungsaktionen gemeldet. Managementaktionen umfassen Erstellungs-, Lösch- und Änderungsaktionen. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff für IAM finden Sie unter Anzeigen von Informationen zum letzten Zugriff für IAM.
Beispielszenarien zur Verwendung der Informationen zum letzten Zugriff für Entscheidungen zu den Berechtigungen für Ihre IAM-Identitäten finden Sie unter Beispielszenarien für die Verwendung von Informationen zum letzten Zugriff.
Weitere Informationen dazu, wie die Informationen für Managementaktionen bereitgestellt werden, finden Sie unter Wissenswertes über die Informationen zum letzten Zugriff.
Informationen zum letzten Zugriff für AWS Organizations
Wenn Sie sich mithilfe der Anmeldeinformationen für das Hauptkonto anmelden, können Sie auch die Informationen zum letzten Service-Zugriff für eine AWS Organizations-Entität oder -Richtlinie in Ihrer Organisation anzeigen lassen. Zu den AWS Organizations-Entitäten gehören der Organisationsstamm, Organisationseinheiten (OUs) oder Konten. Die Informationen zum letzten Zugriff für AWS Organizations beinhalten Informationen zu Services, die durch eine Service-Kontrollrichtlinie (Service Control Policy, SCP) zugelassen sind. Die Informationen geben an, welche Prinzipale (Root-Benutzer, IAM-Benutzer oder Rolle) in einer Organisation oder einem Konto zuletzt versucht haben, auf den Service zuzugreifen und wann. Weitere Informationen zum Bericht und zum Anzeigen der Informationen zum letzten Zugriff für AWS Organizations finden Sie unter So zeigen Sie Informationen zum letzten Zugriff für Organizations an.
Beispielszenarien zur Verwendung der Informationen zum letzten Zugriff für Entscheidungen zu den Berechtigungen für Ihre Organizations-Entitäten finden Sie unter Beispielszenarien für die Verwendung von Informationen zum letzten Zugriff.
Wissenswertes über die Informationen zum letzten Zugriff
Bevor Sie anhand der Informationen zum letzten Zugriff aus einem Bericht die Berechtigungen für eine IAM-Identität oder -Entität ändern, überprüfen Sie die folgenden Details zu den Informationen.
-
Nachverfolgungszeitraum – Die kürzlich erfolgten Aktivitäten werden innerhalb von vier Stunden in der IAM-Konsole angezeigt. Der Nachverfolgungszeitraum für Service-Informationen beträgt mindestens 400 Tage, je nachdem, wann der Service mit der Nachverfolgung von Aktionsinformationen begonnen hat. Der Nachverfolgungszeitraum für Amazon S3 Aktionsinformationen begann am 12. April 2020. Der Nachverfolgungszeitraum für Amazon EC2, IAM- und Lambda-Aktionen begann am 7. April 2021. Der Nachverfolgungszeitraum für alle anderen Services begann am 23. Mai 2023. Eine Liste der Services, für die Informationen über die zuletzt aufgerufene Aktion verfügbar sind, finden Sie unter IAM-Aktion, zuletzt aufgerufene Informationsservices und Aktionen. Weitere Informationen darüber, in welchen Regionen die Aktion zuletzt aufgerufen wurde, finden Sie unter Wo AWS die Informationen zum letzten Zugriff nachverfolgt.
-
Gemeldete Zugriffsversuche – Die Angaben des letzten Service-Zugriffsdatums umfassen alle Zugriffsversuche auf ein AWS-API, nicht nur die erfolgreichen Zugriffe. Sie umfassen alle Zugriffsversuche über die AWS Management Console, die AWS-API über beliebige SDKs oder das Befehlszeilen-Tool. Ein unerwarteter Eintrag als letztes Service-Zugriffsdatum bedeutet nicht, dass Ihr Konto beschädigt oder infiziert worden ist, da der Zugriff möglicherweise verweigert wurde. In Ihren CloudTrail-Protokollen als verbindliche Quelle für Informationen über alle API-Aufrufe finden Sie weitere Informationen darüber, ob diese erfolgreich waren oder der Zugriff verweigert wurde.
-
PassRole – Die
iam:PassRole-Aktion wird nicht nachverfolgt und ist nicht in den Informationen zum letzten Zugriff für den IAM-Service enthalten. -
Informationen zur Aktion, auf die zuletzt zugegriffen wurde – Informationen zur Aktion, auf die zuletzt zugegriffen wurde, sind für Service-Management-Aktionen verfügbar, auf die IAM-Identitäten zugreifen. Hier finden Sie die Liste der Services und deren Aktionen, für die zuletzt auf Berichtsinformationen zugegriffen wurde.
Anmerkung
Informationen zur Aktion, auf die zuletzt zugegriffen wurde, sind für Amazon-S3-Datenaktionen verfügbar.
-
Verwaltungsereignisse – IAM stellt Aktionsinformationen für Service-Verwaltungsereignisse bereit, die von CloudTrail protokolliert werden. Manchmal werden CloudTrail-Managementereignisse auch als Operationen oder Ereignisse auf Steuerungsebene bezeichnet. Verwaltungsereignisse bieten Einblicke in die Verwaltungsvorgänge, die für Ressourcen in Ihrem AWS-Konto ausgeführt wurden. Weitere Informationen zu Verwaltungsereignissen in CloudTrail finden Sie unter Protokollierung von Verwaltungsereignissen im AWS CloudTrail-Benutzerhandbuch.
-
Berichtsbesitzer – Nur der Auftraggeber, der einen Bericht generiert, kann die Berichtsdetails anzeigen. Dies bedeutet, dass Sie beim Anzeigen der Informationen in AWS Management Console möglicherweise warten müssen, bis sie generiert und geladen werden. Wenn Sie die AWS CLI- oder AWS-API zum Abrufen von Berichtsdetails verwenden, müssen Ihre Anmeldeinformationen mit den Anmeldeinformationen des Auftraggebers übereinstimmen, der den Bericht generiert hat. Wenn Sie temporäre Anmeldeinformationen für eine Rolle oder einen Verbundbenutzer verwenden, müssen Sie den Bericht während derselben Sitzung generieren und abrufen. Weitere Hinweise zu Sitzungs-Auftraggeber für angenommene Rollen finden Sie unter AWS JSON-Richtlinienelemente: Principal.
-
IAM-Ressourcen – Zu den zuletzt abgerufenen Informationen für IAM gehören IAM-Ressourcen (Rollen, Benutzer, Benutzergruppen und Richtlinien) in Ihrem Konto. Zu den zuletzt aufgerufenen Informationen für Organiszations gehören Prinzipale (IAM-Benutzer, IAM-Rollen oder der Root-Benutzer des AWS-Kontos) in der angegebenen Organizations-Entität. Die zuletzt zugegriffenen Informationen beinhalten keine nicht authentifizierten Versuche.
-
IAM-Richtlinientypen – Die zuletzt aufgerufenen Informationen für IAM umfassen Services, die durch die Richtlinien einer IAM-Identität zugelassen sind. Diese Richtlinien sind einer Rolle oder einem Benutzer direkt oder über eine Gruppe angefügt. Zugriff, der über andere Richtlinientypen gewährt wird, ist in diesem Bericht nicht enthalten. Ausgeschlossen sind die Richtlinientypen ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations-SCPs, IAM-Berechtigungsgrenzen und Sitzungsrichtlinien. Berechtigungen, die von serviceverknüpften Rollen bereitgestellt werden, werden von dem Service definiert, mit dem sie verknüpft sind, und können in IAM nicht geändert werden. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Verwenden von serviceverknüpften Rollen. Informationen dazu, wie die verschiedenen Richtlinientypen ausgewertet werden, um den Zugriff zuzulassen oder zu verweigern, finden Sie unter Auswertungslogik für Richtlinien.
-
Organisations-Richtlinientypen – Die Informationen für AWS Organizations beinhalten nur die Services, die aufgrund der übernommenen Service-Kontrollrichtlinien (SCPs) einer Organisations-Entität zulässig sind. SCPs sind Richtlinien, die an einen Stamm, eine Organisationseinheit oder ein Konto angefügt sind Zugriff, der über andere Richtlinientypen gewährt wird, ist in diesem Bericht nicht enthalten. Ausgeschlossen sind die Richtlinientypen identitätsbasierte Richtlinien, ressourcenbasierte Richtlinien Zugriffskontrolllisten, IAM-Berechtigungsgrenzen und Sitzungsrichtlinien. Informationen dazu, wie die verschiedenen Richtlinientypen ausgewertet werden, um Zugriff zu erlauben oder zu verweigern, finden Sie unter Auswertungslogik für Richtlinien.
-
Angeben einer Richtlinien-ID – Wenn Sie die AWS CLI-oder AWS-API zum Generieren eines Berichts zu den Informationen zum letzten Zugriff in verwenden, können Sie optional eine Richtlinien-ID angeben. Der resultierende Bericht enthält Daten für die Services, die nur aufgrund dieser Richtlinie zulässig sind. Die Daten beinhalten die letzten Kontoaktivitäten in der angegebenen Organizations-Entität oder den untergeordneten Elementen der Entität. Weitere Informationen finden Sie unter aws iam generate-organizations-access-report oder GenerateOrganizationsAccessReport.
-
Verwaltungskonto der Organisation – Sie müssen sich bei dem Verwaltungskonto Ihrer Organisation anmelden, um die zuletzt abgerufenen Informationen zum Dienst anzuzeigen. Sie können sich die Informationen für das Hauptkonto mithilfe der IAM-Konsole, der AWS CLI oder der AWS-API anzeigen lassen. Die daraus resultierende Bericht listet alle AWS-Dienste auf, da das Hauptkonto nicht durch SCPs eingeschränkt ist. Wenn Sie in der CLI oder API eine Richtlinien-ID angeben, wird die Richtlinie ignoriert. Für jeden Service beinhaltet der Bericht nur Daten für das Hauptkonto. Die Berichte für andere Organisationseinheiten liefern jedoch keine Informationen über die Aktivitäten auf dem Verwaltungskonto.
-
Einstellungen für Organisationen – Ein Administrator muss SCPs in Ihrem Organisationsstamm aktivieren, bevor Sie Daten für Organisationen generieren können.
Erforderliche Berechtigungen
Sie müssen über eine Richtlinie verfügen, die die notwendigen Berechtigungen gewährt, um Informationen zum letzten Zugriff in der AWS Management Console anzeigen lassen zu können.
Berechtigungen für IAM-Informationen
Sie müssen Sie über eine Richtlinie verfügen, die die folgenden Aktionen beinhaltet, um mithilfe der -Konsole die Informationen zum letzten Zugriff für einen IAM-Benutzer, eine Rolle oder Richtlinie anzeigen zu lassen:
-
iam:GenerateServiceLastAccessedDetails -
iam:Get* -
iam:List*
Diese Berechtigungen erlauben einem Benutzer, folgende Informationen anzuzeigen:
-
Welche Benutzer, Gruppen oder Rollen einer verwalteten Richtlinie angefügt sind
-
Auf welche Services ein Benutzer oder eine Rolle zugreifen kann
-
Das Datum des letzten Zugriffs auf den Service
-
Das letzte Mal, als sie versucht haben, eine bestimmte Amazon EC2-, IAM-, Lambda- oder Amazon S3-Aktion zu verwenden
Um Informationen zum letzten Zugriff für IAM mithilfe von mithilfe der AWS CLI- oder der AWS-API anzeigen zu lassen, müssen Sie über die entsprechenden Berechtigungen für die gewünschte Operation verfügen:
-
iam:GenerateServiceLastAccessedDetails -
iam:GetServiceLastAccessedDetails -
iam:GetServiceLastAccessedDetailsWithEntities -
iam:ListPoliciesGrantingServiceAccess
Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Anzeige von IAM-Informationen zum letzten Zugriff erlaubt. Darüber hinaus erlaubt es den Nur-Lese-Zugriff auf das gesamte IAM. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }
Berechtigungen für AWS Organizations-Informationen
Um die IAM-Konsole zu verwenden, um einen Bericht für die Stamm-, Organisationseinheit- oder Kontoentitäten in Organisationen anzuzeigen, müssen Sie über eine Richtlinie verfügen, die die folgenden Aktionen umfasst:
-
iam:GenerateOrganizationsAccessReport -
iam:GetOrganizationsAccessReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:DescribePolicy -
organizations:ListChildren -
organizations:ListParents -
organizations:ListPoliciesForTarget -
organizations:ListRoots -
organizations:ListTargetsForPolicy
Sie müssen Sie eine Richtlinie verfügen, die die folgenden Aktionen enthält, um mithilfe der AWS CLI- oder AWS-API Informationen zum letzten Zugriff für Organizations anzeigen lassen zu können:
-
iam:GenerateOrganizationsAccessReport -
iam:GetOrganizationsAccessReport -
organizations:DescribePolicy -
organizations:ListChildren -
organizations:ListParents -
organizations:ListPoliciesForTarget -
organizations:ListRoots -
organizations:ListTargetsForPolicy
Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Anzeige von Informationen über den letzten Zugriff auf Services für Organisationen erlaubt. Darüber hinaus ermöglicht es schreibgeschützten Zugriff auf sämtliche Organizations. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }
Sie können auch den Bedingungsschlüssel iam:OrganizationsPolicyId verwenden, um nur für eine bestimmte Organizations-Richtlinie einen Bericht zu generieren. Eine Beispielrichtlinie finden Sie unter IAM: Anzeigen von Informationen zum letzten Zugriff auf einen Service für eine Organizations-Richtlinie.
Fehlerbehebungsaktivitäten für IAM und Organizationsentität
In einigen Fällen ist die Tabelle mit den Informationen zum letzten Zugriff für AWS Management Console leer. Es kann auch sein, dass Ihre AWS CLI- oder AWS-API-Anforderung einen leeren Datensatz oder ein Null-Feld zurückgibt. Überprüfen Sie in solch einem Fall die folgenden Punkte:
-
Bei Informationen zum letzten Zugriff auf Aktionen kann es sein, dass eine Aktion, die Sie in der Liste erwarten, dort nicht angezeigt wird. Dies kann passieren, weil die IAM-Identität entweder keine Berechtigungen für die Aktion hat oder AWS die Aktion noch nicht für die zuletzt aufgerufenen Informationen verfolgt.
-
Stellen Sie bei IAM-Benutzern sicher, dass der Benutzer über mindestens eine eingebundene oder verwaltete Richtlinie verfügt (entweder direkt oder über eine Gruppenmitgliedschaft).
-
Stellen Sie bei IAM-Gruppen sicher, dass die Gruppe über mindestens eine eingebundene oder verwaltete Richtlinie verfügt.
-
Für eine IAM-Gruppe gibt der Bericht Informationen zum letzten Servicezugriff nur für Mitglieder zurück, die mithilfe der Gruppenrichtlinien auf einen Service zugegriffen haben. Wenn Sie wissen möchten, ob ein Mitglied andere Richtlinien verwendet hat, überprüfen Sie die Informationen zum letzten Zugriff für diesen Benutzer.
-
Stellen Sie bei IAM-Rollen sicher, dass die Rolle über mindestens eine eingebundene oder verwaltete Richtlinie verfügt.
-
Überprüfen Sie für IAM Entitys (Benutzer oder Rollen) andere Richtlinientypen, die sich auf die Berechtigungen dieser Entität auswirken könnten. Darunter fallen ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations-Richtlinien, IAM-Berechtigungsgrenzen oder Sitzungsrichtlinien. Weitere Informationen finden Sie unter Richtlinientypen oder Auswerten von Richtlinien in einem einzelnen Konto.
-
Stellen Sie bei IAM-Richtlinien sicher, dass die angegebene verwaltete Richtlinie an mindestens einen Benutzer, eine Gruppe mit Mitgliedern oder eine Rolle angefügt ist.
-
Vergewissern Sie sich, dass Sie für eine Organisationsentität (Stamm, OU oder Konto) mit den Anmeldeinformationen des Verwaltungskontos Organisationen signiert sind.
-
Überprüfen Sie, dass die SCPs in Ihrem Organisationsstamm aktiviert sind.
-
Die Information über den letzten Zugriff auf eine Aktion ist nur für die unter IAM-Aktion, zuletzt aufgerufene Informationsservices und Aktionen aufgeführten Aktionen verfügbar.
Wenn Sie Änderungen vornehmen, warten Sie mindestens vier Stunden bis die Aktivitäten in Ihrer IAM-Konsole angezeigt werden. Wenn Sie die AWS CLI- oder die AWS-API verwenden, müssen Sie einen neuen Bericht erstellen, um die aktualisierten Informationen anzuzeigen.
Wo AWS die Informationen zum letzten Zugriff nachverfolgt
AWS erfasst Informationen zum letzten Zugriff für die Standard-AWS-Regionen. Wenn AWS weitere Regionen hinzufügt, werden diese Regionen in der folgenden Tabelle eingefügt (mit dem Datum, ab dem AWS die Informationen in der betreffenden Region verfolgt):
-
Serviceinformationen – Der Nachverfolgungszeitraum für Services beträgt mindestens 400 Tage oder weniger, wenn Ihre Region innerhalb der letzten 400 Tage mit der Verfolgung dieses Features begonnen hat.
-
Aktionsinformationen – Der Nachverfolgungszeitraum für Amazon S3-Managementaktionen begann am 12. April 2020. Der Nachverfolgungszeitraum für die Verwaltungsmaßnahmen von Amazon EC2, IAM und Lambda begann am 7. April 2021. Der Nachverfolgungszeitraum für Verwaltungsmaßnahmen für alle anderen Services begann am 23. Mai 2023. Wenn das Nachverfolgungsdatum einer Region nach dem 23. Mai 2023 liegt, beginnt die Aktion mit den zuletzt aufgerufenen Informationen aus dieser Region zu dem späteren Datum.
| Name der Region | Region | Startdatum für Verfolgung |
|---|---|---|
| USA Ost (Ohio) | us-east-2 | 27. Oktober 2017 |
| USA Ost (Nord-Virginia) | us-east-1 | 1. Oktober 2015 |
| USA West (Nordkalifornien) | us-west-1 | 1. Oktober 2015 |
| USA West (Oregon) | us-west-2 | 1. Oktober 2015 |
| Afrika (Kapstadt) | af-south-1 | 22. April 2020 |
| Asien-Pazifik (Hongkong) | ap-east-1 | 24. April 2019 |
| Asien-Pazifik (Hyderabad) | ap-south-2 | 22. November 2022 |
| Asien-Pazifik (Jakarta) | ap-southeast-3 | 13. Dezember 2021 |
| Asien-Pazifik (Melbourne) | ap-southeast-4 | 23. Januar 2023 |
| Asien-Pazifik (Mumbai) | ap-south-1 | 27. Juni 2016 |
| Asien-Pazifik (Osaka) | ap-northeast-3 | 11. Februar 2018 |
| Asien-Pazifik (Seoul) | ap-northeast-2 | 6. Januar 2016 |
| Asien-Pazifik (Singapur) | ap-southeast-1 | 1. Oktober 2015 |
| Asien-Pazifik (Sydney) | ap-southeast-2 | 1. Oktober 2015 |
| Asien-Pazifik (Tokio) | ap-northeast-1 | 1. Oktober 2015 |
| Kanada (Zentral) | ca-central-1 | 28. Oktober 2017 |
| Europa (Frankfurt) | eu-central-1 | 1. Oktober 2015 |
| Europa (Irland) | eu-west-1 | 1. Oktober 2015 |
| Europa (London) | eu-west-2 | 28. Oktober 2017 |
| Europa (Mailand) | eu-south-1 | 28. April 2020 |
| Europa (Paris) | eu-west-3 | 18. Dezember 2017 |
| Europa (Spanien) | eu-south-2 | 15. November 2022 |
| Europa (Stockholm) | eu-north-1 | 12. Dezember 2018 |
| Europa (Zürich) | eu-central-2 | 8. November 2022 |
| Israel (Tel Aviv) | il-central-1 | 1. August 2023 |
| Naher Osten (Bahrain) | me-south-1 | 29. Juli 2019 |
| Naher Osten (VAE) | me-central-1 | 30. August 2022 |
| South America (São Paulo) | sa-east-1 | 11. Dezember 2015 |
| AWS GovCloud (USA-Ost) | us-gov-east-1 | 1. Juli 2023 |
| AWS GovCloud (USA-West) | us-gov-west-1 | 1. Juli 2023 |
Wenn eine Region in der vorherigen Tabelle nicht aufgeführt ist, stehen Informationen zum letzten Servicezugriff für diese Region noch nicht zur Verfügung.
Eine AWS-Region ist eine Sammlung von AWS-Ressourcen in einem geografischen Bereich. Regionen werden in Partitionen gruppiert. Die Standardregionen sind die Regionen, die zur aws-Partition gehören. Weitere Informationen zu den verschiedenen Partitionen finden Sie unter Amazon-Ressourcennamen (ARNs) -Format im Allgemeine AWS-Referenz. Weitere Informationen zu Regionen finden Sie unter Allgemeine Informationen zu AWS-Regionen, ebenfalls im Allgemeine AWS-Referenz.
