Verwenden AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer bietet die folgenden Funktionen:

• IAMMithilfe der Access Analyzer Analyzer für externen Zugriff können Sie Ressourcen in Ihrer Organisation und Konten identifizieren, die mit einer externen Entität gemeinsam genutzt werden.

• IAMMit den Access Analyzer-Analysatoren für ungenutzten Zugriff können Sie ungenutzten Zugriff in Ihrer Organisation und Ihren Konten identifizieren.

• IAMAccess Analyzer validiert IAM Richtlinien anhand der Richtliniengrammatik und der AWS bewährten Methoden.

• IAMMithilfe der benutzerdefinierten Richtlinienprüfungen von Access Analyzer können Sie überprüfen, ob IAM Richtlinien Ihren angegebenen Sicherheitsstandards entsprechen.

• IAMAccess Analyzer generiert IAM Richtlinien auf der Grundlage der Zugriffsaktivitäten in Ihren AWS CloudTrail Protokollen.

Identifizieren von Ressourcen, die mit einer externen Entität geteilt wurden

IAMAccess Analyzer hilft Ihnen dabei, die Ressourcen in Ihrer Organisation und Ihren Konten zu identifizieren, wie z. B. Amazon S3 S3-Buckets oder IAM Rollen, die mit einer externen Entität gemeinsam genutzt werden. Dies hilft Ihnen, unbeabsichtigten Zugriff auf Ihre Ressourcen und Daten zu identifizieren, was ein Sicherheitsrisiko darstellt. IAMAccess Analyzer identifiziert Ressourcen, die mit externen Prinzipalen gemeinsam genutzt werden, indem es die ressourcenbasierten Richtlinien in Ihrer Umgebung anhand logischer Überlegungen analysiert. AWS Access Analyzer generiert für jede Instanz einer Ressource, die außerhalb Ihres Kontos gemeinsam genutzt wird, IAM ein Ergebnis. Die Ergebnisse enthalten Informationen über den Zugang und den externen Prinzipal, dem dieser gewährt wurde. Sie können Ergebnisse überarbeiten, um festzustellen, ob der Zugriff beabsichtigt und sicher ist oder ob er unbeabsichtigt ist und ein Sicherheitsrisiko darstellt. Sie können nicht nur Ressourcen identifizieren, die mit einer externen Entität gemeinsam genutzt werden, sondern auch anhand der Ergebnisse von IAM Access Analyzer eine Vorschau der Auswirkungen Ihrer Richtlinie auf den öffentlichen und kontoübergreifenden Zugriff auf Ihre Ressource anzeigen, bevor Sie Ressourcenberechtigungen bereitstellen. Die Ergebnisse sind in einem visuellen Übersichts-Dashboard zusammengefasst. Das Dashboard verdeutlicht die Aufteilung zwischen Ergebnissen mit öffentlichem Zugriff und kontenübergreifendem Zugriff und bietet eine Aufschlüsselung der Ergebnisse nach Ressourcentyp. Weitere Informationen zum Dashboard finden Sie unter Das IAM Access Analyzer-Ergebnis-Dashboard anzeigen.

Anmerkung

Eine externe Entität kann ein anderes AWS Konto, ein Root-Benutzer, ein IAM Benutzer oder eine Rolle, ein Verbundbenutzer, ein anonymer Benutzer oder eine andere Entität sein, mit der Sie einen Filter erstellen können. Weitere Informationen finden Sie unter AWS JSONPolicy Elements: Principal.

Wenn Sie IAM Access Analyzer aktivieren, erstellen Sie einen Analyzer für Ihre gesamte Organisation oder Ihr Konto. Die von Ihnen gewählte Organisation oder das von Ihnen ausgewählte Konto wird als Vertrauenszone für den Analysator bezeichnet. Der Analysator überwacht alle unterstützten Ressourcen in Ihrer Vertrauenszone. Jeder Ressourcenzugang von Auftraggeber innerhalb Ihrer Vertrauenszone gilt als vertrauenswürdig. Nach der Aktivierung analysiert IAM Access Analyzer die Richtlinien, die auf alle unterstützten Ressourcen in Ihrer Vertrauenszone angewendet werden. Nach der ersten Analyse analysiert IAM Access Analyzer diese Richtlinien regelmäßig. Wenn Sie eine neue Richtlinie hinzufügen oder eine bestehende Richtlinie ändern, analysiert IAM Access Analyzer die neue oder aktualisierte Richtlinie innerhalb von etwa 30 Minuten.

Wenn IAM Access Analyzer bei der Analyse der Richtlinien eine identifiziert, die Zugriff auf einen externen Prinzipal gewährt, der sich nicht in Ihrer Vertrauenszone befindet, wird ein Ergebnis generiert. Jedes Ergebnis enthält Details über die Ressource, die externe Entität, die Zugriff darauf hat, und die gewährten Berechtigungen, so dass Sie entsprechende Maßnahmen ergreifen können. Sie können die im Ergebnis enthaltenen Details anzeigen, um festzustellen, ob der Ressourcenzugriff beabsichtigt ist oder ein potenzielles Risiko darstellt, das Sie lösen sollten. Wenn Sie einer Ressource eine Richtlinie hinzufügen oder eine bestehende Richtlinie aktualisieren, analysiert IAM Access Analyzer die Richtlinie. IAMAccess Analyzer analysiert außerdem regelmäßig alle ressourcenbasierten Richtlinien.

In seltenen Fällen erhält IAM Access Analyzer unter bestimmten Bedingungen keine Benachrichtigung über eine hinzugefügte oder aktualisierte Richtlinie, was zu Verzögerungen bei den generierten Ergebnissen führen kann. IAMEs kann bis zu 6 Stunden dauern, bis Access Analyzer Ergebnisse generiert oder behoben hat, wenn Sie einen Access Point mit mehreren Regionen erstellen oder löschen, der einem Amazon S3 S3-Bucket zugeordnet ist, oder wenn Sie die Richtlinie für den Access Point mit mehreren Regionen aktualisieren. Wenn bei der AWS CloudTrail Protokollzustellung ein Problem mit der Zustellung auftritt, löst die Änderung der Richtlinie außerdem keinen erneuten Scan der im Ergebnis gemeldeten Ressource aus. In diesem Fall analysiert IAM Access Analyzer die neue oder aktualisierte Richtlinie beim nächsten regelmäßigen Scan, der innerhalb von 24 Stunden erfolgt. Wenn Sie sicherstellen möchten, dass eine Änderung, die Sie an einer Richtlinie vornehmen, ein in einem Ergebnis gemeldetes Zugriffsproblem behebt, können Sie die in einem Ergebnis gemeldete Ressource erneut scannen, indem Sie auf der Seite mit den Ergebnisdetails auf den Link Erneut scannen klicken oder den StartResourceScanVorgang von Access Analyzer verwenden. IAM API Weitere Informationen hierzu finden Sie unter Lösen von Ergebnissen.

Wichtig

IAMAccess Analyzer analysiert nur Richtlinien, die auf Ressourcen in derselben AWS Region angewendet werden, in der sie aktiviert ist. Um alle Ressourcen in Ihrer AWS Umgebung zu überwachen, müssen Sie einen Analyzer erstellen, um IAM Access Analyzer in jeder Region zu aktivieren, in der Sie unterstützte AWS Ressourcen verwenden.

IAMAccess Analyzer analysiert die folgenden Ressourcentypen:

• Amazon-Simple-Storage-Service-Buckets

• Amazon-Simple-Storage-Service-Verzeichnis-Buckets

• AWS Identity and Access Management Rollen

• AWS Key Management Service Schlüssel

• AWS Lambda Funktionen und Schichten

• Amazon Simple Queue Service Warteschlangen als Ziele

• AWS Secrets Manager Geheimnisse

• Amazon Simple Notification Service-Themen

• Volume-Snapshots von Amazon Elastic Block Store

• DB-Snapshots von Amazon Relational Database Service

• Snapshots von Service-DB-Clustern von Amazon Relational Database

• Repositories der Amazon Elastic Container Registry

• Dateisysteme des Amazon Elastic File System

• Amazon DynamoDB DynamoDB-Streams

• Amazon-DynamoDB-Tabellen

Identifizierung von ungenutztem Zugriff, der IAM Benutzern und Rollen gewährt wurde

IAMAccess Analyzer hilft Ihnen dabei, ungenutzten Zugriff in Ihrer AWS Organisation und Ihren Konten zu identifizieren und zu überprüfen. IAMAccess Analyzer überwacht kontinuierlich alle IAM Rollen und Benutzer in Ihrer AWS Organisation und Ihren Konten und generiert Ergebnisse für ungenutzten Zugriff. Die Ergebnisse heben ungenutzte Rollen, unbenutzte Zugriffsschlüssel für IAM Benutzer und unbenutzte Passwörter für IAM Benutzer hervor. Für aktive IAM Rollen und Benutzer bieten die Ergebnisse Aufschluss über ungenutzte Dienste und Aktionen.

Die Ergebnisse für externen und ungenutzten Zugriff werden in einem visuellen Übersichts-Dashboard dargestellt. Das Dashboard hebt diejenigen hervor, die die meisten Ergebnisse haben AWS-Konten , und bietet eine Aufschlüsselung der Ergebnisse nach Typ. Weitere Informationen zu den Seiten im Dashboard finden Sie unter Das IAM Access Analyzer-Ergebnis-Dashboard anzeigen.

IAMAccess Analyzer überprüft die Informationen, auf die zuletzt zugegriffen wurde, für alle Rollen in Ihrer AWS Organisation und Konten, um Ihnen zu helfen, ungenutzten Zugriff zu identifizieren. IAMInformationen über die zuletzt aufgerufene Aktion helfen Ihnen dabei, ungenutzte Aktionen für Rollen in Ihrem zu identifizieren AWS-Konten. Weitere Informationen finden Sie unter Verfeinerung der Berechtigungen bei der AWS Verwendung von Informationen, auf die zuletzt zugegriffen wurde.

Überprüfung von Richtlinien anhand bewährter Methoden für AWS

Sie können Ihre Richtlinien anhand der IAM Richtliniengrammatik und der AWS bewährten Methoden überprüfen, indem Sie die grundlegenden Richtlinienprüfungen der IAM Access Analyzer-Richtlinienüberprüfung verwenden. Sie können eine Richtlinie mit dem AWS CLI AWS API, oder JSON Richtlinien-Editor in der IAM Konsole erstellen oder bearbeiten. Sie können die Ergebnisse der Richtlinienvalidierung anzeigen, die Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge für Ihre Richtlinie enthalten. Diese Ergebnisse bieten umsetzbare Empfehlungen, die Ihnen helfen, Richtlinien zu erstellen, die funktionsfähig sind und den AWS bewährten Methoden entsprechen. Weitere Informationen zum Validieren von Richtlinien mit der Richtlinienvalidierung finden Sie unter Richtlinienvalidierung von IAM Access Analyzer.

Überprüfen von Richtlinien anhand der von Ihnen angegebenen Sicherheitsstandards

Mithilfe der benutzerdefinierten Richtlinienprüfungen von IAM Access Analyzer können Sie Ihre Richtlinien anhand der angegebenen Sicherheitsstandards überprüfen. Sie können eine Richtlinie mit dem AWS CLI AWS API, oder JSON Richtlinien-Editor in der IAM Konsole erstellen oder bearbeiten. Sie können über die Konsole überprüfen, ob die aktualisierte Richtlinie im Gegensatz zur vorhandenen Version nun Zugriff gewährt. Mithilfe von AWS CLI und können Sie auch überprüfen AWS API, ob bestimmte IAM Aktionen, die Sie für wichtig halten, in einer Richtlinie nicht zulässig sind. Diese Überprüfungen heben eine Richtlinienanweisung hervor, die neuen Zugriff gewährt. Sie können die Richtlinienanweisung aktualisieren und die Prüfungen erneut ausführen, bis die Richtlinie Ihrem Sicherheitsstandard entspricht. Weitere Informationen zum Validieren von Richtlinien mit benutzerdefinierter Richtlinienprüfungen finden Sie unter IAM Access Analyzer – Benutzerdefinierte Richtlinienüberprüfungen.

Generieren von Richtlinien

IAMAccess Analyzer analysiert Ihre AWS CloudTrail Protokolle, um Aktionen und Dienste zu identifizieren, die von einer IAM Entität (Benutzer oder Rolle) innerhalb des angegebenen Zeitraums genutzt wurden. Anschließend generiert es eine IAM Richtlinie, die auf dieser Zugriffsaktivität basiert. Sie können die generierte Richtlinie verwenden, um die Berechtigungen einer Entität zu verfeinern, indem Sie sie einem IAM Benutzer oder einer Rolle zuordnen. Weitere Informationen zum Generieren von Richtlinien mit IAM Access Analyzer finden Sie unterIAMGenerierung von Access Analyzer-Richtlinien.

Preise für IAM Access Analyzer

IAMAccess Analyzer berechnet Gebühren für ungenutzte Zugriffsanalysen auf der Grundlage der Anzahl der pro Analyzer pro Monat analysierten IAM Rollen und Benutzer.

• Jeder Analysator für ungenutzten Zugriff, den Sie erstellen, wird Ihnen in Rechnung gestellt.

• Wenn Sie Analysatoren für ungenutzten Zugriff in mehreren Regionen einrichten, wird Ihnen jeder Analysator in Rechnung gestellt.

• Mit Diensten verknüpfte Rollen werden nicht auf ungenutzte Zugriffsaktivitäten analysiert und sie sind auch nicht in der Gesamtzahl der analysierten IAM Rollen enthalten.

IAMAccess Analyzer berechnet Gebühren für benutzerdefinierte Richtlinienprüfungen auf der Grundlage der Anzahl der API Anfragen, die an IAM Access Analyzer gestellt wurden, um nach neuen Zugriffen zu suchen.

Eine vollständige Liste der Gebühren und Preise für IAM Access Analyzer finden Sie unter IAMAccess Analyzer-Preise.

Um Ihre Rechnung anzuzeigen, navigieren Sie zu Fakturierungs- und Kostenverwaltungs-Dashboard in der AWS Billing and Cost Management -Konsole. Ihre Abrechnung enthält Links zu Nutzungsberichten mit Details zu Ihrer Abrechnung. Weitere Informationen zur AWS-Konto Abrechnung finden Sie im AWS Billing Benutzerhandbuch

Wenn Sie Fragen zu AWS Abrechnung, Konten und Veranstaltungen haben, wenden Sie sich an AWS Support.