Wählen Sie Ihre Cookie-Einstellungen aus

Wir verwenden essentielle Cookies und ähnliche Tools, die für die Bereitstellung unserer Website und Services erforderlich sind. Wir verwenden Performance-Cookies, um anonyme Statistiken zu sammeln, damit wir verstehen können, wie Kunden unsere Website nutzen, und Verbesserungen vornehmen können. Essentielle Cookies können nicht deaktiviert werden, aber Sie können auf „Anpassen“ oder „Ablehnen“ klicken, um Performance-Cookies abzulehnen.

Wenn Sie damit einverstanden sind, verwenden AWS und zugelassene Drittanbieter auch Cookies, um nützliche Features der Website bereitzustellen, Ihre Präferenzen zu speichern und relevante Inhalte, einschließlich relevanter Werbung, anzuzeigen. Um alle nicht notwendigen Cookies zu akzeptieren oder abzulehnen, klicken Sie auf „Akzeptieren“ oder „Ablehnen“. Um detailliertere Entscheidungen zu treffen, klicken Sie auf „Anpassen“.

Präferenzen
Kontakt
Feedback
AWS Documentation
AWS-Konto erstellen

IAM Access Analyzer-Beispiele mit AWS CLI

PDF
RSS
Fokusmodus
IAM Access Analyzer-Beispiele mit AWS CLI - AWS Command Line Interface
Aktionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Die folgenden Codebeispiele zeigen Ihnen, wie Sie AWS Command Line Interface mit dem IAM Access Analyzer Aktionen ausführen und allgemeine Szenarien implementieren.

Aktionen sind Codeauszüge aus größeren Programmen und müssen im Kontext ausgeführt werden. Während Aktionen Ihnen zeigen, wie Sie einzelne Service-Funktionen aufrufen, können Sie Aktionen im Kontext der zugehörigen Szenarios anzeigen.

Jedes Beispiel enthält einen Link zum vollständigen Quellcode, in dem Sie Anweisungen zum Einrichten und Ausführen des Codes im Kontext finden.

Themen

Aktionen

Das folgende Codebeispiel zeigt die Verwendungapply-archive-rule.

AWS CLI

Um eine Archivierungsregel auf vorhandene Ergebnisse anzuwenden, die die Kriterien der Archivierungsregel erfüllen

Im folgenden apply-archive-rule Beispiel wird eine Archivierungsregel auf vorhandene Ergebnisse angewendet, die die Archivregelkriterien erfüllen.

aws accessanalyzer apply-archive-rule \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyArchiveRule

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Archivierungsregeln im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie ApplyArchiveRulein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungapply-archive-rule.

AWS CLI

Um eine Archivierungsregel auf vorhandene Ergebnisse anzuwenden, die die Kriterien der Archivierungsregel erfüllen

Im folgenden apply-archive-rule Beispiel wird eine Archivierungsregel auf vorhandene Ergebnisse angewendet, die die Archivregelkriterien erfüllen.

aws accessanalyzer apply-archive-rule \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyArchiveRule

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Archivierungsregeln im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie ApplyArchiveRulein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcancel-policy-generation.

AWS CLI

Um die angeforderte Richtliniengenerierung abzubrechen

Im folgenden cancel-policy-generation Beispiel wird die angeforderte Job-ID für die Richtliniengenerierung storniert.

aws accessanalyzer cancel-policy-generation \
    --job-id 923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcancel-policy-generation.

AWS CLI

Um die angeforderte Richtliniengenerierung abzubrechen

Im folgenden cancel-policy-generation Beispiel wird die angeforderte Job-ID für die Richtliniengenerierung storniert.

aws accessanalyzer cancel-policy-generation \
    --job-id 923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcheck-access-not-granted.

AWS CLI

Um zu überprüfen, ob der angegebene Zugriff durch eine Richtlinie nicht zulässig ist

Im folgenden check-access-not-granted Beispiel wird geprüft, ob der angegebene Zugriff durch eine Richtlinie nicht zulässig ist.

aws accessanalyzer check-access-not-granted \
    --policy-document file://myfile.json \
    --access actions="s3:DeleteBucket","s3:GetBucketLocation" \
    --policy-type IDENTITY_POLICY

Inhalt von myfile.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

Ausgabe:

{
    "result": "PASS",
    "message": "The policy document does not grant access to perform one or more of the listed actions."
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcheck-access-not-granted.

AWS CLI

Um zu überprüfen, ob der angegebene Zugriff durch eine Richtlinie nicht zulässig ist

Im folgenden check-access-not-granted Beispiel wird geprüft, ob der angegebene Zugriff durch eine Richtlinie nicht zulässig ist.

aws accessanalyzer check-access-not-granted \
    --policy-document file://myfile.json \
    --access actions="s3:DeleteBucket","s3:GetBucketLocation" \
    --policy-type IDENTITY_POLICY

Inhalt von myfile.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

Ausgabe:

{
    "result": "PASS",
    "message": "The policy document does not grant access to perform one or more of the listed actions."
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcheck-no-new-access.

AWS CLI

Um zu überprüfen, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff zulässig ist

Im folgenden check-no-new-access Beispiel wird geprüft, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff zulässig ist.

aws accessanalyzer check-no-new-access \
    --existing-policy-document file://existing-policy.json \
    --new-policy-document file://new-policy.json \
    --policy-type IDENTITY_POLICY

Inhalt von existing-policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

Inhalt von new-policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

Ausgabe:

{
    "result": "FAIL",
    "message": "The modified permissions grant new access compared to your existing policy.",
    "reasons": [
        {
            "description": "New access in the statement with index: 0.",
            "statementIndex": 0
        }
    ]
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie unter Befehlsreferenz CheckNoNewAccess.AWS CLI

Das folgende Codebeispiel zeigt die Verwendungcheck-no-new-access.

AWS CLI

Um zu überprüfen, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff zulässig ist

Im folgenden check-no-new-access Beispiel wird geprüft, ob für eine aktualisierte Richtlinie im Vergleich zur vorhandenen Richtlinie neuer Zugriff zulässig ist.

aws accessanalyzer check-no-new-access \
    --existing-policy-document file://existing-policy.json \
    --new-policy-document file://new-policy.json \
    --policy-type IDENTITY_POLICY

Inhalt von existing-policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

Inhalt von new-policy.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:GetObjectAcl",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

Ausgabe:

{
    "result": "FAIL",
    "message": "The modified permissions grant new access compared to your existing policy.",
    "reasons": [
        {
            "description": "New access in the statement with index: 0.",
            "statementIndex": 0
        }
    ]
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie unter Befehlsreferenz CheckNoNewAccess.AWS CLI

Das folgende Codebeispiel zeigt die Verwendungcheck-no-public-access.

AWS CLI

Um zu überprüfen, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf den angegebenen Ressourcentyp gewähren kann

Im folgenden check-no-public-access Beispiel wird geprüft, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf den angegebenen Ressourcentyp gewähren kann.

aws accessanalyzer check-no-public-access \
    --policy-document file://check-no-public-access-myfile.json \
    --resource-type AWS::S3::Bucket

Inhalt von myfile.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CheckNoPublicAccess",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:user/JohnDoe" },
            "Action": [
                "s3:GetObject"
            ]
        }
    ]
}

Ausgabe:

{
    "result": "PASS",
    "message": "The resource policy does not grant public access for the given resource type."
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcheck-no-public-access.

AWS CLI

Um zu überprüfen, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf den angegebenen Ressourcentyp gewähren kann

Im folgenden check-no-public-access Beispiel wird geprüft, ob eine Ressourcenrichtlinie öffentlichen Zugriff auf den angegebenen Ressourcentyp gewähren kann.

aws accessanalyzer check-no-public-access \
    --policy-document file://check-no-public-access-myfile.json \
    --resource-type AWS::S3::Bucket

Inhalt von myfile.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CheckNoPublicAccess",
            "Effect": "Allow",
            "Principal": { "AWS": "arn:aws:iam::111122223333:user/JohnDoe" },
            "Action": [
                "s3:GetObject"
            ]
        }
    ]
}

Ausgabe:

{
    "result": "PASS",
    "message": "The resource policy does not grant public access for the given resource type."
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-access-preview.

AWS CLI

Um eine Zugriffsvorschau zu erstellen, mit der Sie eine Vorschau der Ergebnisse von IAM Access Analyzer für Ihre Ressource anzeigen können, bevor Sie Ressourcenberechtigungen bereitstellen

Im folgenden create-access-preview Beispiel wird eine Zugriffsvorschau erstellt, mit der Sie eine Vorschau der Ergebnisse von IAM Access Analyzer für Ihre Ressource anzeigen können, bevor Sie Ressourcenberechtigungen in Ihrem AWS Konto bereitstellen.

aws accessanalyzer create-access-preview \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --configurations file://myfile.json

Inhalt von myfile.json:

{
    "arn:aws:s3:::amzn-s3-demo-bucket": {
        "s3Bucket": {
            "bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::amzn-s3-demo-bucket/*\"}]}",
            "bucketPublicAccessBlock": {
                "ignorePublicAcls": true,
                "restrictPublicBuckets": true
            },
            "bucketAclGrants": [
                {
                    "grantee": {
                        "id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be"
                    },
                    "permission": "READ"
                }
            ]
        }
    }
}

Ausgabe:

{
    "id": "3c65eb13-6ef9-4629-8919-a32043619e6b"
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-access-preview.

AWS CLI

Um eine Zugriffsvorschau zu erstellen, mit der Sie eine Vorschau der Ergebnisse von IAM Access Analyzer für Ihre Ressource anzeigen können, bevor Sie Ressourcenberechtigungen bereitstellen

Im folgenden create-access-preview Beispiel wird eine Zugriffsvorschau erstellt, mit der Sie eine Vorschau der Ergebnisse von IAM Access Analyzer für Ihre Ressource anzeigen können, bevor Sie Ressourcenberechtigungen in Ihrem AWS Konto bereitstellen.

aws accessanalyzer create-access-preview \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --configurations file://myfile.json

Inhalt von myfile.json:

{
    "arn:aws:s3:::amzn-s3-demo-bucket": {
        "s3Bucket": {
            "bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::amzn-s3-demo-bucket/*\"}]}",
            "bucketPublicAccessBlock": {
                "ignorePublicAcls": true,
                "restrictPublicBuckets": true
            },
            "bucketAclGrants": [
                {
                    "grantee": {
                        "id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be"
                    },
                    "permission": "READ"
                }
            ]
        }
    }
}

Ausgabe:

{
    "id": "3c65eb13-6ef9-4629-8919-a32043619e6b"
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-analyzer.

AWS CLI

Um einen Analyzer zu erstellen

Im folgenden create-analyzer Beispiel wird ein Analyzer in Ihrem AWS Konto erstellt.

aws accessanalyzer create-analyzer \
    --analyzer-name example \
    --type ACCOUNT

Ausgabe:

{
    "arn": "arn:aws:access-analyzer:us-east-2:111122223333:analyzer/example"
}

Weitere Informationen finden Sie unter Erste Schritte mit AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie CreateAnalyzerin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-analyzer.

AWS CLI

Um einen Analyzer zu erstellen

Im folgenden create-analyzer Beispiel wird ein Analyzer in Ihrem AWS Konto erstellt.

aws accessanalyzer create-analyzer \
    --analyzer-name example \
    --type ACCOUNT

Ausgabe:

{
    "arn": "arn:aws:access-analyzer:us-east-2:111122223333:analyzer/example"
}

Weitere Informationen finden Sie unter Erste Schritte mit AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie CreateAnalyzerin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungcreate-archive-rule.

AWS CLI

Um eine Archivierungsregel für den angegebenen Analysator zu erstellen

Im folgenden create-archive-rule Beispiel wird eine Archivierungsregel für den angegebenen Analyzer in Ihrem AWS Konto erstellt.

aws accessanalyzer create-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyRule \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Archivierungsregeln im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungcreate-archive-rule.

AWS CLI

Um eine Archivierungsregel für den angegebenen Analysator zu erstellen

Im folgenden create-archive-rule Beispiel wird eine Archivierungsregel für den angegebenen Analyzer in Ihrem AWS Konto erstellt.

aws accessanalyzer create-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyRule \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Archivierungsregeln im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-analyzer.

AWS CLI

Um den angegebenen Analysator zu löschen

Im folgenden delete-analyzer Beispiel wird der angegebene Analysator in Ihrem AWS Konto gelöscht.

aws accessanalyzer delete-analyzer \
    --analyzer-name example

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Regeln archivieren.

  • Einzelheiten zur API finden Sie DeleteAnalyzerin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdelete-analyzer.

AWS CLI

Um den angegebenen Analysator zu löschen

Im folgenden delete-analyzer Beispiel wird der angegebene Analysator in Ihrem AWS Konto gelöscht.

aws accessanalyzer delete-analyzer \
    --analyzer-name example

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Regeln archivieren.

  • Einzelheiten zur API finden Sie DeleteAnalyzerin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungdelete-archive-rule.

AWS CLI

Um die angegebene Archivierungsregel zu löschen

Im folgenden delete-archive-rule Beispiel wird die angegebene Archivierungsregel in Ihrem AWS Konto gelöscht.

aws accessanalyzer delete-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyRule

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Archivierungsregeln im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungdelete-archive-rule.

AWS CLI

Um die angegebene Archivierungsregel zu löschen

Im folgenden delete-archive-rule Beispiel wird die angegebene Archivierungsregel in Ihrem AWS Konto gelöscht.

aws accessanalyzer delete-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyRule

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Archivierungsregeln im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-access-preview.

AWS CLI

Ruft Informationen über eine Zugriffsvorschau für den angegebenen Analysator ab

Im folgenden get-access-preview Beispiel werden Informationen über eine Zugriffsvorschau für den angegebenen Analyzer in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-access-preview \
    --access-preview-id 3c65eb13-6ef9-4629-8919-a32043619e6b \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "accessPreview": {
        "id": "3c65eb13-6ef9-4629-8919-a32043619e6b",
        "analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
        "configurations": {
            "arn:aws:s3:::amzn-s3-demo-bucket": {
                "s3Bucket": {
                    "bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::amzn-s3-demo-bucket/*\"}]}",
                    "bucketAclGrants": [
                        {
                            "permission": "READ",
                            "grantee": {
                                "id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be"
                            }
                        }
                    ],
                    "bucketPublicAccessBlock": {
                        "ignorePublicAcls": true,
                        "restrictPublicBuckets": true
                    }
                }
            }
        },
        "createdAt": "2024-02-17T00:18:44+00:00",
        "status": "COMPLETED"
    }
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie unter Befehlsreferenz GetAccessPreview.AWS CLI

Das folgende Codebeispiel zeigt die Verwendungget-access-preview.

AWS CLI

Ruft Informationen über eine Zugriffsvorschau für den angegebenen Analysator ab

Im folgenden get-access-preview Beispiel werden Informationen über eine Zugriffsvorschau für den angegebenen Analyzer in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-access-preview \
    --access-preview-id 3c65eb13-6ef9-4629-8919-a32043619e6b \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "accessPreview": {
        "id": "3c65eb13-6ef9-4629-8919-a32043619e6b",
        "analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
        "configurations": {
            "arn:aws:s3:::amzn-s3-demo-bucket": {
                "s3Bucket": {
                    "bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::amzn-s3-demo-bucket/*\"}]}",
                    "bucketAclGrants": [
                        {
                            "permission": "READ",
                            "grantee": {
                                "id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be"
                            }
                        }
                    ],
                    "bucketPublicAccessBlock": {
                        "ignorePublicAcls": true,
                        "restrictPublicBuckets": true
                    }
                }
            }
        },
        "createdAt": "2024-02-17T00:18:44+00:00",
        "status": "COMPLETED"
    }
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie unter Befehlsreferenz GetAccessPreview.AWS CLI

Das folgende Codebeispiel zeigt die Verwendungget-analyzed-resource.

AWS CLI

Um Informationen über eine Ressource abzurufen, die analysiert wurde

Im folgenden get-analyzed-resource Beispiel werden Informationen über eine Ressource abgerufen, die in Ihrem AWS Konto analysiert wurde.

aws accessanalyzer get-analyzed-resource \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --resource-arn arn:aws:s3:::amzn-s3-demo-bucket

Ausgabe:

{
    "resource": {
        "analyzedAt": "2024-02-15T18:01:53.002000+00:00",
        "isPublic": false,
        "resourceArn": "arn:aws:s3:::amzn-s3-demo-bucket",
        "resourceOwnerAccount": "111122223333",
        "resourceType": "AWS::S3::Bucket"
    }
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-analyzed-resource.

AWS CLI

Um Informationen über eine Ressource abzurufen, die analysiert wurde

Im folgenden get-analyzed-resource Beispiel werden Informationen über eine Ressource abgerufen, die in Ihrem AWS Konto analysiert wurde.

aws accessanalyzer get-analyzed-resource \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --resource-arn arn:aws:s3:::amzn-s3-demo-bucket

Ausgabe:

{
    "resource": {
        "analyzedAt": "2024-02-15T18:01:53.002000+00:00",
        "isPublic": false,
        "resourceArn": "arn:aws:s3:::amzn-s3-demo-bucket",
        "resourceOwnerAccount": "111122223333",
        "resourceType": "AWS::S3::Bucket"
    }
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-analyzer.

AWS CLI

Um Informationen über den angegebenen Analysator abzurufen

Im folgenden get-analyzer Beispiel werden Informationen über den angegebenen Analysator in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-analyzer \
    --analyzer-name ConsoleAnalyzer-account

Ausgabe:

{
    "analyzer": {
        "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
        "createdAt": "2019-12-03T07:28:17+00:00",
        "lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic",
        "lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00",
        "name": "ConsoleAnalyzer-account",
        "status": "ACTIVE",
        "tags": {
            "auto-delete": "no"
        },
        "type": "ACCOUNT"
    }
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-analyzer.

AWS CLI

Um Informationen über den angegebenen Analysator abzurufen

Im folgenden get-analyzer Beispiel werden Informationen über den angegebenen Analysator in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-analyzer \
    --analyzer-name ConsoleAnalyzer-account

Ausgabe:

{
    "analyzer": {
        "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
        "createdAt": "2019-12-03T07:28:17+00:00",
        "lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic",
        "lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00",
        "name": "ConsoleAnalyzer-account",
        "status": "ACTIVE",
        "tags": {
            "auto-delete": "no"
        },
        "type": "ACCOUNT"
    }
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-archive-rule.

AWS CLI

Um Informationen über eine Archivierungsregel abzurufen

Im folgenden get-archive-rule Beispiel werden Informationen zu einer Archivierungsregel in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyArchiveRule

Ausgabe:

{
    "archiveRule": {
        "createdAt": "2024-02-15T00:49:27+00:00",
        "filter": {
            "resource": {
                "contains": [
                    "Cognito"
                ]
            },
            "resourceType": {
                "eq": [
                    "AWS::IAM::Role"
                ]
            }
        },
        "ruleName": "MyArchiveRule",
        "updatedAt": "2024-02-15T00:49:27+00:00"
    }
}

Weitere Informationen finden Sie unter Archivierungsregeln im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetArchiveRulein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-archive-rule.

AWS CLI

Um Informationen über eine Archivierungsregel abzurufen

Im folgenden get-archive-rule Beispiel werden Informationen zu einer Archivierungsregel in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyArchiveRule

Ausgabe:

{
    "archiveRule": {
        "createdAt": "2024-02-15T00:49:27+00:00",
        "filter": {
            "resource": {
                "contains": [
                    "Cognito"
                ]
            },
            "resourceType": {
                "eq": [
                    "AWS::IAM::Role"
                ]
            }
        },
        "ruleName": "MyArchiveRule",
        "updatedAt": "2024-02-15T00:49:27+00:00"
    }
}

Weitere Informationen finden Sie unter Archivierungsregeln im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie GetArchiveRulein der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-finding-v2.

AWS CLI

Um Informationen über den angegebenen Befund abzurufen

Im folgenden get-finding-v2 Beispiel werden Informationen über den angegebenen Befund in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-finding-v2 \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization \
    --id 0910eedb-381e-4e95-adda-0d25c19e6e90

Ausgabe:

{
    "findingDetails": [
        {
            "externalAccessDetails": {
                "action": [
                    "sts:AssumeRoleWithWebIdentity"
                ],
                "condition": {
                    "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
                },
                "isPublic": false,
                "principal": {
                    "Federated": "cognito-identity.amazonaws.com"
                }
            }
        }
    ],
    "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
    "status": "ACTIVE",
    "error": null,
    "createdAt": "2021-02-26T21:17:50.905000+00:00",
    "resourceType": "AWS::IAM::Role",
    "findingType": "ExternalAccess",
    "resourceOwnerAccount": "111122223333",
    "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
    "id": "0910eedb-381e-4e95-adda-0d25c19e6e90",
    "updatedAt": "2021-02-26T21:17:50.905000+00:00"
}

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Ergebnisse überprüfen.

  • Einzelheiten zur API finden Sie unter GetFindingV2 in der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-finding-v2.

AWS CLI

Um Informationen über den angegebenen Befund abzurufen

Im folgenden get-finding-v2 Beispiel werden Informationen über den angegebenen Befund in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-finding-v2 \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization \
    --id 0910eedb-381e-4e95-adda-0d25c19e6e90

Ausgabe:

{
    "findingDetails": [
        {
            "externalAccessDetails": {
                "action": [
                    "sts:AssumeRoleWithWebIdentity"
                ],
                "condition": {
                    "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
                },
                "isPublic": false,
                "principal": {
                    "Federated": "cognito-identity.amazonaws.com"
                }
            }
        }
    ],
    "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
    "status": "ACTIVE",
    "error": null,
    "createdAt": "2021-02-26T21:17:50.905000+00:00",
    "resourceType": "AWS::IAM::Role",
    "findingType": "ExternalAccess",
    "resourceOwnerAccount": "111122223333",
    "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
    "id": "0910eedb-381e-4e95-adda-0d25c19e6e90",
    "updatedAt": "2021-02-26T21:17:50.905000+00:00"
}

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Ergebnisse überprüfen.

  • Einzelheiten zur API finden Sie unter GetFindingV2 in der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-finding.

AWS CLI

Um Informationen über den angegebenen Befund abzurufen

Im folgenden get-finding Beispiel werden Informationen über den angegebenen Befund in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-finding \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization \
    --id 0910eedb-381e-4e95-adda-0d25c19e6e90

Ausgabe:

{
    "finding": {
        "id": "0910eedb-381e-4e95-adda-0d25c19e6e90",
        "principal": {
            "Federated": "cognito-identity.amazonaws.com"
        },
        "action": [
            "sts:AssumeRoleWithWebIdentity"
        ],
        "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
        "isPublic": false,
        "resourceType": "AWS::IAM::Role",
        "condition": {
            "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
        },
        "createdAt": "2021-02-26T21:17:50.905000+00:00",
        "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
        "updatedAt": "2021-02-26T21:17:50.905000+00:00",
        "status": "ACTIVE",
        "resourceOwnerAccount": "111122223333"
    }
}

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Ergebnisse überprüfen.

  • Einzelheiten zur API finden Sie GetFindingin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-finding.

AWS CLI

Um Informationen über den angegebenen Befund abzurufen

Im folgenden get-finding Beispiel werden Informationen über den angegebenen Befund in Ihrem AWS Konto abgerufen.

aws accessanalyzer get-finding \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization \
    --id 0910eedb-381e-4e95-adda-0d25c19e6e90

Ausgabe:

{
    "finding": {
        "id": "0910eedb-381e-4e95-adda-0d25c19e6e90",
        "principal": {
            "Federated": "cognito-identity.amazonaws.com"
        },
        "action": [
            "sts:AssumeRoleWithWebIdentity"
        ],
        "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
        "isPublic": false,
        "resourceType": "AWS::IAM::Role",
        "condition": {
            "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
        },
        "createdAt": "2021-02-26T21:17:50.905000+00:00",
        "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
        "updatedAt": "2021-02-26T21:17:50.905000+00:00",
        "status": "ACTIVE",
        "resourceOwnerAccount": "111122223333"
    }
}

Weitere Informationen finden Sie im AWS IAM-Benutzerhandbuch unter Ergebnisse überprüfen.

  • Einzelheiten zur API finden Sie GetFindingin der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendungget-generated-policy.

AWS CLI

Um die Richtlinie abzurufen, die mit der StartPolicyGeneration ``-API generiert wurde

Im folgenden get-generated-policy Beispiel wird die Richtlinie abgerufen, die mithilfe der StartPolicyGeneration API in Ihrem AWS Konto generiert wurde.

aws accessanalyzer get-generated-policy \
    --job-id c557dc4a-0338-4489-95dd-739014860ff9

Ausgabe:

{
    "generatedPolicyResult": {
        "generatedPolicies": [
            {
                "policy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"SupportedServiceSid0\",\"Effect\":\"Allow\",\"Action\":[\"access-analyzer:GetAnalyzer\",\"access-analyzer:ListAnalyzers\",\"access-analyzer:ListArchiveRules\",\"access-analyzer:ListFindings\",\"cloudtrail:DescribeTrails\",\"cloudtrail:GetEventDataStore\",\"cloudtrail:GetEventSelectors\",\"cloudtrail:GetInsightSelectors\",\"cloudtrail:GetTrailStatus\",\"cloudtrail:ListChannels\",\"cloudtrail:ListEventDataStores\",\"cloudtrail:ListQueries\",\"cloudtrail:ListTags\",\"cloudtrail:LookupEvents\",\"ec2:DescribeRegions\",\"iam:GetAccountSummary\",\"iam:GetOpenIDConnectProvider\",\"iam:GetRole\",\"iam:ListAccessKeys\",\"iam:ListAccountAliases\",\"iam:ListOpenIDConnectProviders\",\"iam:ListRoles\",\"iam:ListSAMLProviders\",\"kms:ListAliases\",\"s3:GetBucketLocation\",\"s3:ListAllMyBuckets\"],\"Resource\":\"*\"}]}"
            }
        ],
        "properties": {
            "cloudTrailProperties": {
                "endTime": "2024-02-14T22:44:40+00:00",
                "startTime": "2024-02-13T00:30:00+00:00",
                "trailProperties": [
                    {
                        "allRegions": true,
                        "cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail",
                        "regions": []
                    }
                ]
            },
            "isComplete": false,
            "principalArn": "arn:aws:iam::111122223333:role/Admin"
        }
    },
    "jobDetails": {
        "completedOn": "2024-02-14T22:47:01+00:00",
        "jobId": "c557dc4a-0338-4489-95dd-739014860ff9",
        "startedOn": "2024-02-14T22:44:41+00:00",
        "status": "SUCCEEDED"
    }
}

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungget-generated-policy.

AWS CLI

Um die Richtlinie abzurufen, die mit der StartPolicyGeneration ``-API generiert wurde

Im folgenden get-generated-policy Beispiel wird die Richtlinie abgerufen, die mithilfe der StartPolicyGeneration API in Ihrem AWS Konto generiert wurde.

aws accessanalyzer get-generated-policy \
    --job-id c557dc4a-0338-4489-95dd-739014860ff9

Ausgabe:

{
    "generatedPolicyResult": {
        "generatedPolicies": [
            {
                "policy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"SupportedServiceSid0\",\"Effect\":\"Allow\",\"Action\":[\"access-analyzer:GetAnalyzer\",\"access-analyzer:ListAnalyzers\",\"access-analyzer:ListArchiveRules\",\"access-analyzer:ListFindings\",\"cloudtrail:DescribeTrails\",\"cloudtrail:GetEventDataStore\",\"cloudtrail:GetEventSelectors\",\"cloudtrail:GetInsightSelectors\",\"cloudtrail:GetTrailStatus\",\"cloudtrail:ListChannels\",\"cloudtrail:ListEventDataStores\",\"cloudtrail:ListQueries\",\"cloudtrail:ListTags\",\"cloudtrail:LookupEvents\",\"ec2:DescribeRegions\",\"iam:GetAccountSummary\",\"iam:GetOpenIDConnectProvider\",\"iam:GetRole\",\"iam:ListAccessKeys\",\"iam:ListAccountAliases\",\"iam:ListOpenIDConnectProviders\",\"iam:ListRoles\",\"iam:ListSAMLProviders\",\"kms:ListAliases\",\"s3:GetBucketLocation\",\"s3:ListAllMyBuckets\"],\"Resource\":\"*\"}]}"
            }
        ],
        "properties": {
            "cloudTrailProperties": {
                "endTime": "2024-02-14T22:44:40+00:00",
                "startTime": "2024-02-13T00:30:00+00:00",
                "trailProperties": [
                    {
                        "allRegions": true,
                        "cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail",
                        "regions": []
                    }
                ]
            },
            "isComplete": false,
            "principalArn": "arn:aws:iam::111122223333:role/Admin"
        }
    },
    "jobDetails": {
        "completedOn": "2024-02-14T22:47:01+00:00",
        "jobId": "c557dc4a-0338-4489-95dd-739014860ff9",
        "startedOn": "2024-02-14T22:44:41+00:00",
        "status": "SUCCEEDED"
    }
}

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-access-preview-findings.

AWS CLI

Um eine Liste von Access-Preview-Ergebnissen abzurufen, die mit der angegebenen Access-Preview generiert wurden

Im folgenden list-access-preview-findings Beispiel wird eine Liste mit Ergebnissen der Zugriffsvorschau abgerufen, die mit der angegebenen Zugriffsvorschau in Ihrem AWS Konto generiert wurden.

aws accessanalyzer list-access-preview-findings \
    --access-preview-id 3c65eb13-6ef9-4629-8919-a32043619e6b \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "findings": [
        {
            "id": "e22fc158-1c87-4c32-9464-e7f405ce8d74",
            "principal": {
                "AWS": "111122223333"
            },
            "action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "condition": {},
            "resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "isPublic": false,
            "resourceType": "AWS::S3::Bucket",
            "createdAt": "2024-02-17T00:18:46+00:00",
            "changeType": "NEW",
            "status": "ACTIVE",
            "resourceOwnerAccount": "111122223333",
            "sources": [
                {
                    "type": "POLICY"
                }
            ]
        }
    ]
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-access-preview-findings.

AWS CLI

Um eine Liste von Access-Preview-Ergebnissen abzurufen, die mit der angegebenen Access-Preview generiert wurden

Im folgenden list-access-preview-findings Beispiel wird eine Liste mit Ergebnissen der Zugriffsvorschau abgerufen, die mit der angegebenen Zugriffsvorschau in Ihrem AWS Konto generiert wurden.

aws accessanalyzer list-access-preview-findings \
    --access-preview-id 3c65eb13-6ef9-4629-8919-a32043619e6b \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "findings": [
        {
            "id": "e22fc158-1c87-4c32-9464-e7f405ce8d74",
            "principal": {
                "AWS": "111122223333"
            },
            "action": [
                "s3:PutObject",
                "s3:PutObjectAcl"
            ],
            "condition": {},
            "resource": "arn:aws:s3:::amzn-s3-demo-bucket",
            "isPublic": false,
            "resourceType": "AWS::S3::Bucket",
            "createdAt": "2024-02-17T00:18:46+00:00",
            "changeType": "NEW",
            "status": "ACTIVE",
            "resourceOwnerAccount": "111122223333",
            "sources": [
                {
                    "type": "POLICY"
                }
            ]
        }
    ]
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-access-previews.

AWS CLI

Um eine Liste von Zugriffsvorschauen für den angegebenen Analysator abzurufen

Im folgenden list-access-previews Beispiel wird eine Liste der Zugriffsvorschauen für den angegebenen Analysator in Ihrem Konto abgerufen. AWS 

aws accessanalyzer list-access-previews \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "accessPreviews": [
        {
            "id": "3c65eb13-6ef9-4629-8919-a32043619e6b",
            "analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
            "createdAt": "2024-02-17T00:18:44+00:00",
            "status": "COMPLETED"
        }
    ]
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-access-previews.

AWS CLI

Um eine Liste von Zugriffsvorschauen für den angegebenen Analysator abzurufen

Im folgenden list-access-previews Beispiel wird eine Liste der Zugriffsvorschauen für den angegebenen Analysator in Ihrem Konto abgerufen. AWS 

aws accessanalyzer list-access-previews \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "accessPreviews": [
        {
            "id": "3c65eb13-6ef9-4629-8919-a32043619e6b",
            "analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
            "createdAt": "2024-02-17T00:18:44+00:00",
            "status": "COMPLETED"
        }
    ]
}

Weitere Informationen finden Sie unter Vorschau des Zugriffs mit IAM Access Analyzer APIs im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-analyzed-resources.

AWS CLI

Um die verfügbaren Widgets aufzulisten

Das folgende list-analyzed-resources Beispiel listet die verfügbaren Widgets in Ihrem AWS Konto auf.

aws accessanalyzer list-analyzed-resources \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --resource-type AWS::IAM::Role

Ausgabe:

{
    "analyzedResources": [
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:Validation-Email",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        },
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:admin-alerts",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        },
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:config-topic",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        },
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:inspector-topic",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        }
    ]
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-analyzed-resources.

AWS CLI

Um die verfügbaren Widgets aufzulisten

Das folgende list-analyzed-resources Beispiel listet die verfügbaren Widgets in Ihrem AWS Konto auf.

aws accessanalyzer list-analyzed-resources \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --resource-type AWS::IAM::Role

Ausgabe:

{
    "analyzedResources": [
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:Validation-Email",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        },
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:admin-alerts",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        },
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:config-topic",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        },
        {
            "resourceArn": "arn:aws:sns:us-west-2:111122223333:inspector-topic",
            "resourceOwnerAccount": "111122223333",
            "resourceType": "AWS::SNS::Topic"
        }
    ]
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-analyzers.

AWS CLI

Um eine Liste von Analysatoren abzurufen

Im folgenden list-analyzers Beispiel wird eine Liste der Analysatoren in Ihrem Konto abgerufen. AWS 

aws accessanalyzer list-analyzers

Ausgabe:

{
    "analyzers": [
        {
            "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization",
            "createdAt": "2024-02-15T00:46:40+00:00",
            "name": "UnusedAccess-ConsoleAnalyzer-organization",
            "status": "ACTIVE",
            "tags": {
                "auto-delete": "no"
            },
            "type": "ORGANIZATION_UNUSED_ACCESS"
        },
        {
            "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization",
            "createdAt": "2020-04-25T07:43:28+00:00",
            "lastResourceAnalyzed": "arn:aws:s3:::amzn-s3-demo-bucket",
            "lastResourceAnalyzedAt": "2024-02-15T21:51:56.517000+00:00",
            "name": "ConsoleAnalyzer-organization",
            "status": "ACTIVE",
            "tags": {
                "auto-delete": "no"
            },
            "type": "ORGANIZATION"
        },
        {
            "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
            "createdAt": "2019-12-03T07:28:17+00:00",
            "lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic",
            "lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00",
            "name": "ConsoleAnalyzer-account",
            "status": "ACTIVE",
            "tags": {
                "auto-delete": "no"
            },
            "type": "ACCOUNT"
        }
    ]
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-analyzers.

AWS CLI

Um eine Liste von Analysatoren abzurufen

Im folgenden list-analyzers Beispiel wird eine Liste der Analysatoren in Ihrem Konto abgerufen. AWS 

aws accessanalyzer list-analyzers

Ausgabe:

{
    "analyzers": [
        {
            "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization",
            "createdAt": "2024-02-15T00:46:40+00:00",
            "name": "UnusedAccess-ConsoleAnalyzer-organization",
            "status": "ACTIVE",
            "tags": {
                "auto-delete": "no"
            },
            "type": "ORGANIZATION_UNUSED_ACCESS"
        },
        {
            "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization",
            "createdAt": "2020-04-25T07:43:28+00:00",
            "lastResourceAnalyzed": "arn:aws:s3:::amzn-s3-demo-bucket",
            "lastResourceAnalyzedAt": "2024-02-15T21:51:56.517000+00:00",
            "name": "ConsoleAnalyzer-organization",
            "status": "ACTIVE",
            "tags": {
                "auto-delete": "no"
            },
            "type": "ORGANIZATION"
        },
        {
            "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account",
            "createdAt": "2019-12-03T07:28:17+00:00",
            "lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic",
            "lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00",
            "name": "ConsoleAnalyzer-account",
            "status": "ACTIVE",
            "tags": {
                "auto-delete": "no"
            },
            "type": "ACCOUNT"
        }
    ]
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-archive-rules.

AWS CLI

Um eine Liste von Archivregeln abzurufen, die für den angegebenen Analyzer erstellt wurden

Im folgenden list-archive-rules Beispiel wird eine Liste von Archivregeln abgerufen, die für den angegebenen Analyzer in Ihrem AWS Konto erstellt wurden.

aws accessanalyzer list-archive-rules \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization

Ausgabe:

{
    "archiveRules": [
        {
            "createdAt": "2024-02-15T00:49:27+00:00",
            "filter": {
                "resource": {
                    "contains": [
                        "Cognito"
                    ]
                },
                "resourceType": {
                    "eq": [
                        "AWS::IAM::Role"
                    ]
                }
            },
            "ruleName": "MyArchiveRule",
            "updatedAt": "2024-02-15T00:49:27+00:00"
        },
        {
            "createdAt": "2024-02-15T23:27:45+00:00",
            "filter": {
                "findingType": {
                    "eq": [
                        "UnusedIAMUserAccessKey"
                    ]
                }
            },
            "ruleName": "ArchiveRule-56125a39-e517-4ff8-afb1-ef06f58db612",
            "updatedAt": "2024-02-15T23:27:45+00:00"
        }
    ]
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-archive-rules.

AWS CLI

Um eine Liste von Archivregeln abzurufen, die für den angegebenen Analyzer erstellt wurden

Im folgenden list-archive-rules Beispiel wird eine Liste von Archivregeln abgerufen, die für den angegebenen Analyzer in Ihrem AWS Konto erstellt wurden.

aws accessanalyzer list-archive-rules \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization

Ausgabe:

{
    "archiveRules": [
        {
            "createdAt": "2024-02-15T00:49:27+00:00",
            "filter": {
                "resource": {
                    "contains": [
                        "Cognito"
                    ]
                },
                "resourceType": {
                    "eq": [
                        "AWS::IAM::Role"
                    ]
                }
            },
            "ruleName": "MyArchiveRule",
            "updatedAt": "2024-02-15T00:49:27+00:00"
        },
        {
            "createdAt": "2024-02-15T23:27:45+00:00",
            "filter": {
                "findingType": {
                    "eq": [
                        "UnusedIAMUserAccessKey"
                    ]
                }
            },
            "ruleName": "ArchiveRule-56125a39-e517-4ff8-afb1-ef06f58db612",
            "updatedAt": "2024-02-15T23:27:45+00:00"
        }
    ]
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-findings-v2.

AWS CLI

Um eine Liste von Ergebnissen abzurufen, die vom angegebenen Analysator generiert wurden

Im folgenden list-findings-v2 Beispiel wird eine Liste von Ergebnissen abgerufen, die vom angegebenen Analysator in Ihrem AWS Konto generiert wurden. In diesem Beispiel werden die Ergebnisse so gefiltert, dass sie nur IAM-Rollen enthalten, deren Name enthält. Cognito

aws accessanalyzer list-findings-v2 \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Ausgabe:

{
    "findings": [
        {
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "createdAt": "2021-02-26T21:17:24.710000+00:00",
            "id": "597f3bc2-3adc-4c18-9879-5c4b23485e46",
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role",
            "resourceType": "AWS::IAM::Role",
            "resourceOwnerAccount": "111122223333",
            "status": "ACTIVE",
            "updatedAt": "2021-02-26T21:17:24.710000+00:00",
            "findingType": "ExternalAccess"
        },
        {
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "createdAt": "2021-02-26T21:17:50.905000+00:00",
            "id": "ce0e221a-85b9-4d52-91ff-d7678075442f",
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
            "resourceType": "AWS::IAM::Role",
            "resourceOwnerAccount": "111122223333",
            "status": "ACTIVE",
            "updatedAt": "2021-02-26T21:17:50.905000+00:00",
            "findingType": "ExternalAccess"
        }
    ]
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie unter ListFindingsV2 in der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-findings-v2.

AWS CLI

Um eine Liste von Ergebnissen abzurufen, die vom angegebenen Analysator generiert wurden

Im folgenden list-findings-v2 Beispiel wird eine Liste von Ergebnissen abgerufen, die vom angegebenen Analysator in Ihrem AWS Konto generiert wurden. In diesem Beispiel werden die Ergebnisse so gefiltert, dass sie nur IAM-Rollen enthalten, deren Name enthält. Cognito

aws accessanalyzer list-findings-v2 \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Ausgabe:

{
    "findings": [
        {
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "createdAt": "2021-02-26T21:17:24.710000+00:00",
            "id": "597f3bc2-3adc-4c18-9879-5c4b23485e46",
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role",
            "resourceType": "AWS::IAM::Role",
            "resourceOwnerAccount": "111122223333",
            "status": "ACTIVE",
            "updatedAt": "2021-02-26T21:17:24.710000+00:00",
            "findingType": "ExternalAccess"
        },
        {
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "createdAt": "2021-02-26T21:17:50.905000+00:00",
            "id": "ce0e221a-85b9-4d52-91ff-d7678075442f",
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
            "resourceType": "AWS::IAM::Role",
            "resourceOwnerAccount": "111122223333",
            "status": "ACTIVE",
            "updatedAt": "2021-02-26T21:17:50.905000+00:00",
            "findingType": "ExternalAccess"
        }
    ]
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

  • Einzelheiten zur API finden Sie unter ListFindingsV2 in der AWS CLI Befehlsreferenz.

Das folgende Codebeispiel zeigt die Verwendunglist-findings.

AWS CLI

Um eine Liste von Ergebnissen abzurufen, die vom angegebenen Analysator generiert wurden

Im folgenden list-findings Beispiel wird eine Liste von Ergebnissen abgerufen, die vom angegebenen Analysator in Ihrem AWS Konto generiert wurden. In diesem Beispiel werden die Ergebnisse so gefiltert, dass sie nur IAM-Rollen enthalten, deren Name enthält. Cognito

aws accessanalyzer list-findings \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Ausgabe:

{
    "findings": [
        {
            "id": "597f3bc2-3adc-4c18-9879-5c4b23485e46",
            "principal": {
                "Federated": "cognito-identity.amazonaws.com"
            },
            "action": [
                "sts:AssumeRoleWithWebIdentity"
            ],
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role",
            "isPublic": false,
            "resourceType": "AWS::IAM::Role",
            "condition": {
                "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
            },
            "createdAt": "2021-02-26T21:17:24.710000+00:00",
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "updatedAt": "2021-02-26T21:17:24.710000+00:00",
            "status": "ACTIVE",
            "resourceOwnerAccount": "111122223333"
        },
        {
            "id": "ce0e221a-85b9-4d52-91ff-d7678075442f",
            "principal": {
                "Federated": "cognito-identity.amazonaws.com"
            },
            "action": [
                "sts:AssumeRoleWithWebIdentity"
            ],
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
            "isPublic": false,
            "resourceType": "AWS::IAM::Role",
            "condition": {
                "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
            },
            "createdAt": "2021-02-26T21:17:50.905000+00:00",
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "updatedAt": "2021-02-26T21:17:50.905000+00:00",
            "status": "ACTIVE",
            "resourceOwnerAccount": "111122223333"
        }
    ]
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-findings.

AWS CLI

Um eine Liste von Ergebnissen abzurufen, die vom angegebenen Analysator generiert wurden

Im folgenden list-findings Beispiel wird eine Liste von Ergebnissen abgerufen, die vom angegebenen Analysator in Ihrem AWS Konto generiert wurden. In diesem Beispiel werden die Ergebnisse so gefiltert, dass sie nur IAM-Rollen enthalten, deren Name enthält. Cognito

aws accessanalyzer list-findings \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Ausgabe:

{
    "findings": [
        {
            "id": "597f3bc2-3adc-4c18-9879-5c4b23485e46",
            "principal": {
                "Federated": "cognito-identity.amazonaws.com"
            },
            "action": [
                "sts:AssumeRoleWithWebIdentity"
            ],
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role",
            "isPublic": false,
            "resourceType": "AWS::IAM::Role",
            "condition": {
                "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
            },
            "createdAt": "2021-02-26T21:17:24.710000+00:00",
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "updatedAt": "2021-02-26T21:17:24.710000+00:00",
            "status": "ACTIVE",
            "resourceOwnerAccount": "111122223333"
        },
        {
            "id": "ce0e221a-85b9-4d52-91ff-d7678075442f",
            "principal": {
                "Federated": "cognito-identity.amazonaws.com"
            },
            "action": [
                "sts:AssumeRoleWithWebIdentity"
            ],
            "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role",
            "isPublic": false,
            "resourceType": "AWS::IAM::Role",
            "condition": {
                "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000"
            },
            "createdAt": "2021-02-26T21:17:50.905000+00:00",
            "analyzedAt": "2024-02-16T18:17:47.888000+00:00",
            "updatedAt": "2021-02-26T21:17:50.905000+00:00",
            "status": "ACTIVE",
            "resourceOwnerAccount": "111122223333"
        }
    ]
}

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-policy-generations.

AWS CLI

Um alle in den letzten sieben Tagen angeforderten Richtliniengenerationen aufzulisten

Im folgenden list-policy-generations Beispiel werden alle Versicherungsgenerationen aufgeführt, die in den letzten sieben Tagen in Ihrem AWS Konto angefordert wurden.

aws accessanalyzer list-policy-generations

Ausgabe:

{
    "policyGenerations": [
        {
            "completedOn": "2024-02-14T23:43:38+00:00",
            "jobId": "923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2",
            "principalArn": "arn:aws:iam::111122223333:role/Admin",
            "startedOn": "2024-02-14T23:43:02+00:00",
            "status": "CANCELED"
        },
        {
            "completedOn": "2024-02-14T22:47:01+00:00",
            "jobId": "c557dc4a-0338-4489-95dd-739014860ff9",
            "principalArn": "arn:aws:iam::111122223333:role/Admin",
            "startedOn": "2024-02-14T22:44:41+00:00",
            "status": "SUCCEEDED"
        }
    ]
}

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-policy-generations.

AWS CLI

Um alle in den letzten sieben Tagen angeforderten Richtliniengenerationen aufzulisten

Im folgenden list-policy-generations Beispiel werden alle Versicherungsgenerationen aufgeführt, die in den letzten sieben Tagen in Ihrem AWS Konto angefordert wurden.

aws accessanalyzer list-policy-generations

Ausgabe:

{
    "policyGenerations": [
        {
            "completedOn": "2024-02-14T23:43:38+00:00",
            "jobId": "923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2",
            "principalArn": "arn:aws:iam::111122223333:role/Admin",
            "startedOn": "2024-02-14T23:43:02+00:00",
            "status": "CANCELED"
        },
        {
            "completedOn": "2024-02-14T22:47:01+00:00",
            "jobId": "c557dc4a-0338-4489-95dd-739014860ff9",
            "principalArn": "arn:aws:iam::111122223333:role/Admin",
            "startedOn": "2024-02-14T22:44:41+00:00",
            "status": "SUCCEEDED"
        }
    ]
}

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-tags-for-resource.

AWS CLI

Um eine Liste von Tags abzurufen, die auf die angegebene Ressource angewendet wurden

Im folgenden list-tags-for-resource Beispiel wird eine Liste von Tags abgerufen, die auf die angegebene Ressource in Ihrem AWS Konto angewendet wurden.

aws accessanalyzer list-tags-for-resource \
    --resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "tags": {
        "Zone-of-trust": "Account",
        "Name": "ConsoleAnalyzer"
    }
}

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunglist-tags-for-resource.

AWS CLI

Um eine Liste von Tags abzurufen, die auf die angegebene Ressource angewendet wurden

Im folgenden list-tags-for-resource Beispiel wird eine Liste von Tags abgerufen, die auf die angegebene Ressource in Ihrem AWS Konto angewendet wurden.

aws accessanalyzer list-tags-for-resource \
    --resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account

Ausgabe:

{
    "tags": {
        "Zone-of-trust": "Account",
        "Name": "ConsoleAnalyzer"
    }
}

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungstart-policy-generation.

AWS CLI

Um eine Anfrage zur Richtliniengenerierung zu starten

Im folgenden start-policy-generation Beispiel wird eine Anfrage zur Generierung von Richtlinien in Ihrem AWS Konto gestartet.

aws accessanalyzer start-policy-generation \
    --policy-generation-details '{"principalArn":"arn:aws:iam::111122223333:role/Admin"}' \
    --cloud-trail-details file://myfile.json

Inhalt von myfile.json:

{
    "accessRole": "arn:aws:iam::111122223333:role/service-role/AccessAnalyzerMonitorServiceRole",
    "startTime": "2024-02-13T00:30:00Z",
    "trails": [
        {
            "allRegions": true,
            "cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail"
        }
    ]
}

Ausgabe:

{
    "jobId": "c557dc4a-0338-4489-95dd-739014860ff9"
}

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungstart-policy-generation.

AWS CLI

Um eine Anfrage zur Richtliniengenerierung zu starten

Im folgenden start-policy-generation Beispiel wird eine Anfrage zur Generierung von Richtlinien in Ihrem AWS Konto gestartet.

aws accessanalyzer start-policy-generation \
    --policy-generation-details '{"principalArn":"arn:aws:iam::111122223333:role/Admin"}' \
    --cloud-trail-details file://myfile.json

Inhalt von myfile.json:

{
    "accessRole": "arn:aws:iam::111122223333:role/service-role/AccessAnalyzerMonitorServiceRole",
    "startTime": "2024-02-13T00:30:00Z",
    "trails": [
        {
            "allRegions": true,
            "cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail"
        }
    ]
}

Ausgabe:

{
    "jobId": "c557dc4a-0338-4489-95dd-739014860ff9"
}

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungstart-resource-scan.

AWS CLI

Um sofort einen Scan der Richtlinien zu starten, die auf die angegebene Ressource angewendet wurden

Im folgenden start-resource-scan Beispiel wird sofort ein Scan der Richtlinien gestartet, die auf die angegebene Ressource in Ihrem AWS Konto angewendet wurden.

aws accessanalyzer start-resource-scan \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --resource-arn arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungstart-resource-scan.

AWS CLI

Um sofort einen Scan der Richtlinien zu starten, die auf die angegebene Ressource angewendet wurden

Im folgenden start-resource-scan Beispiel wird sofort ein Scan der Richtlinien gestartet, die auf die angegebene Ressource in Ihrem AWS Konto angewendet wurden.

aws accessanalyzer start-resource-scan \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --resource-arn arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Richtliniengenerierung von IAM Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungtag-resource.

AWS CLI

Um der angegebenen Ressource ein Tag hinzuzufügen

Im folgenden tag-resource Beispiel wird der angegebenen Ressource in Ihrem AWS Konto ein Tag hinzugefügt.

aws accessanalyzer tag-resource \
    --resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --tags Environment=dev,Purpose=testing

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungtag-resource.

AWS CLI

Um der angegebenen Ressource ein Tag hinzuzufügen

Im folgenden tag-resource Beispiel wird der angegebenen Ressource in Ihrem AWS Konto ein Tag hinzugefügt.

aws accessanalyzer tag-resource \
    --resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --tags Environment=dev,Purpose=testing

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunguntag-resource.

AWS CLI

Um Tags aus den angegebenen Ressourcen zu entfernen

Im folgenden untag-resource Beispiel werden Tags aus der angegebenen Ressource in Ihrem AWS Konto entfernt.

aws accessanalyzer untag-resource \
    --resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --tag-keys Environment Purpose

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendunguntag-resource.

AWS CLI

Um Tags aus den angegebenen Ressourcen zu entfernen

Im folgenden untag-resource Beispiel werden Tags aus der angegebenen Ressource in Ihrem AWS Konto entfernt.

aws accessanalyzer untag-resource \
    --resource-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account \
    --tag-keys Environment Purpose

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-archive-rule.

AWS CLI

Um die Kriterien und Werte für die angegebene Archivierungsregel zu aktualisieren

Im folgenden update-archive-rule Beispiel werden die Kriterien und Werte für die angegebene Archivierungsregel in Ihrem AWS Konto aktualisiert.

aws accessanalyzer update-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyArchiveRule \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Archivierungsregeln im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-archive-rule.

AWS CLI

Um die Kriterien und Werte für die angegebene Archivierungsregel zu aktualisieren

Im folgenden update-archive-rule Beispiel werden die Kriterien und Werte für die angegebene Archivierungsregel in Ihrem AWS Konto aktualisiert.

aws accessanalyzer update-archive-rule \
    --analyzer-name UnusedAccess-ConsoleAnalyzer-organization \
    --rule-name MyArchiveRule \
    --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}'

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Archivierungsregeln im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-findings.

AWS CLI

Um den Status der angegebenen Ergebnisse zu aktualisieren

Im folgenden update-findings Beispiel wird der Status der angegebenen Ergebnisse in Ihrem AWS Konto aktualisiert.

aws accessanalyzer update-findings \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization \
    --ids 4f319ac3-2e0c-4dc4-bf51-7013a086b6ae 780d586a-2cce-4f72-aff6-359d450e7500 \
    --status ARCHIVED

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungupdate-findings.

AWS CLI

Um den Status der angegebenen Ergebnisse zu aktualisieren

Im folgenden update-findings Beispiel wird der Status der angegebenen Ergebnisse in Ihrem AWS Konto aktualisiert.

aws accessanalyzer update-findings \
    --analyzer-arn arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization \
    --ids 4f319ac3-2e0c-4dc4-bf51-7013a086b6ae 780d586a-2cce-4f72-aff6-359d450e7500 \
    --status ARCHIVED

Mit diesem Befehl wird keine Ausgabe zurückgegeben.

Weitere Informationen finden Sie unter Using AWS Identity and Access Management Access Analyzer im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungvalidate-policy.

AWS CLI

Um die Validierung einer Richtlinie anzufordern und eine Ergebnisliste zurückzugeben

Das folgende validate-policy Beispiel fordert die Validierung einer Richtlinie an und gibt eine Ergebnisliste zurück. Die Richtlinie im Beispiel ist eine Rollenvertrauensrichtlinie für eine Amazon Cognito Cognito-Rolle, die für den Web-Identitätsverbund verwendet wird. Die Ergebnisse der Vertrauensrichtlinie beziehen sich auf einen leeren Sid Elementwert und ein nicht übereinstimmendes Grundprinzip der Richtlinie, da die falsche Aktion „Rolle übernehmen“ verwendet wurde. sts:AssumeRole Die richtige Aktion „Rolle annehmen“ für die Verwendung mit Cognito iststs:AssumeRoleWithWebIdentity.

aws accessanalyzer validate-policy \
    --policy-document file://myfile.json \
    --policy-type RESOURCE_POLICY

Inhalt von myfile.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Federated": "cognito-identity.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Condition": {
                "StringEquals": {
                    "cognito-identity.amazonaws.com:aud": "us-west-2_EXAMPLE"
                }
            }
        }
    ]
}

Ausgabe:

{
    "findings": [
        {
            "findingDetails": "Add a value to the empty string in the Sid element.",
            "findingType": "SUGGESTION",
            "issueCode": "EMPTY_SID_VALUE",
            "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-suggestion-empty-sid-value",
            "locations": [
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Sid"
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 21,
                            "line": 5,
                            "offset": 81
                        },
                        "start": {
                            "column": 19,
                            "line": 5,
                            "offset": 79
                        }
                    }
                }
            ]
        },
        {
            "findingDetails": "The sts:AssumeRole action is invalid with the following principal(s): cognito-identity.amazonaws.com. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.",
            "findingType": "ERROR",
            "issueCode": "MISMATCHED_ACTION_FOR_PRINCIPAL",
            "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-mismatched-action-for-principal",
            "locations": [
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Action"
                        },
                        {
                            "index": 0
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 32,
                            "line": 11,
                            "offset": 274
                        },
                        "start": {
                            "column": 16,
                            "line": 11,
                            "offset": 258
                        }
                    }
                },
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Principal"
                        },
                        {
                            "value": "Federated"
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 61,
                            "line": 8,
                            "offset": 202
                        },
                        "start": {
                            "column": 29,
                            "line": 8,
                            "offset": 170
                        }
                    }
                }
            ]
        },
        {
            "findingDetails": "The following actions: sts:TagSession are not supported by the condition key cognito-identity.amazonaws.com:aud. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.",
            "findingType": "ERROR",
            "issueCode": "UNSUPPORTED_ACTION_FOR_CONDITION_KEY",
            "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-unsupported-action-for-condition-key",
            "locations": [
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Action"
                        },
                        {
                            "index": 1
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 32,
                            "line": 12,
                            "offset": 308
                        },
                        "start": {
                            "column": 16,
                            "line": 12,
                            "offset": 292
                        }
                    }
                },
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Condition"
                        },
                        {
                            "value": "StringEquals"
                        },
                        {
                            "value": "cognito-identity.amazonaws.com:aud"
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 79,
                            "line": 16,
                            "offset": 464
                        },
                        "start": {
                            "column": 58,
                            "line": 16,
                            "offset": 443
                        }
                    }
                }
            ]
        }
    ]
}

Weitere Informationen finden Sie unter Checks for Validating Policies im AWS IAM-Benutzerhandbuch.

Das folgende Codebeispiel zeigt die Verwendungvalidate-policy.

AWS CLI

Um die Validierung einer Richtlinie anzufordern und eine Ergebnisliste zurückzugeben

Das folgende validate-policy Beispiel fordert die Validierung einer Richtlinie an und gibt eine Ergebnisliste zurück. Die Richtlinie im Beispiel ist eine Rollenvertrauensrichtlinie für eine Amazon Cognito Cognito-Rolle, die für den Web-Identitätsverbund verwendet wird. Die Ergebnisse der Vertrauensrichtlinie beziehen sich auf einen leeren Sid Elementwert und ein nicht übereinstimmendes Grundprinzip der Richtlinie, da die falsche Aktion „Rolle übernehmen“ verwendet wurde. sts:AssumeRole Die richtige Aktion „Rolle annehmen“ für die Verwendung mit Cognito iststs:AssumeRoleWithWebIdentity.

aws accessanalyzer validate-policy \
    --policy-document file://myfile.json \
    --policy-type RESOURCE_POLICY

Inhalt von myfile.json:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "",
            "Effect": "Allow",
            "Principal": {
                "Federated": "cognito-identity.amazonaws.com"
            },
            "Action": [
                "sts:AssumeRole",
                "sts:TagSession"
            ],
            "Condition": {
                "StringEquals": {
                    "cognito-identity.amazonaws.com:aud": "us-west-2_EXAMPLE"
                }
            }
        }
    ]
}

Ausgabe:

{
    "findings": [
        {
            "findingDetails": "Add a value to the empty string in the Sid element.",
            "findingType": "SUGGESTION",
            "issueCode": "EMPTY_SID_VALUE",
            "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-suggestion-empty-sid-value",
            "locations": [
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Sid"
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 21,
                            "line": 5,
                            "offset": 81
                        },
                        "start": {
                            "column": 19,
                            "line": 5,
                            "offset": 79
                        }
                    }
                }
            ]
        },
        {
            "findingDetails": "The sts:AssumeRole action is invalid with the following principal(s): cognito-identity.amazonaws.com. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.",
            "findingType": "ERROR",
            "issueCode": "MISMATCHED_ACTION_FOR_PRINCIPAL",
            "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-mismatched-action-for-principal",
            "locations": [
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Action"
                        },
                        {
                            "index": 0
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 32,
                            "line": 11,
                            "offset": 274
                        },
                        "start": {
                            "column": 16,
                            "line": 11,
                            "offset": 258
                        }
                    }
                },
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Principal"
                        },
                        {
                            "value": "Federated"
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 61,
                            "line": 8,
                            "offset": 202
                        },
                        "start": {
                            "column": 29,
                            "line": 8,
                            "offset": 170
                        }
                    }
                }
            ]
        },
        {
            "findingDetails": "The following actions: sts:TagSession are not supported by the condition key cognito-identity.amazonaws.com:aud. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.",
            "findingType": "ERROR",
            "issueCode": "UNSUPPORTED_ACTION_FOR_CONDITION_KEY",
            "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-unsupported-action-for-condition-key",
            "locations": [
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Action"
                        },
                        {
                            "index": 1
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 32,
                            "line": 12,
                            "offset": 308
                        },
                        "start": {
                            "column": 16,
                            "line": 12,
                            "offset": 292
                        }
                    }
                },
                {
                    "path": [
                        {
                            "value": "Statement"
                        },
                        {
                            "index": 0
                        },
                        {
                            "value": "Condition"
                        },
                        {
                            "value": "StringEquals"
                        },
                        {
                            "value": "cognito-identity.amazonaws.com:aud"
                        }
                    ],
                    "span": {
                        "end": {
                            "column": 79,
                            "line": 16,
                            "offset": 464
                        },
                        "start": {
                            "column": 58,
                            "line": 16,
                            "offset": 443
                        }
                    }
                }
            ]
        }
    ]
}

Weitere Informationen finden Sie unter Checks for Validating Policies im AWS IAM-Benutzerhandbuch.

Auf dieser Seite

DatenschutzNutzungsbedingungen für die WebsiteCookie-Einstellungen
© 2025, Amazon Web Services, Inc. oder Tochtergesellschaften. Alle Rechte vorbehalten.