Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Grundlegendes zur Funktionsweise der Erkenntnisse von IAM Access Analyzer
In diesem Thema werden die in IAM Access Analyzer verwendeten Konzepte und Begriffe beschrieben, damit Sie sich damit vertraut machen können, wie IAM Access Analyzer den Zugriff auf Ihre AWS Ressourcen überwacht.
Ergebnisse zum externen Zugriff
Ergebnisse zum externen Zugriff werden für jede Instance einer Ressource, die außerhalb Ihrer Vertrauenszone freigegeben wird, nur einmal generiert. Jedes Mal, wenn eine ressourcenbasierte Richtlinie geändert wird, analysiert IAM Access Analyzer die Richtlinie. Wenn die aktualisierte Richtlinie eine Ressource freigibt, die bereits mit anderen Berechtigungen oder Bedingungen in einem Ergebnis identifiziert wurde, wird für diese Instance der Ressourcenfreigabe ein neues Ergebnis generiert. Änderungen an einer Ressourcen-Kontrollrichtlinie, die sich auf die Einschränkung der Ressourcen-Kontrollrichtlinie (RCP) auswirken, führen ebenfalls zu einer neuen Erkenntnis. Der IAM Access Analyzer wertet auch Zugriffskontrollkonfigurationen aus, die durch deklarative Richtlinien festgelegt wurden. Wenn der Zugriff im ersten Ergebnis entfernt wird, erhält dieses Ergebnis den Status Gelöst.
Der Status aller Ergebnisse bleibt Aktiv, bis Sie sie archivieren oder den Zugriff, der das Ergebnis generiert hat, entfernen. Wenn Sie den Zugriff entfernen, wird der Ergebnisstatus auf Gelöst aktualisiert.
Anmerkung
Es kann bis zu 30 Minuten dauern, nachdem eine Richtlinie geändert wurde, damit IAM Access Analyzer die Ressource analysiert und das Ergebnis zum externen Zugriff aktualisiert. Änderungen an einer Ressourcenkontrollrichtlinie (RCP) lösen keine erneute Suche der in dem Erkenntnis gemeldeten Ressource aus. IAM Access Analyzer analysiert die neue oder aktualisierte Richtlinie bei der nächsten periodischen Überprüfung, die innerhalb von 24 Stunden stattfindet.
So generiert IAM Access Analyzer Erkenntnisse für externen Zugriff
AWS Identity and Access Management Access Analyzer verwendet eine Technologie namens Zelkova
Zelkova übersetzt IAM-Richtlinien in äquivalente logische Aussagen und führt sie durch eine Reihe allgemeiner und spezialisierter logischer Löser (Erfüllbarkeits-Modulo-Theorien). IAM Access Analyzer wendet Zelkova wiederholt auf eine Richtlinie an und verwendet dabei zunehmend spezifische Abfragen, um die Zugriffsarten zu charakterisieren, die die Richtlinie basierend auf ihrem Inhalt zulässt. Weitere Informationen zu den Satisfiability Modulo-Theorien finden Sie unter Satisfiability Modulo-Theorien
Bei Analyzer für externen Zugriff überprüft IAM Access Analyzer keine Zugriffsprotokolle, um festzustellen, ob eine externe Entität auf eine Ressource innerhalb Ihrer Vertrauenszone zugegriffen hat. Stattdessen wird eine Erkenntnis generiert, wenn eine ressourcenbasierte Richtlinie den Zugriff auf eine Ressource zulässt, unabhängig davon, ob die externe Entität auf die Ressource zugegriffen hat.
Darüber hinaus berücksichtigt IAM Access Analyzer nicht den Status externer Konten bei der Ermittlung. Wenn angegeben wird, dass das Konto 111122223333 auf Ihren Amazon-S3-Bucket zugreifen kann, liegen keine Informationen zu den Benutzern, Rollen, Service-Kontrollrichtlinien (SCP) oder anderen relevanten Konfigurationen in diesem Konto vor. Dies dient dem Datenschutz der Kunden, da IAM Access Analyzer nicht weiß, wem das andere Konto gehört. Dies dient auch der Sicherheit, da es wichtig ist, über potenzielle externe Zugriffe Bescheid zu wissen, auch wenn derzeit keine aktiven Prinzipale vorhanden sind, die diesen nutzen können.
IAM Access Analyzer berücksichtigt nur bestimmte IAM-Bedingungsschlüssel, auf die externe Benutzer keinen direkten Einfluss haben oder die sich auf andere Weise auf die Autorisierung auswirken. Beispiele für Bedingungsschlüssel, die IAM Access Analyzer berücksichtigt, finden Sie unter Filterschlüssel für IAM Access Analyzer.
IAM Access Analyzer meldet derzeit keine Ergebnisse von AWS-Service Prinzipalen oder internen Dienstkonten. In seltenen Fällen, in denen nicht eindeutig festgestellt werden kann, ob eine Richtlinienanweisung einer externen Entität Zugriff gewährt, besteht die Gefahr, dass ein falsch positives Erkenntnis ausgegeben wird. Dies liegt daran, dass IAM Access Analyzer darauf ausgelegt ist, einen umfassenden Überblick über die Ressourcenfreigabe in Ihrem Konto zu bieten und falsch-negative Ergebnisse zu minimieren.
Erkenntnisse zum internen Zugriff
Um die interne Zugriffsanalyse zu nutzen, müssen Sie den Analyzer zunächst konfigurieren, indem Sie die zu überwachenden Ressourcen auswählen. Nach der Konfiguration werden interne Zugriffserkenntnisse generiert, wenn ein Prinzipal (IAM-Benutzer oder -Rolle) innerhalb Ihrer Organisation oder Ihres Kontos Zugriff auf die ausgewählten Ressourcen hat. Eine neue Erkenntnis wird generiert, sobald der Analyzer die angegebenen Ressourcen das nächste Mal scannt und einen Prinzipal identifiziert, der Zugriff auf die Ressourcen hat. Wenn eine aktualisierte Richtlinie einen Prinzipal zulässt, der bereits in einer Erkenntnis identifiziert wurde, jedoch mit anderen Berechtigungen oder Bedingungen, wird eine neue Erkenntnis für diese Instance des Prinzipals und der Ressource generiert. Diese aktualisierte Richtlinie kann eine ressourcenbasierte Richtlinie, eine identitätsbasierte Richtlinie, eine Service-Kontrollrichtlinie (SCP) oder eine Ressourcen-Kontrollrichtlinie (RCP) sein. Der IAM Access Analyzer wertet auch Zugriffskontrollkonfigurationen aus, die durch deklarative Richtlinien festgelegt wurden.
Anmerkung
Ergebnisse des internen Zugriffs sind nur mit der ListFindingsV2-API-Aktion verfügbar.
So generiert IAM Access Analyzer Erkenntnisse für internen Zugriff
Zur Analyse des internen Zugriffs müssen Sie einen separaten Analyzer für interne Zugriffserkenntnisse Ihrer Ressourcen erstellen, selbst wenn Sie bereits einen Analyzer für externe Zugriffserkenntnisse oder Erkenntnisse ungenutzter Zugriffe erstellt haben.
Nach der Erstellung des internen Zugriffsanalysators bewertet IAM Access Analyzer alle ressourcenbasierten Richtlinien, identitätsbasierten Richtlinien, Dienststeuerungsrichtlinien (SCPs), Ressourcenkontrollrichtlinien (RCPs) und Berechtigungsgrenzen innerhalb Ihres angegebenen Kontos oder Ihrer Organisation.
Durch die Erstellung eines Analyzer speziell für den internen Zugriff auf Ihre ausgewählten Ressourcen können Sie Folgendes ermitteln:
-
Wann ein Prinzipal in Ihrer Organisation oder Ihrem Konto auf Ihre ausgewählten Ressourcen zugreifen kann.
-
Die Gesamtzahl der effektiven Berechtigungen, die einem Prinzipal basierend auf der Schnittmenge aller anwendbaren Richtlinien gewährt werden
-
Komplexe Zugriffspfade, über die ein Prinzipal durch die Kombination von Identitäts- und Ressourcenrichtlinien Zugriff erhält
Anmerkung
IAM Access Analyzer kann keine internen Zugriffserkenntnisse für Organisationen mit mehr als 70 000 Prinzipale (IAM-Benutzer und Rollen zusammen) generieren.
Erkenntnisse zum ungenutzten Zugriff
Erkenntnisse zum ungenutzten Zugriff werden für IAM-Entitäten (Prinzipale) innerhalb des ausgewählten Kontos oder der Organisation basierend auf der Anzahl von Tagen generiert, die bei der Erstellung des Analyzer angegeben wurde. Wenn der Analysator die Entitäten das nächste Mal scannt, wird ein neues Ergebnis generiert, wenn eine der folgenden Bedingungen erfüllt ist:
-
Eine Rolle ist für die angegebene Anzahl von Tagen inaktiv.
-
Eine ungenutzte Berechtigung, ein ungenutztes Benutzerpasswort oder ein ungenutzter Benutzerzugriffsschlüssel überschreitet die angegebene Anzahl von Tagen.
So generiert IAM Access Analyzer Erkenntnisse für ungenutzten Zugriff
Um ungenutzte Zugriffe zu analysieren, müssen Sie für Ihre Rollen einen separaten Analyzer für Erkenntnisse zu ungenutzten Zugriffen erstellen, auch wenn Sie bereits einen Analyzer zum Generieren von Erkenntnissen zu externen oder internen Zugriffen für Ihre Ressourcen erstellt haben.
Nach der Erstellung des Analyzers für ungenutzten Zugriff überprüft der IAM Access Analyzer die Zugriffsaktivität, um ungenutzten Zugriff zu identifizieren. IAM Access Analyzer untersucht die Informationen, auf die zuletzt zugegriffen wurde, für alle IAM-Benutzer, IAM-Rollen, einschließlich Servicerollen, Benutzerzugriffsschlüssel und Benutzerkennwörter in Ihrer AWS Organisation und Ihren Konten. Auf diese Weise können Sie ungenutzten Zugriff identifizieren.
Anmerkung
Eine serviceverknüpfte Rolle ist eine spezielle Art von Servicerolle, die mit einem Dienst verknüpft ist AWS-Service und diesem gehört. Serviceverknüpfte Rollen werden von ungenutzten Zugriffs-Analyzern nicht analysiert.
Für aktive IAM-Rollen und Benutzer verwendet IAM Access Analyzer Informationen über den letzten Zugriff auf IAM-Services und -Aktionen, um ungenutzte Berechtigungen zu identifizieren. Auf diese Weise können Sie Ihren Überprüfungsprozess auf AWS Organisations- und Kontoebene skalieren. Sie können die Informationen zum letzten Zugriff auf die Aktion auch für eine eingehendere Untersuchung einzelner Rollen verwenden. Dadurch erhalten Sie einen genaueren Einblick darüber, welche spezifischen Berechtigungen nicht genutzt werden.
Indem Sie einen Analysator speziell für ungenutzten Zugriff einrichten, können Sie ungenutzten Zugriff in Ihrer gesamten AWS Umgebung umfassend überprüfen und identifizieren und so die Ergebnisse Ihres vorhandenen externen Zugriffsanalysegeräts ergänzen.
