Beheben von Erkenntnissen von IAM Access Analyzer - AWS Identitäts- und Zugriffsverwaltung
Behebung von RessourcenfeststellungenErkenntnisse zum ungenutzten Zugriff auflösen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Beheben von Erkenntnissen von IAM Access Analyzer

Behebung von Ressourcenfeststellungen

Um Probleme mit externen und internen Zugriffen zu beheben, die aufgrund eines unbeabsichtigten Zugriffs entstanden sind, sollten Sie die Richtlinienerklärung dahingehend ändern, dass die Berechtigungen, die den Zugriff auf die identifizierte Ressource ermöglichen, entfernt werden.

Um Erkenntnisse zu Amazon-S3-Buckets zu gewinnen, verwenden Sie die Amazon-S3-Konsole, um die Berechtigungen für den Bucket zu konfigurieren.

Bei IAM-Rollen verwenden Sie die IAM-Konsole zum Ändern der Vertrauensrichtlinie für die aufgeführte IAM-Rolle.

Verwenden Sie für andere unterstützte Ressourcen die Konsole, um die Richtlinien zu ändern, die zu einer generierten Erkenntnis geführt haben.

Nachdem Sie eine Änderung zur Behebung eines Ressourcenproblems vorgenommen haben, z. B. eine auf eine IAM-Rolle angewendete Richtlinie geändert haben, scannt IAM Access Analyzer die Ressource erneut. Wenn der Zugriff auf die Ressource aufgehoben wird, wird der Status des Ergebnisses in „Gelöst“ geändert. Die Erkenntnis wird dann in der Liste der behobenen Erkenntnisse statt in der Liste der aktiven Erkenntnisse angezeigt.

Anmerkung

Dies gilt nicht für Fehlerergebnisse. Wenn IAM Access Analyzer eine Ressource nicht analysieren kann, wird eine fehlerhafte Erkenntnis generiert. Wenn Sie das Problem beheben, das IAM Access Analyzer daran gehindert hat, die Ressource zu analysieren, wird die fehlerhafte Erkenntnis vollständig entfernt, anstatt in eine behobene Erkenntnis geändert zu werden. Weitere Informationen finden Sie unter IAM Access Analyzer-Fehlerergebnisse.

Wenn die von Ihnen vorgenommenen Änderungen zu einem externen oder internen Zugriff auf die Ressource geführt haben, jedoch auf andere Weise, z. B. mit einem anderen Prinzipal oder mit einer anderen Berechtigung, generiert IAM Access Analyzer einen neuen Befund vom Typ Aktiv.

Anmerkung

Bei externen Zugriffsanalyseprogrammen kann es bis zu 30 Minuten dauern, bis IAM Access Analyzer nach der Änderung einer Richtlinie die Ressource erneut analysiert und das Ergebnis anschließend aktualisiert.

Bei internen Access Analyzern kann es mehrere Minuten oder Stunden dauern, bis IAM Access Analyzer die Ressource erneut analysiert und dann das Ergebnis aktualisiert. IAM Access Analyzer scannt alle Richtlinien automatisch alle 24 Stunden erneut.

Gelöste Ergebnisse werden 90 Tage nach der letzten Aktualisierung des Ergebnisstatus gelöscht.

Erkenntnisse zum ungenutzten Zugriff auflösen

IAM Access Analyzer bietet je nach Art des Erkenntnisses empfohlene Schritte zur Behebung von Erkenntnissen des ungenutzten Zugriffs-Analyzer.

Nachdem Sie eine Änderung zur Auflösung eines Ergebnisses für ungenutzten Zugriff vorgenommen haben, wird der Status des Ergebnisses in Gelöst geändert, wenn der Analysator für ungenutzten Zugriff das nächste Mal ausgeführt wird. Die Erkenntnis wird nicht mehr in der Liste der aktiven Erkenntnisse, sondern in der Liste der gelösten Erkenntnisse angezeigt. Wenn Sie eine Änderung vornehmen, mit der ein Ergebnis zum ungenutzten Zugriff nur teilweise behoben wird, wird der vorhandene Ergebnis zu Gelöst geändert, es wird jedoch ein neues Ergebnis generiert. Dies ist beispielsweise der Fall, wenn Sie nur einige der nicht verwendeten Berechtigungen in einer Erkenntnis entfernen, jedoch nicht alle.

IAM Access Analyzer erhebt Gebühren für die Analyse des ungenutzten Zugriffs auf der Grundlage der Anzahl der pro Monat analysierten IAM-Rollen und -Benutzer. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAM Access Analyzer.

Erkenntnisse zu ungenutzte Berechtigungen auflösen

Bei Erkenntnissen ungenutzter Berechtigungen kann IAM Access Analyzer Richtlinien empfehlen, die von einem IAM-Benutzer oder einer IAM-Rolle entfernt werden sollen, und neue Richtlinien bereitstellen, um vorhandene Berechtigungsrichtlinien zu ersetzen. Die Richtlinienempfehlung wird in den folgenden Szenarien nicht unterstützt:

  • Die Erkenntnis der ungenutzten Berechtigung bezieht sich auf einen IAM-Benutzer, der einer Gruppe angehört.

  • Die Erkenntnis der ungenutzten Berechtigung bezieht sich auf eine IAM-Rolle für IAM Identity Center.

  • Die Erkenntnis der ungenutzten Berechtigung verfügt bereits über eine Berechtigungsrichtlinie, die das notAction-Element enthält.

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie Ungenutzter Zugriff aus.

  3. Wählen Sie eine Erkenntnis mit dem Erkenntnistyp für Ungenutzte Berechtigungen aus.

  4. Wenn im Abschnitt Empfehlungen in der Spalte Empfohlene Richtlinie Richtlinien aufgeführt sind, wählen Sie Richtlinienvorschau aus, um die vorhandene Richtlinie mit der empfohlenen Richtlinie als Ersatz für die vorhandene Richtlinie anzuzeigen. Wenn mehrere empfohlene Richtlinien vorhanden sind, können Sie Nächste Richtlinie und Vorherige Richtlinie auswählen, um alle vorhandenen und empfohlenen Richtlinien anzuzeigen.

  5. Wählen Sie JSON herunterladen, um eine ZIP-Datei mit JSON-Dateien aller empfohlenen Richtlinien herunterzuladen.

  6. Erstellen Sie die empfohlenen Richtlinien und fügen Sie sie dem IAM-Benutzer oder der IAM-Rolle hinzu. Weitere Informationen finden Sie unter Ändern der Berechtigungen für einen Benutzer (Konsole) und Ändern einer Rollenberechtigungsrichtlinie (Konsole).

  7. Entfernen Sie die in der Spalte Vorhandene Berechtigungsrichtlinie aufgeführten Richtlinien vom IAM-Benutzer oder der IAM-Rolle. Weitere Informationen finden Sie unter Entfernen der Berechtigungen eines Benutzers (Konsole) und Ändern einer Rollenberechtigungsrichtlinie (Konsole).

Behebung von Erkenntnisse ungenutzter Rollen

Bei Erkenntnissen ungenutzter Rollen empfiehlt IAM Access Analyzer, die ungenutzte IAM-Rolle zu löschen.

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie Ungenutzter Zugriff aus.

  3. Wählen Sie eine Erkenntnis mit dem Erkenntnistyp Ungenutzt aus.

  4. Überprüfen Sie im Abschnitt Empfehlungen die Details der IAM-Rolle.

  5. Löschen Sie die IAM-Rolle. Weitere Informationen finden Sie unter Löschen einer IAM-Rolle (Konsole).

Erkenntnisse zu ungenutzten Zugriffsschlüsseln auflösen

Bei Erkenntnissen ungenutzter Zugriffsschlüsseln empfiehlt IAM Access Analyzer, den ungenutzten Zugriffsschlüssel zu deaktivieren oder zu löschen.

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie Ungenutzter Zugriff aus.

  3. Wählen Sie eine Erkenntnis mit dem Erkenntnistyp Ungenutzte Zugriffsschlüssel aus.

  4. Überprüfen Sie im Abschnitt Empfehlungen die Details des Zugriffsschlüssels.

  5. Deaktivieren oder löschen Sie den Zugriffsschlüssel. Weitere Informationen finden Sie unter Verwaltung von Zugriffsschlüsseln (Konsole).

Auflösung von Erkenntnissen ungenutzter Passwörter

Bei Erkenntnissen ungenutzter Passwörter empfiehlt IAM Access Analyzer, das unbenutzte Passwort für den IAM-Benutzer zu löschen.

  1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

  2. Wählen Sie Ungenutzter Zugriff aus.

  3. Wählen Sie ein Erkenntnis aus mit dem Erkenntnistyp für Ungenutztes Passwort.

  4. Überprüfen Sie im Abschnitt Empfehlungen die Details des IAM-Benutzers.

  5. Löschen Sie das Passwort des IAM-Benutzers. Weitere Informationen finden Sie unter Erstellen, Ändern oder Löschen eines IAM-Benutzerpassworts (Konsole).