Beheben von Erkenntnissen von IAM Access Analyzer - AWS Identity and Access Management
Beheben von RessourcenerkenntnissenErkenntnisse zum ungenutzten Zugriff auflösen

Beheben von Erkenntnissen von IAM Access Analyzer

Beheben von Ressourcenerkenntnissen

Um Erkenntnisse zum externen und internen Zugriff zu beheben, die durch unbeabsichtigten Zugriff generiert wurden, sollten Sie die Richtlinie ändern und die Berechtigungen entfernen, die den Zugriff auf die identifizierte Ressource ermöglichen.

Um Erkenntnisse zu Amazon-S3-Buckets zu gewinnen, verwenden Sie die Amazon-S3-Konsole, um die Berechtigungen für den Bucket zu konfigurieren.

Bei IAM-Rollen verwenden Sie die IAM-Konsole zum Ändern der Vertrauensrichtlinie für die aufgeführte IAM-Rolle.

Verwenden Sie für andere unterstützte Ressourcen die Konsole, um die Richtlinien zu ändern, die zu einer generierten Erkenntnis geführt haben.

Nachdem Sie eine Änderung zum Beheben einer Ressourcenerkenntnis vorgenommen haben, z. B. durch Ändern einer auf eine IAM-Rolle angewendeten Richtlinie, scannt IAM Access Analyzer die Ressource erneut. Wenn der Zugriff auf die Ressource entfernt wird, wird der Status der Erkenntnis in Gelöst geändert. Die Erkenntnis wird dann in der Liste der behobenen Erkenntnisse statt in der Liste der aktiven Erkenntnisse angezeigt.

Anmerkung

Dies gilt nicht für Fehlerergebnisse. Wenn IAM Access Analyzer eine Ressource nicht analysieren kann, wird eine fehlerhafte Erkenntnis generiert. Wenn Sie das Problem beheben, das IAM Access Analyzer daran gehindert hat, die Ressource zu analysieren, wird die fehlerhafte Erkenntnis vollständig entfernt, anstatt in eine behobene Erkenntnis geändert zu werden. Weitere Informationen finden Sie unter Fehlererkenntnisse des IAM Access Analyzers.

Wenn die von Ihnen vorgenommenen Änderungen zu einem externen oder internen Zugriff auf die Ressource geführt haben, allerdings auf eine andere Weise, z. B. mit einem anderen Prinzipal oder einer anderen Berechtigung, behebt IAM Access Analyzer die ursprüngliche Erkenntnis und generiert eine neue aktive Erkenntnis. Wenn die von Ihnen vorgenommenen Änderungen zu internen Fehlern oder Zugriffsverweigerungsfehlern geführt haben, werden alle aktiven, nicht fehlerhaften Erkenntnisse, die mit dem spezifischen Zugriff auf die Ressource verknüpft sind, behoben und ein neues Fehlerergebnis wird generiert.

Anmerkung

Für Analyzers für externen Zugriff kann es bis zu 30 Minuten dauern, nachdem eine Richtlinie geändert wurde, damit IAM Access Analyzer die Ressource wieder analysiert und die Erkenntnis aktualisiert.

Bei Analyzers für internen Zugriff kann es mehrere Minuten oder Stunden dauern, bis die Ressource erneut von IAM Access Analyzer analysiert und die Erkenntnis aktualisiert wird. IAM Access Analyzer scannt automatisch alle 24 Stunden erneut alle Richtlinien.

Gelöste Ergebnisse werden 90 Tage nach der letzten Aktualisierung des Ergebnisstatus gelöscht.

Erkenntnisse zum ungenutzten Zugriff auflösen

IAM Access Analyzer bietet je nach Art des Erkenntnisses empfohlene Schritte zur Behebung von Erkenntnissen des ungenutzten Zugriffs-Analyzer.

Nachdem Sie eine Änderung zur Auflösung eines Ergebnisses für ungenutzten Zugriff vorgenommen haben, wird der Status des Ergebnisses in Gelöst geändert, wenn der Analysator für ungenutzten Zugriff das nächste Mal ausgeführt wird. Die Erkenntnis wird nicht mehr in der Liste der aktiven Erkenntnisse, sondern in der Liste der gelösten Erkenntnisse angezeigt. Wenn Sie eine Änderung vornehmen, mit der ein Ergebnis zum ungenutzten Zugriff nur teilweise behoben wird, wird der vorhandene Ergebnis zu Gelöst geändert, es wird jedoch ein neues Ergebnis generiert. Dies ist beispielsweise der Fall, wenn Sie nur einige der nicht verwendeten Berechtigungen in einer Erkenntnis entfernen, jedoch nicht alle.

IAM Access Analyzer erhebt Gebühren für die Analyse des ungenutzten Zugriffs auf der Grundlage der Anzahl der pro Monat analysierten IAM-Rollen und -Benutzer. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAM Access Analyzer.

Erkenntnisse zu ungenutzte Berechtigungen auflösen

Bei Erkenntnissen ungenutzter Berechtigungen kann IAM Access Analyzer Richtlinien empfehlen, die von einem IAM-Benutzer oder einer IAM-Rolle entfernt werden sollen, und neue Richtlinien bereitstellen, um vorhandene Berechtigungsrichtlinien zu ersetzen. Die Richtlinienempfehlung wird in den folgenden Szenarien nicht unterstützt:

  • Die Erkenntnis der ungenutzten Berechtigung bezieht sich auf einen IAM-Benutzer, der einer Gruppe angehört.

  • Die Erkenntnis der ungenutzten Berechtigung bezieht sich auf eine IAM-Rolle für IAM Identity Center.

  • Die Erkenntnis der ungenutzten Berechtigung verfügt bereits über eine Berechtigungsrichtlinie, die das notAction-Element enthält.

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Ungenutzter Zugriff aus.

  3. Wählen Sie eine Erkenntnis mit dem Erkenntnistyp für Ungenutzte Berechtigungen aus.

  4. Wenn im Abschnitt Empfehlungen in der Spalte Empfohlene Richtlinie Richtlinien aufgeführt sind, wählen Sie Richtlinienvorschau aus, um die vorhandene Richtlinie mit der empfohlenen Richtlinie als Ersatz für die vorhandene Richtlinie anzuzeigen. Wenn mehrere empfohlene Richtlinien vorhanden sind, können Sie Nächste Richtlinie und Vorherige Richtlinie auswählen, um alle vorhandenen und empfohlenen Richtlinien anzuzeigen.

  5. Wählen Sie JSON herunterladen, um eine ZIP-Datei mit JSON-Dateien aller empfohlenen Richtlinien herunterzuladen.

  6. Erstellen Sie die empfohlenen Richtlinien und fügen Sie sie dem IAM-Benutzer oder der IAM-Rolle hinzu. Weitere Informationen finden Sie unter Ändern der Berechtigungen für einen Benutzer (Konsole) und Ändern einer Rollenberechtigungsrichtlinie (Konsole).

  7. Entfernen Sie die in der Spalte Vorhandene Berechtigungsrichtlinie aufgeführten Richtlinien vom IAM-Benutzer oder der IAM-Rolle. Weitere Informationen finden Sie unter Entfernen der Berechtigungen eines Benutzers (Konsole) und Ändern einer Rollenberechtigungsrichtlinie (Konsole).

Behebung von Erkenntnisse ungenutzter Rollen

Bei Erkenntnissen ungenutzter Rollen empfiehlt IAM Access Analyzer, die ungenutzte IAM-Rolle zu löschen.

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Ungenutzter Zugriff aus.

  3. Wählen Sie eine Erkenntnis mit dem Erkenntnistyp Ungenutzt aus.

  4. Überprüfen Sie im Abschnitt Empfehlungen die Details der IAM-Rolle.

  5. Löschen Sie die IAM-Rolle. Weitere Informationen finden Sie unter Löschen einer IAM-Rolle (Konsole).

Erkenntnisse zu ungenutzten Zugriffsschlüsseln auflösen

Bei Erkenntnissen ungenutzter Zugriffsschlüsseln empfiehlt IAM Access Analyzer, den ungenutzten Zugriffsschlüssel zu deaktivieren oder zu löschen.

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Ungenutzter Zugriff aus.

  3. Wählen Sie eine Erkenntnis mit dem Erkenntnistyp Ungenutzte Zugriffsschlüssel aus.

  4. Überprüfen Sie im Abschnitt Empfehlungen die Details des Zugriffsschlüssels.

  5. Deaktivieren oder löschen Sie den Zugriffsschlüssel. Weitere Informationen finden Sie unter Verwaltung von Zugriffsschlüsseln (Konsole).

Auflösung von Erkenntnissen ungenutzter Passwörter

Bei Erkenntnissen ungenutzter Passwörter empfiehlt IAM Access Analyzer, das unbenutzte Passwort für den IAM-Benutzer zu löschen.

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Ungenutzter Zugriff aus.

  3. Wählen Sie ein Erkenntnis aus mit dem Erkenntnistyp für Ungenutztes Passwort.

  4. Überprüfen Sie im Abschnitt Empfehlungen die Details des IAM-Benutzers.

  5. Löschen Sie das Passwort des IAM-Benutzers. Weitere Informationen finden Sie unter Erstellen, Ändern oder Löschen eines IAM-Benutzerpassworts (Konsole).