Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

IAM Access Analyzer unterstützte Ressourcentypen für externen und internen Zugriff

Für externe und interne Zugriffsanalysatoren analysiert IAM Access Analyzer die ressourcenbasierten Richtlinien, die auf AWS Ressourcen in der Region angewendet werden, in der Sie IAM Access Analyzer aktiviert haben. Es werden nur ressourcenbasierte Richtlinien analysiert. Einzelheiten dazu, wie IAM Access Analyzer Ergebnisse für jeden Ressourcentyp generiert, finden Sie in den Informationen zum Ressourcentyp.

Unterstützte Ressourcentypen für den internen Zugriff:

Amazon-Simple-Storage-Service-Buckets

Wenn IAM Access Analyzer Amazon S3 S3-Buckets auf externe Zugriffsanalysatoren analysiert, generiert er einen Befund, wenn eine Amazon S3 S3-Bucket-Richtlinie, eine Zugriffskontrollliste (ACL) oder ein Access Point, einschließlich eines Access Points mit mehreren Regionen, auf einen Bucket angewendet wird, Zugriff auf eine externe Entität gewährt. Eine externe Entität ist ein Prinzipal oder eine andere Entität, mit der Sie einen Filter erstellen können, der sich nicht innerhalb Ihrer Vertrauenszone befindet. Wenn beispielsweise eine Bucket-Richtlinie Zugriff auf ein anderes Konto gewährt oder öffentlichen Zugriff zulässt, generiert IAM Access Analyzer ein Ergebnis. Wenn Sie Block Public Access (Öffentlichen Zugriff blockieren) aktivieren, können Sie den Zugriff auf Konto- oder Bucket-Ebene blockieren.

Für interne Zugriffsanalysatoren generiert IAM Access Analyzer einen Befund, wenn ein Principal (Benutzer oder Rolle) innerhalb Ihrer Organisation oder Ihres Kontos Zugriff auf einen bestimmten Amazon S3 S3-Bucket hat.

Die Einstellungen für Amazon S3 Block Public Access haben Vorrang vor den Bucket-Richtlinien, die auf den Bucket angewendet werden. Die Einstellungen überschreiben auch die Zugriffspunkt-Richtlinien, die auf die Zugriffspunkte des Buckets angewendet werden. IAM Access Analyzer analysiert die Block Public Access-Einstellungen auf Bucket-Ebene, wenn sich eine Richtlinie ändert. Allerdings werden die Block Public Access-Einstellungen auf Kontoebene nur einmal alle 6 Stunden ausgewertet. Dies bedeutet, dass IAM Access Analyzer möglicherweise bis zu 6 Stunden lang kein Ergebnis für den öffentlichen Zugriff auf einen Bucket generiert oder auflöst. Wenn Sie beispielsweise eine Bucket-Richtlinie haben, die öffentlichen Zugriff zulässt, generiert IAM Access Analyzer ein Ergebnis für diesen Zugriff. Falls Sie „Block Public Access (Öffentlichen Zugriff blockieren)“ aktivieren, um den gesamten öffentlichen Zugriff auf den Bucket auf Kontoebene zu blockieren, löst IAM Access Analyzer das Ergebnis für die Bucket-Richtlinie bis zu 6 Stunden lang nicht auf, obwohl der gesamte öffentliche Zugriff auf den Bucket blockiert ist. Die Lösung von öffentlichen Feststellungen für kontoübergreifende Zugriffspunkte kann ebenfalls bis zu 6 Stunden dauern, sobald Sie auf Kontoebene die Option „Block Public Access (Öffentlichen Zugriff blockieren)“ aktiviert haben. Änderungen an einer Ressourcenkontrollrichtlinie (RCP) ohne eine Änderung der Bucket-Richtlinie lösen keine erneute Suche des im Ergebnis gemeldeten Buckets aus. IAM Access Analyzer analysiert die neue oder aktualisierte Richtlinie bei der nächsten periodischen Überprüfung, die innerhalb von 24 Stunden stattfindet.

Für einen Zugriffspunkt für mehrere Regionen verwendet IAM Access Analyzer eine festgelegte Richtlinie zum Generieren von Ergebnissen. IAM Access Analyzer wertet alle 6 Stunden Änderungen an Zugriffspunkten mit mehreren Regionen aus. Dies bedeutet, dass IAM Access Analyzer bis zu 6 Stunden lang keine Ergebnisse erzeugt oder auflöst, selbst wenn Sie einen Zugangspunkt mit mehreren Regionen erstellen oder löschen oder die Richtlinie dafür aktualisieren.

Amazon-Simple-Storage-Service-Verzeichnis-Buckets

Amazon S3 S3-Verzeichnis-Buckets organisieren Daten hierarchisch in Verzeichnissen, im Gegensatz zur flachen Speicherstruktur von Allzweck-Buckets, die für leistungskritische Workloads oder Anwendungen empfohlen wird. Für externe Zugriffsanalysatoren analysiert IAM Access Analyzer die Directory-Bucket-Richtlinie, einschließlich Bedingungsanweisungen in einer Richtlinie, die es einer externen Entität ermöglichen, auf einen Verzeichnis-Bucket zuzugreifen.

Für interne Zugriffsanalysatoren generiert IAM Access Analyzer einen Befund, wenn ein Principal (Benutzer oder Rolle) innerhalb Ihrer Organisation oder Ihres Kontos Zugriff auf einen bestimmten Amazon S3-Verzeichnis-Bucket hat.

Amazon S3 S3-Verzeichnis-Buckets unterstützen auch Access Points, die unterschiedliche Berechtigungen und Netzwerkkontrollen für alle Anfragen erzwingen, die über den Access Point an den Directory-Bucket gestellt werden. Jeder Access Point kann über eine Zugriffspunkt-Richtlinie verfügen, die in Verbindung mit der Bucket-Richtlinie funktioniert, die dem zugrunde liegenden Verzeichnis-Bucket zugeordnet ist. Mit Access Points für Directory-Buckets können Sie den Zugriff auf bestimmte Präfixe, API-Aktionen oder eine Virtual Private Cloud (VPC) einschränken.

Weitere Informationen zu Amazon S3 S3-Verzeichnis-Buckets finden Sie unter Arbeiten mit Verzeichnis-Buckets im Amazon Simple Storage Service-Benutzerhandbuch.

AWS Identity and Access Management Rollen

Für IAM-Rollen analysiert IAM Access Analyzer Vertrauensrichtlinien. In einer Rollenvertrauensrichtlinie definieren Sie die Auftraggeber, denen Sie bei einer Übernahme der Rolle vertrauen. Eine Rollenvertrauensrichtlinie ist eine erforderliche ressourcenbasierte Richtlinie die einer Rolle in IAM angefügt ist. IAM Access Analyzer generiert Ergebnisse für Rollen innerhalb der Vertrauenszone, auf die von einer externen Entität zugegriffen werden kann, die sich außerhalb Ihrer Vertrauenszone befindet.

AWS Key Management Service Schlüssel

Denn AWS KMS keys IAM Access Analyzer analysiert die wichtigsten Richtlinien und Zuschüsse, die auf einen Schlüssel angewendet werden. IAM Access Analyzer generiert ein Ergebnis, wenn eine Schlüsselrichtlinie oder -gewährung einer externen Entität den Zugriff auf den Schlüssel gewährt. Wenn Sie beispielsweise den CallerAccount Bedingungsschlüssel kms: in einer Richtlinienanweisung verwenden, um allen Benutzern in einem bestimmten AWS Konto Zugriff zu gewähren, und Sie ein anderes Konto als das aktuelle Konto (die Vertrauenszone für den aktuellen Analyzer) angeben, generiert IAM Access Analyzer ein Ergebnis. Weitere Informationen zu AWS KMS Bedingungsschlüsseln in IAM-Richtlinienanweisungen finden Sie unter AWS KMS Bedingungsschlüssel.

Wenn IAM Access Analyzer einen KMS-Schlüssel analysiert, liest es Schlüsselmetadaten, wie z. B. die Schlüsselrichtlinie und die Liste der Berechtigungen. Wenn die Schlüsselrichtlinie der Rolle des IAM Access Analyzers nicht erlaubt, die Schlüssel-Metadaten zu lesen, wird eine Fehlermeldung „Zugriff verweigert“ generiert. Wenn beispielsweise die folgende beispielhafte Richtlinienanweisung die einzige Richtlinie ist, die auf einen Schlüssel angewendet wird, führt dies zu einer Fehlermeldung „Zugriff verweigert“ in IAM Access Analyzer.

{
    "Sid": "Allow access for Key Administrators",
    "Effect": "Allow",
    "Principal": {
       "AWS": "arn:aws:iam::111122223333:role/Admin"
    },
    "Action": "kms:*",
    "Resource": "*"
}

Da diese Anweisung nur der Rolle Admin aus dem AWS Konto 111122223333 den Zugriff auf den Schlüssel ermöglicht, wird die Fehlermeldung „Zugriff verweigert“ generiert, da IAM Access Analyzer den Schlüssel nicht vollständig analysieren kann. Ein Fehlerergebnis wird in der Tabelle Ergebnisse in rotem Text angezeigt. Das Ergebnis sieht wie folgt aus.

{
    "error": "ACCESS_DENIED",
    "id": "12345678-1234-abcd-dcba-111122223333",
    "analyzedAt": "2019-09-16T14:24:33.352Z",
    "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a",
    "resourceType": "AWS::KMS::Key",
    "status": "ACTIVE",
    "updatedAt": "2019-09-16T14:24:33.352Z"
}

Wenn Sie einen KMS-Schlüssel erstellen, hängen die Zugriffsberechtigungen für den Schlüssel davon ab, wie Sie den Schlüssel erstellen. Wenn Sie den Fehler „Zugriff verweigert“ für eine Schlüsselressource erhalten, wenden Sie die folgende Richtlinienanweisung auf die Schlüsselressource an, um IAM Access Analyzer die Berechtigung zum Zugriff auf den Schlüssel zu erteilen.

{
    "Sid": "Allow IAM Access Analyzer access to key metadata",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer"
        },
    "Action": [
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:List*"
    ],
    "Resource": "*"
},

Nachdem Sie das Ergebnis „Zugriff verweigert“ für eine KMS-Schlüsselressource erhalten haben und dann das Ergebnis durch Aktualisieren der Schlüsselrichtlinie auflösen, wird das Ergebnis auf den Status „Gelöst“ aktualisiert. Bei Richtlinienanweisungen oder Schlüsselbewilligungen, die einer externen Entität die Berechtigung für den Schlüssel gewähren, werden möglicherweise zusätzliche Ergebnisse für die Schlüsselressource angezeigt.

AWS Lambda Funktionen und Schichten

Für AWS Lambda Funktionen analysiert IAM Access Analyzer Richtlinien, einschließlich Bedingungsanweisungen in einer Richtlinie, die einer externen Entität Zugriff auf die Funktion gewähren. Mit Lambda können Sie Funktionen, Versionen, Aliasen und Ebenen einzigartige ressourcenbasierte Richtlinien anfügen. IAM Access Analyzer meldet externen Zugriff basierend auf ressourcenbasierter Richtlinien, die an Funktionen und Ebenen angefügt sind. IAM Access Analyzer meldet keinen externen Zugriff basierend auf ressourcenbasierten Richtlinien, die an Aliase und spezifische Versionen angefügt sind, die mithilfe einer qualifizierten ARN aufgerufen werden.

Weitere Informationen finden Sie unter Verwenden von ressourcenbasierten Richtlinien für Lambda und Verwenden von Versionen im AWS Lambda Entwicklerhandbuch.

Amazon Simple Queue Service Warteschlangen als Ziele

Für Amazon-SQS-Warteschlangen analysiert IAM Access Analyzer Richtlinien, einschließlich Bedingungsanweisungen in einer Richtlinie, die einer externen Entität Zugriff auf eine Warteschlange gewähren.

AWS Secrets Manager Geheimnisse

Bei AWS Secrets Manager Geheimnissen analysiert IAM Access Analyzer Richtlinien, einschließlich Bedingungsanweisungen in einer Richtlinie, die es einer externen Entität ermöglichen, auf ein Geheimnis zuzugreifen.

Amazon Simple Notification Service-Themen

IAM Access Analyzer analysiert ressourcenbasierte Richtlinien, die an Amazon SNS-Themen angefügt sind, einschließlich Bedingungsanweisungen in den Richtlinien, die externen Zugriff auf ein Thema zulassen. Mithilfe einer ressourcenbasierten Richtlinie können Sie externen Konten erlauben, Amazon-SNS-Aktionen wie das Abonnieren und Veröffentlichen von Themen durchzuführen. Ein Amazon-SNS-Thema ist von außen zugänglich, wenn Auftraggeber von einem Konto außerhalb Ihrer Vertrauenszone Vorgänge mit dem Thema durchführen können. Wenn Sie beim Erstellen eines Amazon-SNS-Themas Everyone in Ihrer Richtlinie auswählen, machen Sie das Thema öffentlich zugänglich. AddPermission ist eine weitere Möglichkeit, einem Amazon-SNS-Thema eine ressourcenbasierte Richtlinie hinzuzufügen, die externen Zugriff zulässt.

Volume-Snapshots von Amazon Elastic Block Store

Volume-Snapshots von Amazon Elastic Block Store verfügen nicht über ressourcenbasierten Richtlinien. Ein Snapshot wird über die Amazon-EBS-Freigabeberechtigungen freigegeben. Für Amazon-EBS-Volume-Snapshots analysiert IAM Access Analyzer Zugriffssteuerungslisten, die einer externen Entität den Zugriff auf einen Snapshot ermöglichen. Ein Amazon-EBS-Volume-Snapshot kann verschlüsselt für externe Konten freigegeben werden. Ein unverschlüsselter Datei-Überblick kann für externe Konten freigegeben werden und öffentlichen Zugriff gewähren. Freigabeeinstellungen befinden sich im CreateVolumePermissions-Attribut des Snapshots. Wenn Kunden eine Vorschau des externen Zugriffs auf einen Amazon-EBS-Snapshot anzeigen, können sie den Verschlüsselungsschlüssel als Indikator dafür angeben, dass der Snapshot verschlüsselt ist, ähnlich wie bei der Vorschau von IAM Access Analyzer mit Secrets-Manager-Geheimnissen.

DB-Snapshots von Amazon Relational Database Service

Amazon-RDS-DB-Snapshots verfügen nicht über ressourcenbasierte Richtlinien. Ein DB-Snapshot wird über die Berechtigungen der Amazon-RDS-Datenbank freigegeben, und nur manuelle DB-Snapshots können freigegeben werden. Für externe Zugriffsanalysatoren analysiert IAM Access Analyzer Zugriffskontrolllisten, die einer externen Entität den Zugriff auf einen Amazon RDS-DB-Snapshot ermöglichen. Unverschlüsselte DB-Snapshots können öffentlich sein. Verschlüsselte DB-Snapshots können nicht öffentlich freigegeben werden, aber sie können mit bis zu 20 anderen Konten gemeinsam genutzt werden. Weitere Informationen finden Sie unter Erstellen eines DB-Snapshots. IAM Access Analyzer betrachtet die Möglichkeit, einen manuellen Datenbank-Snapshot (z. B. in einen Amazon-S3-Bucket) als vertrauenswürdigen Zugriff zu exportieren.

Für interne Zugriffsanalysatoren generiert IAM Access Analyzer eine Feststellung, wenn ein Principal (Benutzer oder Rolle) in Ihrer Organisation oder Ihrem Konto Zugriff auf einen bestimmten Amazon RDS-DB-Snapshot hat.

Snapshots von Service-DB-Clustern von Amazon Relational Database

Snapshots des Amazon-RDS-DB-Clusters verfügen nicht über ressourcenbasierten Richtlinien. Ein Snapshot wird über die Berechtigungen des Amazon-RDS-DB-Clusters freigegeben. Für externe Zugriffsanalysatoren analysiert IAM Access Analyzer Zugriffskontrolllisten, die einer externen Entität den Zugriff auf einen Amazon RDS-DB-Cluster-Snapshot ermöglichen. Unverschlüsselte Cluster-Snapshots können öffentlich sein. Verschlüsselte Cluster-Snapshots können nicht öffentlich freigegeben werden. Sowohl unverschlüsselte als auch verschlüsselte Cluster-Snapshots können für bis zu 20 andere Konten freigegeben werden. Weitere Informationen finden Sie unter Erstellen eines DB-Cluster-Snapshots. IAM Access Analyzer betrachtet die Möglichkeit, einen DB-Cluster-Snapshot (z. B. in einen Amazon-S3-Bucket) als vertrauenswürdigen Zugriff zu exportieren.

Für interne Zugriffsanalysatoren generiert IAM Access Analyzer einen Befund, wenn ein Principal (Benutzer oder Rolle) in Ihrer Organisation oder Ihrem Konto Zugriff auf einen bestimmten Amazon RDS-DB-Cluster-Snapshot hat.

Repositories der Amazon Elastic Container Registry

Für Amazon-ECR-Repositorys analysiert IAM Access Analyzer ressourcenbasierte Richtlinien, einschließlich Bedingungsanweisungen in einer Richtlinie, die einer externen Entität den Zugriff auf ein Repository ermöglichen (ähnlich wie andere Ressourcentypen wie Amazon-SNS-Themen und Amazon-EFS-Dateisysteme). Für Amazon-ECR-Repositorys muss ein Prinzipal über die Berechtigung zu ecr:GetAuthorizationToken durch eine identitätsbasierte Richtlinie verfügen, um als extern verfügbar zu gelten.

Dateisysteme des Amazon Elastic File System

Für Amazon-EFS-Dateisysteme analysiert IAM Access Analyzer Richtlinien, einschließlich Bedingungsanweisungen in einer Richtlinie, die einer externen Entität den Zugriff auf ein Dateisystem ermöglichen. Ein Amazon-EFS-Dateisystem ist extern zugänglich, wenn Prinzipale von einem Konto außerhalb Ihrer Vertrauenszone Vorgänge auf diesem Dateisystem ausführen können. Der Zugriff wird durch eine Dateisystemrichtlinie definiert, die IAM verwendet, und durch die Art und Weise, wie das Dateisystem gemountet wird. Beispielsweise gilt das Mounten Ihres Amazon-EFS-Dateisystems in einem anderen Konto als extern zugänglich, es sei denn, dieses Konto befindet sich in Ihrer Organisation und Sie haben die Organisation als Ihre Vertrauenszone definiert. Wenn Sie das Dateisystem aus einer Virtual Private Cloud mit einem öffentlichen Subnetz mounten, ist das Dateisystem extern zugänglich. Wenn Sie Amazon EFS mit verwenden AWS Transfer Family, werden Dateisystemzugriffsanforderungen blockiert, die von einem Transfer Family Family-Server empfangen werden, der einem anderen Konto als dem Dateisystem gehört, wenn das Dateisystem öffentlichen Zugriff zulässt.

Amazon DynamoDB Streams

Für externe Zugriffsanalysatoren generiert IAM Access Analyzer einen Befund, wenn eine DynamoDB-Richtlinie mindestens eine kontoübergreifende Aktion zulässt, die einer externen Entität den Zugriff auf einen DynamoDB-Stream ermöglicht. Weitere Informationen zu den unterstützten kontoübergreifenden Aktionen für DynamoDB finden Sie unter Von ressourcenbasierten Richtlinien unterstützte IAM-Aktionen im Amazon-DynamoDB-Entwicklerhandbuch.

Für interne Zugriffsanalysatoren generiert IAM Access Analyzer einen Befund, wenn ein Principal (Benutzer oder Rolle) in Ihrer Organisation oder Ihrem Konto Zugriff auf einen bestimmten DynamoDB-Stream hat.

Amazon-DynamoDB-Tabellen

Für externe Zugriffsanalysatoren generiert IAM Access Analyzer einen Befund für eine DynamoDB-Tabelle, wenn eine DynamoDB-Richtlinie mindestens eine kontoübergreifende Aktion zulässt, die einer externen Entität den Zugriff auf eine DynamoDB-Tabelle oder einen DynamoDB-Index ermöglicht. Weitere Informationen zu den unterstützten kontoübergreifenden Aktionen für DynamoDB finden Sie unter Von ressourcenbasierten Richtlinien unterstützte IAM-Aktionen im Amazon-DynamoDB-Entwicklerhandbuch.

Für interne Zugriffsanalysatoren generiert IAM Access Analyzer einen Befund, wenn ein Principal (Benutzer oder Rolle) in Ihrer Organisation oder Ihrem Konto Zugriff auf eine angegebene DynamoDB-Tabelle hat.