Ressourcentypen für IAM Access Analyzer für externen Zugriff - AWS Identitäts- und Zugriffsverwaltung
Amazon-S3-BucketsAmazon-S3-Verzeichnis-BucketsIAM-RollenKMS-SchlüsselLambda-FunktionenAmazon SQS-WarteschlangenSecrets Manager-SecretsAmazon SNS-ThemenAmazon-EBS-Volume-SnapshotsAmazon-RDS-DB-SnapshotsSnapshots des Amazon-RDS-DB-ClustersAmazon-ECR-RepositorysAmazon-EFS-DateisystemeDynamoDB StreamsDynamoDB-Tabellen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Ressourcentypen für IAM Access Analyzer für externen Zugriff

IAM Access Analyzer analysiert für Analysatoren für externen Zugriff die ressourcenbasierten Richtlinien, die auf AWS-Ressourcen in der Region angewendet werden, in der Sie IAM Access Analyzer aktiviert haben. Es werden nur ressourcenbasierte Richtlinien analysiert. Überprüfen Sie die Informationen zu jeder Ressource, um zu erfahren, wie IAM Access Analyzer Ergebnisse für jeden Ressourcentyp generiert.

Anmerkung

Die aufgeführten unterstützten Ressourcentypen gelten für Analysatoren für externen Zugriff. Analysatoren für ungenutzten Zugriff unterstützen nur IAM-Benutzer und -Rollen. Weitere Informationen finden Sie unter Grundlegendes zur Funktionsweise der Erkenntnisse von IAM Access Analyzer.

Amazon-Simple-Storage-Service-Buckets

Wenn IAM Access Analyzer Amazon-S3-Buckets analysiert, generiert es ein Ergebnis, wenn eine Amazon-S3-Bucket-Richtlinie, ACL oder ein Zugriffspunkt, einschließlich eines Zugriffspunkts mit mehreren Regionen, der auf einen Bucket angewendet wird, einer externen Entität Zugriff gewährt. Eine externe Entität ist ein Prinzipal oder eine andere Entität, mit der Sie einen Filter erstellen können, der sich nicht innerhalb Ihrer Vertrauenszone befindet. Wenn beispielsweise eine Bucket-Richtlinie Zugriff auf ein anderes Konto gewährt oder öffentlichen Zugriff zulässt, generiert IAM Access Analyzer ein Ergebnis. Wenn Sie Block Public Access (Öffentlichen Zugriff blockieren) aktivieren, können Sie den Zugriff auf Konto- oder Bucket-Ebene blockieren.

Anmerkung

IAM Access Analyzer analysiert die Zugriffspunktrichtlinie, die an kontoübergreifende Zugriffspunkte angehängt ist, nicht, da sich der Zugriffspunkt und seine Richtlinie außerhalb des Analyzer-Kontos befinden. IAM Access Analyzer generiert ein öffentliches Ergebnis, wenn ein Bucket den Zugriff an einen kontoübergreifenden Zugriffspunkt delegiert und „Block Public Access (Öffentlichen Zugriff blockieren)“ für den Bucket oder das Konto nicht aktiviert ist. Wenn Sie „Block Public Access (Öffentlichen Zugriff blockieren)“ aktivieren, wird die öffentliche Feststellung aufgelöst und IAM Access Analyzer generiert eine kontoübergreifende Feststellung für den kontoübergreifenden Zugriffspunkt.

Die Einstellungen für Amazon S3 Block Public Access haben Vorrang vor den Bucket-Richtlinien, die auf den Bucket angewendet werden. Die Einstellungen überschreiben auch die Zugriffspunkt-Richtlinien, die auf die Zugriffspunkte des Buckets angewendet werden. IAM Access Analyzer analysiert die Block Public Access-Einstellungen auf Bucket-Ebene, wenn sich eine Richtlinie ändert. Allerdings werden die Block Public Access-Einstellungen auf Kontoebene nur einmal alle 6 Stunden ausgewertet. Dies bedeutet, dass IAM Access Analyzer möglicherweise bis zu 6 Stunden lang kein Ergebnis für den öffentlichen Zugriff auf einen Bucket generiert oder auflöst. Wenn Sie beispielsweise eine Bucket-Richtlinie haben, die öffentlichen Zugriff zulässt, generiert IAM Access Analyzer ein Ergebnis für diesen Zugriff. Falls Sie „Block Public Access (Öffentlichen Zugriff blockieren)“ aktivieren, um den gesamten öffentlichen Zugriff auf den Bucket auf Kontoebene zu blockieren, löst IAM Access Analyzer das Ergebnis für die Bucket-Richtlinie bis zu 6 Stunden lang nicht auf, obwohl der gesamte öffentliche Zugriff auf den Bucket blockiert ist. Die Lösung von öffentlichen Feststellungen für kontoübergreifende Zugriffspunkte kann ebenfalls bis zu 6 Stunden dauern, sobald Sie auf Kontoebene die Option „Block Public Access (Öffentlichen Zugriff blockieren)“ aktiviert haben. Änderungen an einer Ressourcenkontrollrichtlinie (RCP) ohne eine Änderung der Bucket-Richtlinie lösen keine erneute Suche des im Ergebnis gemeldeten Buckets aus. IAM Access Analyzer analysiert die neue oder aktualisierte Richtlinie bei der nächsten periodischen Überprüfung, die innerhalb von 24 Stunden stattfindet.

Für einen Zugriffspunkt für mehrere Regionen verwendet IAM Access Analyzer eine festgelegte Richtlinie zum Generieren von Ergebnissen. IAM Access Analyzer wertet alle 6 Stunden Änderungen an Zugriffspunkten mit mehreren Regionen aus. Dies bedeutet, dass IAM Access Analyzer bis zu 6 Stunden lang keine Ergebnisse erzeugt oder auflöst, selbst wenn Sie einen Zugangspunkt mit mehreren Regionen erstellen oder löschen oder die Richtlinie dafür aktualisieren.

Amazon-Simple-Storage-Service-Verzeichnis-Buckets

Amazon-S3-Verzeichnis-Buckets verwenden die Speicherklasse „Amazon S3 Express One“, die für anspruchsvolle Workloads bzw. Anwendungen empfohlen wird. Für Amazon-S3-Verzeichnis-Buckets analysiert IAM Access Analyzer die Verzeichnis-Bucket-Richtlinien, einschließlich Bedingungsanweisungen in einer Richtlinie, die einer externen Entität Zugriff auf ein Verzeichnis-Bucket gewähren. Weitere Informationen über Amazon-S3-Verzeichnis-Buckets finden Sie unter Verzeichnis-Buckets im Benutzerhandbuch für Amazon Simple Storage Service.

AWS Identity and Access Management-Rollen

Für IAM-Rollen analysiert IAM Access Analyzer Vertrauensrichtlinien. In einer Rollenvertrauensrichtlinie definieren Sie die Auftraggeber, denen Sie bei einer Übernahme der Rolle vertrauen. Eine Rollenvertrauensrichtlinie ist eine erforderliche ressourcenbasierte Richtlinie die einer Rolle in IAM angefügt ist. IAM Access Analyzer generiert Ergebnisse für Rollen innerhalb der Vertrauenszone, auf die von einer externen Entität zugegriffen werden kann, die sich außerhalb Ihrer Vertrauenszone befindet.

Anmerkung

Eine IAM-Rolle ist eine globale Ressource. Wenn eine Rollen-Vertrauensrichtlinie Zugriff auf eine externe Entität gewährt, generiert IAM Access Analyzer ein Ergebnis in jeder aktivierten Region.

AWS Key Management Service-Schlüssel

Für AWS KMS keys, analysiert IAM Access Analyzer die wichtigsten Richtlinien und Berechtigungen, die auf einen Schlüssel angewendet werden. IAM Access Analyzer generiert ein Ergebnis, wenn eine Schlüsselrichtlinie oder -gewährung einer externen Entität den Zugriff auf den Schlüssel gewährt. Wenn Sie beispielsweise den Bedingungsschlüssel kms:CallerAccount in einer Richtlinienanweisung verwenden, um den Zugriff auf alle Benutzer eines bestimmten AWS-Kontos zuzulassen, und Sie ein anderes Konto als das aktuelle Konto (die Vertrauenszone für den aktuellen Analysator) angeben, generiert IAM Access Analyzer ein Ergebnis. Weitere Informationen zu AWS KMS-Bedingungsschlüsseln in IAM-Richtlinienanweisungen finden Sie unter AWS KMS-Bedingungsschlüssel.

Wenn IAM Access Analyzer einen KMS-Schlüssel analysiert, liest es Schlüsselmetadaten, wie z. B. die Schlüsselrichtlinie und die Liste der Berechtigungen. Wenn die Schlüsselrichtlinie der Rolle des IAM Access Analyzers nicht erlaubt, die Schlüssel-Metadaten zu lesen, wird eine Fehlermeldung „Zugriff verweigert“ generiert. Wenn beispielsweise die folgende beispielhafte Richtlinienanweisung die einzige Richtlinie ist, die auf einen Schlüssel angewendet wird, führt dies zu einer Fehlermeldung „Zugriff verweigert“ in IAM Access Analyzer.

{
    "Sid": "Allow access for Key Administrators",
    "Effect": "Allow",
    "Principal": {
       "AWS": "arn:aws:iam::111122223333:role/Admin"
    },
    "Action": "kms:*",
    "Resource": "*"
}

Da diese Anweisung nur der Rolle mit dem Namen Admin aus dem AWS-Konto 111122223333 den Zugriff auf den Schlüssel erlaubt, wird die Fehlermeldung „Zugriff verweigert“ generiert, da IAM Access Analyzer den Schlüssel nicht vollständig analysieren kann. Ein Fehlerergebnis wird in der Tabelle Ergebnisse in rotem Text angezeigt. Das Ergebnis sieht wie folgt aus.

{
    "error": "ACCESS_DENIED",
    "id": "12345678-1234-abcd-dcba-111122223333",
    "analyzedAt": "2019-09-16T14:24:33.352Z",
    "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a",
    "resourceType": "AWS::KMS::Key",
    "status": "ACTIVE",
    "updatedAt": "2019-09-16T14:24:33.352Z"
}

Wenn Sie einen KMS-Schlüssel erstellen, hängen die Zugriffsberechtigungen für den Schlüssel davon ab, wie Sie den Schlüssel erstellen. Wenn Sie den Fehler „Zugriff verweigert“ für eine Schlüsselressource erhalten, wenden Sie die folgende Richtlinienanweisung auf die Schlüsselressource an, um IAM Access Analyzer die Berechtigung zum Zugriff auf den Schlüssel zu erteilen.

{
    "Sid": "Allow IAM Access Analyzer access to key metadata",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer"
        },
    "Action": [
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:List*"
    ],
    "Resource": "*"
},

Nachdem Sie das Ergebnis „Zugriff verweigert“ für eine KMS-Schlüsselressource erhalten haben und dann das Ergebnis durch Aktualisieren der Schlüsselrichtlinie auflösen, wird das Ergebnis auf den Status „Gelöst“ aktualisiert. Bei Richtlinienanweisungen oder Schlüsselbewilligungen, die einer externen Entität die Berechtigung für den Schlüssel gewähren, werden möglicherweise zusätzliche Ergebnisse für die Schlüsselressource angezeigt.

Funktionen und Ebenen von AWS Lambda

Für AWS Lambda-Funktionen analysiert IAM Access Analyzer Richtlinien, einschließlich Bedingungsanweisungen in einer Richtlinie, die einer externen Entität Zugriff auf die Funktion gewähren. Mit Lambda können Sie Funktionen, Versionen, Aliasen und Ebenen einzigartige ressourcenbasierte Richtlinien anfügen. IAM Access Analyzer meldet externen Zugriff basierend auf ressourcenbasierter Richtlinien, die an Funktionen und Ebenen angefügt sind. IAM Access Analyzer meldet keinen externen Zugriff basierend auf ressourcenbasierten Richtlinien, die an Aliase und spezifische Versionen angefügt sind, die mithilfe einer qualifizierten ARN aufgerufen werden.

Weitere Informationen finden Sie unter Verwendung ressourcenbasierter Richtlinien für Lambda und Verwendung von Versionen im AWS Lambda-Entwicklerhandbuch.

Amazon Simple Queue Service Warteschlangen als Ziele

Für Amazon-SQS-Warteschlangen analysiert IAM Access Analyzer Richtlinien, einschließlich Bedingungsanweisungen in einer Richtlinie, die einer externen Entität Zugriff auf eine Warteschlange gewähren.

AWS Secrets Manager Secrets

Für AWS Secrets Manager-Secrets analysiert IAM Access Analyzer Richtlinien, einschließlich Bedingungsanweisungen in einer Richtlinie, die einer externen Entität den Zugriff auf ein Secret gewähren.

Amazon Simple Notification Service-Themen

IAM Access Analyzer analysiert ressourcenbasierte Richtlinien, die an Amazon SNS-Themen angefügt sind, einschließlich Bedingungsanweisungen in den Richtlinien, die externen Zugriff auf ein Thema zulassen. Mithilfe einer ressourcenbasierten Richtlinie können Sie externen Konten erlauben, Amazon-SNS-Aktionen wie das Abonnieren und Veröffentlichen von Themen durchzuführen. Ein Amazon-SNS-Thema ist von außen zugänglich, wenn Auftraggeber von einem Konto außerhalb Ihrer Vertrauenszone Vorgänge mit dem Thema durchführen können. Wenn Sie beim Erstellen eines Amazon-SNS-Themas Everyone in Ihrer Richtlinie auswählen, machen Sie das Thema öffentlich zugänglich. AddPermission ist eine weitere Möglichkeit, einem Amazon-SNS-Thema eine ressourcenbasierte Richtlinie hinzuzufügen, die externen Zugriff zulässt.

Volume-Snapshots von Amazon Elastic Block Store

Volume-Snapshots von Amazon Elastic Block Store verfügen nicht über ressourcenbasierten Richtlinien. Ein Snapshot wird über die Amazon-EBS-Freigabeberechtigungen freigegeben. Für Amazon-EBS-Volume-Snapshots analysiert IAM Access Analyzer Zugriffssteuerungslisten, die einer externen Entität den Zugriff auf einen Snapshot ermöglichen. Ein Amazon-EBS-Volume-Snapshot kann verschlüsselt für externe Konten freigegeben werden. Ein unverschlüsselter Datei-Überblick kann für externe Konten freigegeben werden und öffentlichen Zugriff gewähren. Freigabeeinstellungen befinden sich im CreateVolumePermissions-Attribut des Snapshots. Wenn Kunden eine Vorschau des externen Zugriffs auf einen Amazon-EBS-Snapshot anzeigen, können sie den Verschlüsselungsschlüssel als Indikator dafür angeben, dass der Snapshot verschlüsselt ist, ähnlich wie bei der Vorschau von IAM Access Analyzer mit Secrets-Manager-Geheimnissen.

DB-Snapshots von Amazon Relational Database Service

Amazon-RDS-DB-Snapshots verfügen nicht über ressourcenbasierte Richtlinien. Ein DB-Snapshot wird über die Berechtigungen der Amazon-RDS-Datenbank freigegeben, und nur manuelle DB-Snapshots können freigegeben werden. Für Amazon-RDS-DB-Snapshots analysiert IAM Access Analyzer Zugriffskontrolllisten, die einer externen Entität den Zugriff auf einen Snapshot ermöglichen. Unverschlüsselte DB-Snapshots können öffentlich sein. Verschlüsselte DB-Snapshots können nicht öffentlich freigegeben werden, aber sie können mit bis zu 20 anderen Konten gemeinsam genutzt werden. Weitere Informationen finden Sie unter Erstellen eines DB-Snapshots. IAM Access Analyzer betrachtet die Möglichkeit, einen manuellen Datenbank-Snapshot (z. B. in einen Amazon-S3-Bucket) als vertrauenswürdigen Zugriff zu exportieren.

Anmerkung

IAM Access Analyzer identifiziert keinen öffentlichen oder kontoübergreifenden Zugriff, der direkt in der Datenbank selbst konfiguriert ist. IAM Access Analyzer identifiziert nur Ergebnisse für öffentlichen oder kontoübergreifenden Zugriff, der auf dem Amazon-RDS-DB-Snapshot konfiguriert ist.

Snapshots von Service-DB-Clustern von Amazon Relational Database

Snapshots des Amazon-RDS-DB-Clusters verfügen nicht über ressourcenbasierten Richtlinien. Ein Snapshot wird über die Berechtigungen des Amazon-RDS-DB-Clusters freigegeben. Für Snapshots des Amazon-RDS-DB-Clusters analysiert IAM Access Analyzer Zugriffssteuerungslisten, die einer externen Entität den Zugriff auf einen Snapshot ermöglichen. Unverschlüsselte Cluster-Snapshots können öffentlich sein. Verschlüsselte Cluster-Snapshots können nicht öffentlich freigegeben werden. Sowohl unverschlüsselte als auch verschlüsselte Cluster-Snapshots können für bis zu 20 andere Konten freigegeben werden. Weitere Informationen finden Sie unter Erstellen eines DB-Cluster-Snapshots. IAM Access Analyzer betrachtet die Möglichkeit, einen DB-Cluster-Snapshot (z. B. in einen Amazon-S3-Bucket) als vertrauenswürdigen Zugriff zu exportieren.

Anmerkung

Die Ergebnisse von IAM Access Analyzer beinhalten keine Überwachung der Freigabe von Amazon-RDS-DB-Clustern und Klonen mit einer anderen AWS-Konto oder Organisation, die AWS Resource Access Manager verwendet. IAM Access Analyzer identifiziert nur Ergebnisse für den öffentlichen oder kontoübergreifenden Zugriff, der auf dem Snapshot des Amazon-RDS-DB-Clusters konfiguriert ist.

Repositories der Amazon Elastic Container Registry

Für Amazon-ECR-Repositorys analysiert IAM Access Analyzer ressourcenbasierte Richtlinien, einschließlich Bedingungsanweisungen in einer Richtlinie, die einer externen Entität den Zugriff auf ein Repository ermöglichen (ähnlich wie andere Ressourcentypen wie Amazon-SNS-Themen und Amazon-EFS-Dateisysteme). Für Amazon-ECR-Repositorys muss ein Prinzipal über die Berechtigung zu ecr:GetAuthorizationToken durch eine identitätsbasierte Richtlinie verfügen, um als extern verfügbar zu gelten.

Dateisysteme des Amazon Elastic File System

Für Amazon-EFS-Dateisysteme analysiert IAM Access Analyzer Richtlinien, einschließlich Bedingungsanweisungen in einer Richtlinie, die einer externen Entität den Zugriff auf ein Dateisystem ermöglichen. Ein Amazon-EFS-Dateisystem ist extern zugänglich, wenn Prinzipale von einem Konto außerhalb Ihrer Vertrauenszone Vorgänge auf diesem Dateisystem ausführen können. Der Zugriff wird durch eine Dateisystemrichtlinie definiert, die IAM verwendet, und durch die Art und Weise, wie das Dateisystem gemountet wird. Beispielsweise gilt das Mounten Ihres Amazon-EFS-Dateisystems in einem anderen Konto als extern zugänglich, es sei denn, dieses Konto befindet sich in Ihrer Organisation und Sie haben die Organisation als Ihre Vertrauenszone definiert. Wenn Sie das Dateisystem aus einer Virtual Private Cloud mit einem öffentlichen Subnetz mounten, ist das Dateisystem extern zugänglich. Wenn Sie Amazon EFS mit AWS Transfer Family verwenden, werden Anfragen zum Zugriff auf das Dateisystem, die von einem Transfer-Family-Server empfangen werden, der einem anderen Konto als dem des Dateisystems gehört, blockiert, wenn das Dateisystem öffentlichen Zugriff zulässt.

Amazon DynamoDB Streams

IAM Access Analyzer generiert eine Erkenntnis, wenn eine DynamoDB-Richtlinie mindestens eine kontenübergreifende Aktion zulässt, die einer externen Entität den Zugriff auf einen DynamoDB Stream ermöglicht. Weitere Informationen zu den unterstützten kontoübergreifenden Aktionen für DynamoDB finden Sie unter Von ressourcenbasierten Richtlinien unterstützte IAM-Aktionen im Amazon-DynamoDB-Entwicklerhandbuch.

Amazon-DynamoDB-Tabellen

IAM Access Analyzer generiert eine Erkenntnis für eine DynamoDB-Tabelle, wenn eine DynamoDB-Richtlinie mindestens eine kontenübergreifende Aktion zulässt, die einer externen Entität den Zugriff auf eine DynamoDB-Tabelle oder einen DynamoDB-Index ermöglicht. Weitere Informationen zu den unterstützten kontoübergreifenden Aktionen für DynamoDB finden Sie unter Von ressourcenbasierten Richtlinien unterstützte IAM-Aktionen im Amazon-DynamoDB-Entwicklerhandbuch.