Verwenden von AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer bietet die folgenden Funktionen:

Identifizieren von Ressourcen, die mit einer externen Entität geteilt wurden

IAM Access Analyzer hilft Ihnen, die Ressourcen in Ihrer Organisation und Konten, wie Amazon-S3-Buckets oder IAM-Rollen, die mit einer externen Entität geteilt werden, zu identifizieren. Dies hilft Ihnen, unbeabsichtigten Zugriff auf Ihre Ressourcen und Daten zu identifizieren, was ein Sicherheitsrisiko darstellt. IAM Access Analyzer identifiziert Ressourcen, die mit externen Auftraggebern geteilt werden, indem er die ressourcenbasierten Richtlinien in Ihrer AWS-Umgebung durch logische Schlussfolgerungen analysiert. Für jede Instance einer Ressource, die außerhalb Ihres Kontos geteilt wird, generiert IAM Access Analyzer ein Ergebnis. Die Ergebnisse enthalten Informationen über den Zugang und den externen Prinzipal, dem dieser gewährt wurde. Sie können Ergebnisse überarbeiten, um festzustellen, ob der Zugriff beabsichtigt und sicher ist oder ob er unbeabsichtigt ist und ein Sicherheitsrisiko darstellt. Die Ergebnisse des IAM Access Analyzers helfen Ihnen nicht nur bei der Identifizierung von Ressourcen, die mit einer externen Entität geteilt werden, sondern Sie können auch eine Vorschau anzeigen, wie sich Ihre Richtlinie auf den öffentlichen und kontoübergreifenden Zugriff auf Ihre Ressource auswirkt, bevor Sie Ressourcenberechtigungen bereitstellen. Die Ergebnisse sind in einem visuellen Übersichts-Dashboard zusammengefasst. Das Dashboard verdeutlicht die Aufteilung zwischen Ergebnissen mit öffentlichem Zugriff und kontenübergreifendem Zugriff und bietet eine Aufschlüsselung der Ergebnisse nach Ressourcentyp. Weitere Informationen zum Dashboard finden Sie unter Anzeigen des Dashboards mit Erkenntnissen von IAM Access Analyzer.

Wenn Sie IAM Access Analyzer aktivieren, erstellen Sie einen Analyzer für Ihre gesamte Organisation oder Ihr Konto. Die von Ihnen gewählte Organisation oder das von Ihnen ausgewählte Konto wird als Vertrauenszone für den Analysator bezeichnet. Der Analysator überwacht alle unterstützten Ressourcen in Ihrer Vertrauenszone. Jeder Ressourcenzugang von Auftraggeber innerhalb Ihrer Vertrauenszone gilt als vertrauenswürdig. Nach der Aktivierung analysiert IAM Access Analyzer die Richtlinien, die auf alle unterstützten Ressourcen in Ihrer Vertrauenszone angewendet werden. Nach der ersten Analyse analysiert IAM Access Analyzer diese Richtlinien regelmäßig. Wenn Sie eine neue Richtlinie hinzufügen oder eine vorhandene Richtlinie ändern, analysiert IAM Access Analyzer die neue oder aktualisierte Richtlinie innerhalb von etwa 30 Minuten.

Wenn IAM Access Analyzer bei der Analyse der Richtlinien eine identifiziert, die Zugriff auf einen externen Auftraggeber gewährt, der sich nicht in Ihrer Vertrauenszone befindet, generiert es ein Ergebnis. Jedes Ergebnis enthält Details über die Ressource, die externe Entität, die Zugriff darauf hat, und die gewährten Berechtigungen, so dass Sie entsprechende Maßnahmen ergreifen können. Sie können die im Ergebnis enthaltenen Details anzeigen, um festzustellen, ob der Ressourcenzugriff beabsichtigt ist oder ein potenzielles Risiko darstellt, das Sie lösen sollten. Wenn Sie einer Ressource eine Richtlinie hinzufügen oder eine vorhandene Richtlinie aktualisieren, analysiert IAM Access Analyzer die Richtlinie. IAM Access Analyzer analysiert außerdem regelmäßig alle ressourcenbasierten Richtlinien.

In seltenen Fällen erhält IAM Access Analyzer unter bestimmten Bedingungen keine Benachrichtigung über eine hinzugefügte oder aktualisierte Richtlinie, was zu Verzögerungen bei den generierten Erkenntnissen führen kann. Wenn Sie einen mit einem Amazon-S3-Bucket verknüpften Multi-Region-Zugangspunkt erstellen oder löschen oder die Richtlinie für den Multi-Region-Zugangspunkt aktualisieren, kann es bis zu 6 Stunden dauern, bis IAM Access Analyzer Erkenntnisse generiert oder auflöst. Wenn ein Übermittlungsproblem bei der AWS CloudTrail-Protokollübermittlung auftritt, löst die Ressourcenkontrollrichtlinie (RCP) auch keine erneute Suche der Ressource aus, die im Erkenntnis gemeldet wurde. In diesem Fall analysiert IAM Access Analyzer die neue oder aktualisierte Richtlinie bei der nächsten periodischen Überprüfung, die innerhalb von 24 Stunden stattfindet. Wenn Sie bestätigen möchten, dass eine Änderung, die Sie an einer Richtlinie vorgenommen haben, ein in ein Ergebnis gemeldetes Zugriffsproblem behebt, können Sie die in ein Ergebnis gemeldete Ressource erneut scannen, indem Sie den Link Rescan (Erneut scannen) auf der Seite Findings (Ergebnisdetails) verwenden oder die StartResourceScan-Funktion der IAM Access Analyzer API verwenden. Weitere Informationen hierzu finden Sie unter Beheben von Erkenntnissen von IAM Access Analyzer.

IAM Access Analyzer analysiert die folgenden Ressourcentypen:

Identifizieren von IAM-Benutzern und -Rollen mit gewährtem ungenutztem Zugriff

IAM Access Analyzer hilft Ihnen dabei, ungenutzten Zugriff in Ihrer AWS-Organisation und Ihren -Konten zu identifizieren und zu überprüfen. IAM Access Analyzer überwacht kontinuierlich alle IAM-Rollen und -Benutzer in Ihrer AWS-Organisation und Ihren -Konten und generiert Ergebnisse für ungenutzten Zugriff. Die Ergebnisse heben ungenutzte Rollen, ungenutzte Zugriffsschlüssel für IAM-Benutzer und ungenutzte Passwörter für IAM-Benutzer hervor. Für aktive IAM-Rollen und -Benutzer bieten die Ergebnisse Aufschluss über ungenutzte Services und Aktionen.

Die Ergebnisse für externen und ungenutzten Zugriff werden in einem visuellen Übersichts-Dashboard dargestellt. Das Dashboard hebt diejenigen AWS-Konten hervor, die die meisten Ergebnisse haben, und bietet eine Aufschlüsselung der Ergebnisse nach Typ. Weitere Informationen zu den Seiten im Dashboard finden Sie unter Anzeigen des Dashboards mit Erkenntnissen von IAM Access Analyzer.

IAM Access Analyzer überprüft die Informationen, auf die zuletzt zugegriffen wurde – für alle Rollen in Ihrer AWS-Organisation und Ihren -Konten. So sehen erkennen Sie leichter ungenutzten Zugriff. Die Informationen über den letzten Zugriff auf die IAM-Aktion helfen Ihnen dabei, ungenutzte Aktionen für Rollen in Ihrem AWS-Konten zu identifizieren. Weitere Informationen finden Sie unter Verfeinern von Berechtigungen in AWS mithilfe der Informationen zum letzten Zugriff.

Überprüfung von Richtlinien anhand bewährter Methoden für AWS

Sie können Ihre Richtlinien anhand der IAM-Richtliniengrammatik und der Bewährten Methoden für AWS überprüfen, indem Sie die grundlegenden Richtlinienprüfungen der Richtlinienvalidierung von IAM Access Analyzer nutzen. Sie können eine Richtlinie mithilfe desAWS CLI,AWS-API oder JSON-Richtlinieneditors in der IAM-Konsole. Sie können die Ergebnisse der Richtlinienvalidierung anzeigen, die Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge für Ihre Richtlinie enthalten. Diese Ergebnisse enthalten verwertbare Empfehlungen, mit denen Sie Richtlinien erstellen können, die funktionsfähig sind und den bewährten Methoden für AWS entsprechen. Weitere Informationen zum Validieren von Richtlinien mit der Richtlinienvalidierung finden Sie unter Validieren von Richtlinien mit IAM Access Analyzer.

Überprüfen von Richtlinien anhand der von Ihnen angegebenen Sicherheitsstandards

Sie können Ihre Richtlinien mithilfe von benutzerdefinierten Richtlinienüberprüfungen von IAM Access Analyzer mit Ihren vorhandenen Sicherheitsstandards abgleichen. Sie können eine Richtlinie mithilfe desAWS CLI,AWS-API oder JSON-Richtlinieneditors in der IAM-Konsole. Sie können über die Konsole überprüfen, ob die aktualisierte Richtlinie im Gegensatz zur vorhandenen Version nun Zugriff gewährt. Über AWS CLI und die AWS-API können Sie auch überprüfen, ob bestimmte IAM-Aktionen, die Sie für wichtig halten, in einer Richtlinie nicht zulässig sind. Diese Überprüfungen heben eine Richtlinienanweisung hervor, die neuen Zugriff gewährt. Sie können die Richtlinienanweisung aktualisieren und die Prüfungen erneut ausführen, bis die Richtlinie Ihrem Sicherheitsstandard entspricht. Weitere Informationen zum Validieren von Richtlinien mit benutzerdefinierter Richtlinienprüfungen finden Sie unter Validierung von Richtlinien mithilfe benutzerdefinierten Richtlinienprüfungen von IAM Access Analyzer.

Generieren von Richtlinien

IAM Access Analyzer analysiert Ihre AWS CloudTrail-Protokolle, um Aktionen und Services zu identifizieren, die von einer IAM-Entität (Benutzer oder Rolle) innerhalb Ihres angegebenen Datumsbereichs verwendet wurden. Es generiert dann eine IAM-Richtlinie, die auf dieser Aktivität basiert. Sie können die generierte Richtlinie verwenden, um die Berechtigungen einer Entität zu verfeinern, indem Sie sie einem IAM-Benutzer oder einer IAM-Rolle zuordnen. Weitere Informationen zum Generieren von Richtlinien mit IAM Access Analyzer finden Sie unter Generieren von IAM Access Analyzer-Richtlinien.

Preise für IAM Access Analyzer

IAM Access Analyzer erhebt Gebühren für die Analyse des ungenutzten Zugriffs. Sie entsprechen der Anzahl der pro Analysator und pro Monat analysierten IAM-Rollen und -Benutzer.

IAM Access Analyzer berechnet Gebühren für benutzerdefinierte Richtlinienprüfungen. Die Gebühren beruhen darauf, wie viele API-Anfragen an IAM Access Analyzer auf der Suche nach neuen Zugriffen gestellt werden.

Eine vollständige Liste der Kosten und Preise für IAM Access Analyzer finden Sie unter Preise für IAM Access Analyzer.

Um Ihre Rechnung anzuzeigen, navigieren Sie zu Fakturierungs- und Kostenverwaltungs-Dashboard in der AWS Billing and Cost Management-Konsole. Ihre Abrechnung enthält Links zu Nutzungsberichten mit Details zu Ihrer Abrechnung. Weitere Informationen zur AWS-Konto-Abrechnung finden Sie im AWS Billing-Benutzerhandbuch

Wenden Sie sich bei Fragen zu AWS-Abrechnungen, -Konten und -Vorfällen an AWS Support.