Grundlegendes zur Funktionsweise der Erkenntnisse von IAM Access Analyzer - AWS Identity and Access Management
Ergebnisse zum externen ZugriffSo werden externe Zugriffserkenntnisse generiert:Erkenntnisse zu internen ZugriffenSo werden interne Zugriffserkenntnisse generiertErgebnisse zum ungenutzten ZugriffSo werden ungenutzte Zugriffserkenntnisse generiert

Grundlegendes zur Funktionsweise der Erkenntnisse von IAM Access Analyzer

In diesem Thema werden die Konzepte und Begriffe beschrieben, die in IAM Access Analyzer verwendet werden, damit Sie sich damit vertraut machen können, wie IAM Access Analyzer den Zugriff auf Ihre AWS-Ressourcen überwacht.

Ergebnisse zum externen Zugriff

Ergebnisse zum externen Zugriff werden für jede Instance einer Ressource, die außerhalb Ihrer Vertrauenszone freigegeben wird, nur einmal generiert. Jedes Mal, wenn eine ressourcenbasierte Richtlinie geändert wird, analysiert IAM Access Analyzer die Richtlinie. Wenn die aktualisierte Richtlinie eine Ressource freigibt, die bereits mit anderen Berechtigungen oder Bedingungen in einem Ergebnis identifiziert wurde, wird für diese Instance der Ressourcenfreigabe ein neues Ergebnis generiert. Änderungen an einer Ressourcen-Kontrollrichtlinie, die sich auf die Einschränkung der Ressourcen-Kontrollrichtlinie (RCP) auswirken, führen ebenfalls zu einer neuen Erkenntnis. Der IAM Access Analyzer wertet auch Zugriffskontrollkonfigurationen aus, die durch deklarative Richtlinien festgelegt wurden. Wenn der Zugriff im ersten Ergebnis entfernt wird, erhält dieses Ergebnis den Status Gelöst.

Der Status aller Ergebnisse bleibt Aktiv, bis Sie sie archivieren oder den Zugriff, der das Ergebnis generiert hat, entfernen. Wenn Sie den Zugriff entfernen, wird der Ergebnisstatus auf Gelöst aktualisiert.

Anmerkung

Es kann bis zu 30 Minuten dauern, nachdem eine Richtlinie geändert wurde, damit IAM Access Analyzer die Ressource analysiert und das Ergebnis zum externen Zugriff aktualisiert. Änderungen an einer Ressourcenkontrollrichtlinie (RCP) lösen keine erneute Suche der in dem Erkenntnis gemeldeten Ressource aus. IAM Access Analyzer analysiert die neue oder aktualisierte Richtlinie bei der nächsten periodischen Überprüfung, die innerhalb von 24 Stunden stattfindet.

So generiert IAM Access Analyzer Erkenntnisse für externen Zugriff

AWS Identity and Access Management Access Analyzer verwendet eine Technologie namens Zelkova, um IAM-Richtlinien zu analysieren und externen Zugriff auf Ressourcen zu identifizieren.

Zelkova übersetzt IAM-Richtlinien in äquivalente logische Aussagen und führt sie durch eine Reihe allgemeiner und spezialisierter logischer Löser (Erfüllbarkeits-Modulo-Theorien). IAM Access Analyzer wendet Zelkova wiederholt auf eine Richtlinie an und verwendet dabei zunehmend spezifische Abfragen, um die Zugriffsarten zu charakterisieren, die die Richtlinie basierend auf ihrem Inhalt zulässt. Weitere Informationen zu den Satisfiability Modulo-Theorien finden Sie unter Satisfiability Modulo-Theorien.

Bei Analyzer für externen Zugriff überprüft IAM Access Analyzer keine Zugriffsprotokolle, um festzustellen, ob eine externe Entität auf eine Ressource innerhalb Ihrer Vertrauenszone zugegriffen hat. Stattdessen wird eine Erkenntnis generiert, wenn eine ressourcenbasierte Richtlinie den Zugriff auf eine Ressource zulässt, unabhängig davon, ob die externe Entität auf die Ressource zugegriffen hat.

Darüber hinaus berücksichtigt IAM Access Analyzer nicht den Status externer Konten bei der Ermittlung. Wenn angegeben wird, dass das Konto 111122223333 auf Ihren Amazon-S3-Bucket zugreifen kann, liegen keine Informationen zu den Benutzern, Rollen, Service-Kontrollrichtlinien (SCP) oder anderen relevanten Konfigurationen in diesem Konto vor. Dies dient dem Datenschutz der Kunden, da IAM Access Analyzer nicht weiß, wem das andere Konto gehört. Dies dient auch der Sicherheit, da es wichtig ist, über potenzielle externe Zugriffe Bescheid zu wissen, auch wenn derzeit keine aktiven Prinzipale vorhanden sind, die diesen nutzen können.

IAM Access Analyzer berücksichtigt nur bestimmte IAM-Bedingungsschlüssel, auf die externe Benutzer keinen direkten Einfluss haben oder die sich auf andere Weise auf die Autorisierung auswirken. Beispiele für Bedingungsschlüssel, die IAM Access Analyzer berücksichtigt, finden Sie unter Filterschlüssel für IAM Access Analyzer.

IAM Access Analyzer meldet derzeit keine Erkenntnisse von AWS-Service-Prinzipalen oder internen Service-Konten. In seltenen Fällen, in denen nicht eindeutig festgestellt werden kann, ob eine Richtlinienanweisung einer externen Entität Zugriff gewährt, besteht die Gefahr, dass ein falsch positives Erkenntnis ausgegeben wird. Dies liegt daran, dass IAM Access Analyzer darauf ausgelegt ist, einen umfassenden Überblick über die Ressourcenfreigabe in Ihrem Konto zu bieten und falsch-negative Ergebnisse zu minimieren.

Erkenntnisse zu internen Zugriffen

Um die interne Zugriffsanalyse zu nutzen, müssen Sie den Analyzer zunächst konfigurieren, indem Sie die zu überwachenden Ressourcen auswählen. Nach der Konfiguration werden interne Zugriffserkenntnisse generiert, wenn ein Prinzipal (IAM-Benutzer oder -Rolle) innerhalb Ihrer Organisation oder Ihres Kontos Zugriff auf die ausgewählten Ressourcen hat. Eine neue Erkenntnis wird generiert, sobald der Analyzer die angegebenen Ressourcen das nächste Mal scannt und einen Prinzipal identifiziert, der Zugriff auf die Ressourcen hat. Wenn eine aktualisierte Richtlinie einen Prinzipal zulässt, der bereits in einer Erkenntnis identifiziert wurde, jedoch mit anderen Berechtigungen oder Bedingungen, wird eine neue Erkenntnis für diese Instance des Prinzipals und der Ressource generiert. Diese aktualisierte Richtlinie kann eine ressourcenbasierte Richtlinie, eine identitätsbasierte Richtlinie, eine Service-Kontrollrichtlinie (SCP) oder eine Ressourcen-Kontrollrichtlinie (RCP) sein. Der IAM Access Analyzer wertet auch Zugriffskontrollkonfigurationen aus, die durch deklarative Richtlinien festgelegt wurden.

Anmerkung

Erkenntnisse zum internen Zugriff sind nur über die API-Aktion ListFindingsV2 verfügbar.

So generiert IAM Access Analyzer Erkenntnisse für internen Zugriff

Zur Analyse des internen Zugriffs müssen Sie einen separaten Analyzer für interne Zugriffserkenntnisse Ihrer Ressourcen erstellen, selbst wenn Sie bereits einen Analyzer für externe Zugriffserkenntnisse oder Erkenntnisse ungenutzter Zugriffe erstellt haben.

Nach der Erstellung des Analyzers für interne Zugriffe wertet der IAM Access Analyzer alle ressourcenbasierten Richtlinien, identitätsbasierten Richtlinien, Service-Kontrollrichtlinien (SCPs), Ressourcen-Kontrollrichtlinien (RCPs) und Berechtigungsgrenzen innerhalb Ihres angegebenen Kontos oder Ihrer Organisation aus.

Durch die Erstellung eines Analyzers speziell für den internen Zugriff auf Ihre ausgewählten Ressourcen können Sie Folgendes ermitteln:

  • Wann ein Prinzipal in Ihrer Organisation oder Ihrem Konto auf Ihre ausgewählten Ressourcen zugreifen kann.

  • Die Gesamtzahl der effektiven Berechtigungen, die einem Prinzipal basierend auf der Schnittmenge aller anwendbaren Richtlinien gewährt werden

  • Komplexe Zugriffspfade, über die ein Prinzipal durch die Kombination von Identitäts- und Ressourcenrichtlinien Zugriff erhält

Anmerkung

IAM Access Analyzer kann keine internen Zugriffserkenntnisse für Organisationen mit mehr als 70 000 Prinzipale (IAM-Benutzer und Rollen zusammen) generieren.

Ergebnisse zum ungenutzten Zugriff

Erkenntnisse zum ungenutzten Zugriff werden für IAM-Entitäten (Prinzipale) innerhalb des ausgewählten Kontos oder der Organisation basierend auf der Anzahl von Tagen generiert, die bei der Erstellung des Analyzers angegeben wurde. Wenn der Analysator die Entitäten das nächste Mal scannt, wird ein neues Ergebnis generiert, wenn eine der folgenden Bedingungen erfüllt ist:

  • Eine Rolle ist für die angegebene Anzahl von Tagen inaktiv.

  • Eine ungenutzte Berechtigung, ein ungenutztes Benutzerpasswort oder ein ungenutzter Benutzerzugriffsschlüssel überschreitet die angegebene Anzahl von Tagen.

Anmerkung

Erkenntnisse zum ungenutzten Zugriff sind nur über die API-Aktion ListFindingsV2 verfügbar.

So generiert IAM Access Analyzer Erkenntnisse für ungenutzten Zugriff

Um ungenutzte Zugriffe zu analysieren, müssen Sie für Ihre Rollen einen separaten Analyzer für Erkenntnisse zu ungenutzten Zugriffen erstellen, auch wenn Sie bereits einen Analyzer zum Generieren von Erkenntnissen zu externen oder internen Zugriffen für Ihre Ressourcen erstellt haben.

Nach der Erstellung des Analyzers für ungenutzten Zugriff überprüft der IAM Access Analyzer die Zugriffsaktivität, um ungenutzten Zugriff zu identifizieren. Der IAM Access Analyzer untersucht die zuletzt aufgerufenen Informationen aller IAM-Benutzer, IAM-Rollen (einschließlich Servicerollen), Benutzerzugriffsschlüssel und Benutzerpasswörter in Ihrer Organisation und Ihren Konten von AWS. Auf diese Weise können Sie ungenutzten Zugriff identifizieren.

Anmerkung

Eine serviceverknüpfte Rolle ist eine spezielle Art von Servicerolle, die mit einem AWS-Service verknüpft und diesem zugeordnet ist. Serviceverknüpfte Rollen werden von ungenutzten Zugriffs-Analyzern nicht analysiert.

Für aktive IAM-Rollen und Benutzer verwendet IAM Access Analyzer Informationen über den letzten Zugriff auf IAM-Services und -Aktionen, um ungenutzte Berechtigungen zu identifizieren. Dadurch können Sie Ihren Überprüfungsprozess auf AWS-Organisations- und Kontoebene skalieren. Sie können die Informationen zum letzten Zugriff auf die Aktion auch für eine eingehendere Untersuchung einzelner Rollen verwenden. Dadurch erhalten Sie einen genaueren Einblick darüber, welche spezifischen Berechtigungen nicht genutzt werden.

Durch die Erstellung eines Analyzer für ungenutzten Zugriffe, können Sie ungenutzte Zugriffe in Ihrer gesamten AWS-Umgebung umfassend überprüfen und identifizieren und so die von Ihrem vorhandenen Analyzer für externe Zugriffe generierten Erkenntnisse ergänzen.