Fehlererkenntnisse des IAM Access Analyzers - AWS Identitäts- und Zugriffsverwaltung
Fehlererkenntnisse zum externen ZugriffFehlererkenntnisse zum internen ZugriffLösen von Fehlererkenntnissen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Fehlererkenntnisse des IAM Access Analyzers

Wenn IAM Access Analyzer Ressourcen analysiert, generiert das Tool in der Regel Erkenntnisse dazu, wer Zugriff auf Ihre Ressourcen hat. In einigen Fällen kann der Analysator auf Probleme stoßen, die ihn daran hindern, die Analyse abzuschließen. In diesen Situationen generiert IAM Access Analyzer stattdessen Fehlererkenntnisse.

Fehlererkenntnisse deuten darauf hin, dass IAM Access Analyzer die Analyse für eine bestimmte Ressource oder für ein bestimmtes Prinzipal-Ressourcen-Paar nicht abschließen konnte. Diese Erkenntnisse helfen Ihnen dabei, Ressourcen zu identifizieren, die möglicherweise Aufmerksamkeit erfordern, um eine ordnungsgemäße Analyse sicherzustellen.

Fehlererkenntnisse zum externen Zugriff

Analysatoren für externen Zugriff, die außerhalb Ihres Kontos oder Ihrer Organisation freigegebene Ressourcen identifizieren, können zwei Arten von Fehlererkenntnissen generieren:

  • INTERNAL_ERROR: Zeigt an, dass IAM Access Analyzer bei der Analyse der Ressource auf ein internes Problem gestoßen ist. Dies könnte auf Serviceeinschränkungen oder vorübergehende Probleme zurückzuführen sein.

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR",
	"createdAt": "2022-07-14T01:31:43.085000+00:00",
	"resourceType": "AWS::IAM::Role",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
}

  • ACCESS_DENIED: Zeigt an, dass IAM Access Analyzer nicht über die erforderlichen Berechtigungen zur Analyse der Ressource verfügt. Dies geschieht in der Regel, wenn der serviceverknüpften Rolle (service-linked role, SLR) für IAM Access Analyzer der Zugriff auf die Ressource verweigert wird.

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
	"status": "ACTIVE",
	"error": "ACCESS_DENIED",
	"createdAt": "2022-07-14T01:31:43.104000+00:00",
	"resourceType": "AWS::KMS::Key",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
}

Fehlererkenntnisse zum internen Zugriff

Analysatoren für internen Zugriff, die Zugriffe innerhalb Ihres Kontos oder Ihrer Organisation identifizieren, können vier Arten von Fehlererkenntnissen generieren:

  • PRINCIPAL_LIMIT_EXCEEDED: Wird generiert, wenn mehr als 3000 Prinzipale Zugriff auf eine kritische Ressource haben. Dieser Fehler hilft Ihnen dabei, Ressourcen mit zu weitreichenden Zugriffsrechten zu identifizieren, die möglicherweise eingeschränkt werden müssen.

    Wenn Sie Änderungen an den Ressourcen oder Prinzipalen in Ihrer Umgebung vornehmen, wodurch die Anzahl der Prinzipale unter den Grenzwert fällt, generiert der Analysator beim nächsten Scan normale Erkenntnisse und der Fehlerbefund wird als behoben markiert.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • Fehler auf Ressourcenebene (INTERNAL_ERROR oder ACCESS_DENIED): Ähnlich wie externe Zugriffsfehler weisen diese darauf hin, dass der Analysator eine bestimmte Ressource aufgrund interner Probleme oder Berechtigungsprobleme nicht analysieren konnte. Wenn ein Fehler auf Ressourcenebene auftritt, generiert der Analysator anstelle der normalen Erkenntnisse eine einzelne Fehlererkenntnis für die Ressource.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • Fehler auf Prinzipalebene (INTERNAL_ERROR oder ACCESS_DENIED): Zeigt an, dass der Analysator den Zugriff eines bestimmten Prinzipals auf eine bestimmte Ressource nicht analysieren konnte. Im Gegensatz zu Fehlern auf Ressourcenebene kann eine Ressource sowohl normale Erkenntnisse für einige Prinzipale als auch Fehlererkenntnisse für andere Prinzipale aufweisen.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess", 
	"findingDetails": [
		{
			"internalAccessDetails": {
				"principal": {
					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
				},
				"principalOwnerAccount": "111122223333",
				"principalType": "IAM_ROLE",
				"accessType": "INTRA_ACCOUNT"
			}
		}
	]
}

  • PRINCIPAL_ERRORS_LIMIT_EXCEEDED: Wird generiert, wenn für eine einzelne Ressource zu viele Fehler auf Prinzipalebene gefunden wurden. Dies ist ein Fehler auf Ressourcenebene, der neben normalen Erkenntnissen für dieselbe Ressource auftreten kann.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Lösen von Fehlererkenntnissen

Wenn Sie das Problem beheben, das IAM Access Analyzer daran gehindert hat, die Ressource zu analysieren, wird die fehlerhafte Erkenntnis vollständig entfernt, anstatt in eine behobene Erkenntnis geändert zu werden.

Um Fehlerbehebungen durchzuführen, sollten Sie je nach Art des Fehlers die folgenden Ansätze in Betracht ziehen:

  • Bei ACCESS_DENIED-Fehlern überprüfen Sie, ob die serviceverknüpften Rolle im IAM Access Analyzer über die erforderlichen Berechtigungen für den Zugriff auf die Ressource verfügt.

  • Bei Fehlern vom Typ PRINCIPAL_LIMIT_EXCEEDED überprüfen Sie die Zugriffsrichtlinien der Ressource und erwägen Sie, den Zugriff auf weniger Prinzipale zu beschränken.

  • Bei INTERNAL_ERROR-Erkenntnissen müssen Sie möglicherweise einen weiteren Analysezyklus abwarten oder sich an den AWS-Support wenden, wenn das Problem weiterhin besteht.

  • Bei Fehlern vom Typ PRINCIPAL_ERRORS_LIMIT_EXCEEDED sollten Sie die Zugriffsmuster für die betroffene Ressource überprüfen und gegebenenfalls vereinfachen.

Nachdem Änderungen zur Behebung der zugrunde liegenden Probleme vorgenommen wurden, versucht IAM Access Analyzer, die Ressourcen während des nächsten Scanzyklus erneut zu analysieren.