Filtern von Erkenntnisse von IAM Access Analyzer - AWS Identity and Access Management
Filtern von Ressourcen mit aktiven ErkenntnissenFiltern von Erkenntnissen aus dem externen ZugriffFiltern von Erkenntnissen aus dem internen ZugriffFiltern von Erkenntnissen zum ungenutzten Zugriff

Filtern von Erkenntnisse von IAM Access Analyzer

Mit der Standardfilterung werden auf der Erkenntnisseite alle aktiven Ergebnisse angezeigt. Um alle Erkenntnisse anzuzeigen, wählen Sie Alle aus der Dropdown-Liste Status aus. Um archivierte Erkenntnisse anzuzeigen, wählen Sie die Registerkarte Archiviert. Um die gelösten Erkenntnisse anzuzeigen, wählen Sie Gelöst. Wenn Sie IAM Access Analyzer zum ersten Mal verwenden, liegen keine archivierten Erkenntnisse vor.

Verwenden Sie Filter, um nur die Ergebnisse anzuzeigen, die den angegebenen Eigenschaftskriterien entsprechen. Um einen Filter zu erstellen, wählen Sie die Eigenschaft aus, nach der gefiltert werden soll. Wählen Sie dann, ob die Eigenschaft gleich ist oder einen Wert enthält, und geben Sie dann einen Eigenschaftswert ein, nach dem gefiltert werden soll, oder wählen Sie ihn aus.

Eine Liste der Filterschlüssel, mit denen Sie eine Archivregel erstellen oder aktualisieren können, finden Sie unter Filterschlüssel für IAM Access Analyzer.

Filtern von Ressourcen mit aktiven Erkenntnissen

Sie können aktive Erkenntnisse für maximal einen Analyzer für externen Zugriff und maximal einen Analyzer für internen Zugriff anzeigen und nach Ressourcen filtern.

So filtern Sie Ressourcen mit aktiven Erkenntnissen

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Ressourcenanalyse aus.

  3. Geben Sie den Namen der Ressource ganz oder teilweise in das Suchfeld ein, um nach der Ressource zu filtern.

  4. Wählen Sie in der Dropdown-Liste Zugriffstyp filtern den Zugriffstyp aus:

    • Alle Typen – zeigt Ressourcen mit allen Arten von Zugriffserkenntnissen an.

    • Öffentlicher Zugriff – zeigt nur Ressourcen mit Erkenntnissen aus dem öffentlichen Zugriff an.

    • Externer Zugriff – zeigt nur Ressourcen mit Erkenntnissen aus dem externen Zugriff an.

    • Interner Zugriff innerhalb der Organisation – zeigt nur Ressourcen mit Erkenntnissen aus dem internen Zugriff an.

  5. Wählen Sie in der Dropdown-Liste Ressourcentyp filtern einen Ressourcentyp aus, um nur Ressourcen des ausgewählten Typs anzuzeigen.

Filtern von Erkenntnissen aus dem externen Zugriff

So filtern Sie Erkenntnisse aus dem externen Zugriff

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Analyzer-Einstellungen und dann den Analyzer für externen Zugriff im Abschnitt Analyzer aus.

  3. Wählen Sie Erkenntnisse anzeigen aus.

  4. Wählen Sie das Suchfeld, um eine Liste der verfügbaren Eigenschaften anzuzeigen.

  5. Wählen Sie die Eigenschaft aus, die zum Filtern der angezeigten Erkenntnisse verwendet werden soll.

  6. Wählen Sie den entsprechenden Wert für die Eigenschaft. Nur Erkenntnisse mit diesem Wert in der Erkenntnis werden angezeigt.

    Wählen Sie beispielsweise Ressource als Eigenschaft aus, wählen Sie dann Ressource: aus, geben Sie den Namen eines Buckets teilweise oder vollständig ein, und drücken Sie dann die Eingabetaste. Es werden nur die den Filterkriterien entsprechenden Erkenntnisse für den Bucket angezeigt. Um einen Filter zu erstellen, der nur Ergebnisse für Ressourcen anzeigt, die öffentlichen Zugriff zulassen, können Sie die Eigenschaft Öffentlicher Zugriff, dann Öffentlicher Zugriff: und dann Öffentlicher Zugriff: true auswählen.

Sie können zusätzliche Eigenschaften hinzufügen, um die angezeigten Erkenntnisse weiter zu filtern. Wenn Sie zusätzliche Eigenschaften hinzufügen, werden nur Erkenntnisse angezeigt, die allen Bedingungen im Filter entsprechen. Das Definieren eines Filters zur Anzeige von Erkenntnissen, die einer Eigenschaft ODER einer anderen Eigenschaft entsprechen, wird nicht unterstützt. Wählen Sie Filter löschen, um alle von Ihnen definierten Filter zu löschen und alle Ergebnisse mit dem angegebenen Status für Ihren Analysator anzuzeigen.

Einige Felder werden nur angezeigt, wenn Sie Erkenntnisse für einen Analyzer anzeigen, dessen Vertrauenszone eine Organisation ist.

Für die Definition von Filtern für externen Zugriff stehen folgende Eigenschaften zur Verfügung:

  • Öffentlicher Zugriff – Um nach Ressourcen zu filtern, die öffentlichen Zugriff ermöglichen, filtern Sie nach Öffentlicher Zugriff und wählen dann Öffentlicher Zugriff: true.

  • Ressource – Geben Sie den Namen der Ressource ganz oder teilweise ein, um nach der Ressource zu filtern.

  • Ressourcentyp – Wählen Sie den Typ aus der angezeigten Liste aus, um nach Ressourcentyp zu filtern.

  • Konto des Ressourceneigentümers – Verwenden Sie diese Eigenschaft, um nach dem Konto in der Organisation zu filtern, dem die im Ergebnis gemeldete Ressource gehört.

  • Einschränkung der Ressourcenkontrollrichtlinie – Verwenden Sie diese Eigenschaft, um nach dem Einschränkungstyp zu filtern, der durch die Ressourcenkontrollrichtlinie (RCP) einer Organisation angewendet wird. Weitere Informationen finden Sie unter Ressourcen-Kontrollrichtlinien (RCPs) im AWS Organizations-Benutzerhandbuch.

    • RCP konnte nicht ausgewertet werden: Bei der Auswertung der RCP ist ein Fehler aufgetreten.

    • Nicht zutreffend: Keine RCP schränkt diese Ressource oder diesen Prinzipal ein. Dazu gehören auch Ressourcen, bei denen RCPs noch nicht unterstützt werden.

    • Anwendbar: Ihr Organisationsadministrator hat über eine RCP Einschränkungen festgelegt, die sich auf die Ressource oder den Ressourcentyp auswirken. Weitere Informationen erhalten Sie von Ihrem Organisationsadministrator.

  • AWS-Konto: Verwenden Sie diese Eigenschaft, um im Abschnitt Prinzipal einer Richtlinienanweisung nach dem AWS-Konto zu filtern, dem der Zugriff gewährt wird. Um nach AWS-Konto zu filtern, geben Sie die 12-stellige AWS-Konto-ID ganz oder teilweise oder ganz oder teilweise den vollständigen Konto-ARN des externen AWS-Benutzers oder -Rolle ein, die bzw. der Zugriff auf Ressourcen im aktuellen Konto hat.

  • Kanonischer Benutzer – Zum Filtern nach kanonischen Benutzern geben Sie die kanonische Benutzer-ID ein, wie sie für Amazon-S3-Buckets definiert ist. Weitere Informationen finden Sie unter AWS-Kontenkennungen.

  • Federated User (Verbundener Benutzer) – Geben Sie den ARN der Verbundidentität ganz oder teilweise ein, um nach einem Verbundbenutzer zu filtern. Weitere Informationen finden Sie unter Identitätsanbieter und Verbund.

  • Ergebnis-ID – Um nach der Ergebnis-ID zu filtern, geben Sie die Ergebnis-ID ganz oder teilweise ein.

  • Fehler – Um nach Fehlertyp zu filtern, wählen Sie Zugriff verweigert oder Interner Fehler.

  • Prinzipal-ARN – Verwenden Sie diese Eigenschaft, um nach dem ARN des Prinzipals (IAM-Benutzer, -Rolle oder -Gruppe) zu filtern, der in einem aws:PrincipalArn-Bedingungsschlüssel verwendet wird. Wenn Sie nach Prinzipal-ARN filtern möchten, geben Sie den ARN des Benutzers, der Rolle oder der Gruppe in IAM von einem im Ergebnis gemeldeten externen AWS-Kontos ganz oder teilweise ein.

  • Prinzipal-OrgID zum Filtern nach Prinzipal-OrgID geben Sie die Organisations-ID ganz oder teilweise ein, die den externen Prinzipalen zugewiesen ist, die der als Bedingung im Ergebnis angegebenen AWS-Organisation angehören. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • Prinzipal OrgPaths – Um nach Prinzipal OrgPaths zu filtern, geben Sie die ID für die AWS-Organisation oder Organisationseinheit (OE), über die alle externen Prinzipale, die Kontomitglieder der angegebenen Organisation oder OE sind, Zugriff erhalten können, ganz oder teilweise als Bedingung in die Richtlinie ein. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • Quellkonto – Um nach dem Quellkonto zu filtern, geben Sie die AWS-Konto-ID, die den Ressourcen zugewiesen ist, ganz oder teilweise ein, wie sie in einigen serviceübergreifenden Berechtigungen in AWS verwendet wird. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • Quell-ARN – Sie können nach dem Quell-ARN filtern, indem Sie den ARN, der als Bedingung im Ergebnis angegeben wurde, ganz oder teilweise eingeben. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • Source IP (Quell-IP) – Um nach der Quell-IP zu filtern, geben Sie die IP-Adresse, die externen Entitäten bei Verwendung der angegebenen IP-Adresse den Zugriff auf Ressourcen im aktuellen Konto ermöglicht, ganz oder teilweise ein. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • Quell-OrgID – Um nach Quell-OrgID zu filtern, geben Sie die gesamte oder einen Teil der Organisations-ID ein, die den Ressourcen zugeordnet ist und in einigen serviceübergreifenden Berechtigungen in AWS verwendet wird. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • Quell-OrgPaths – Um nach Quell-OrgPaths zu filtern, geben Sie die gesamte oder einen Teil der den Ressourcen zugeordneten Organisationseinheit (OE) ein, wie sie in einigen serviceübergreifenden Berechtigungen in AWS verwendet wird. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • Source VPC (Quell-VPC) – Wenn Sie nach Quell-VPC filtern möchten, geben Sie die VPC-ID, die externen Entitäten bei Verwendung der angegebenen VPC den Zugriff auf Ressourcen im aktuellen Konto ermöglicht, ganz oder teilweise ein. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • Quell-VPCE – Um nach dem Quell-VPCE zu filtern, geben Sie die VPC-Endpunkt-ID ganz oder teilweise ein, die externen Entitäten bei Verwendung des angegebenen VPC-Endpunkts den Zugriff auf Ressourcen im aktuellen Konto ermöglicht. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • VPCE-Konto – Um nach einem VPCE-Konto zu filtern, geben Sie die 12-stellige AWS-Konto-ID, die die externen Entitäten des VPC-Endpunkts besitzt und externen Entitäten den Zugriff auf Ressourcen ermöglicht, ganz oder teilweise ein. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • VPCE OrgID – Um nach einer VPCE OrgID zu filtern, geben Sie die Organisations-ID, die die externen Entitäten des VPC-Endpunkts besitzt und externen Entitäten den Zugriff auf Ressourcen ermöglicht, ganz oder teilweise ein. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • VPCE OrgPaths – Um nach VPCE OrgPaths zu filtern, geben Sie die Organisationseinheit (OU), die die externen Entitäten des VPC-Endpunkts besitzt und externen Entitäten den Zugriff auf Ressourcen ermöglicht, ganz oder teilweise ein. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • Benutzer-ID zum Filtern nach der User-ID geben Sie von einem externen AWS-Konto, dem der Zugriff auf die Ressource im aktuellen Konto gewährt wird, die Benutzer-ID des IAM-Benutzers ganz oder teilweise ein. Weitere Informationen finden Sie unter Globale AWS-Bedingungskontextschlüssel.

  • KMS-Schlüssel-ID – Wenn Sie nach der KMS-Schlüssel-ID filtern möchten, geben Sie die Schlüssel-ID für den KMS-Schlüssel, der als Bedingung für den AWS KMS-verschlüsselten Amazon-S3-Objektzugriff in Ihrem aktuellen Konto angegeben ist, ganz oder teilweise ein.

  • Sitzungsmodus – Um nach Sitzungsmodus für Amazon S3-Verzeichnis-Buckets zu filtern (ReadOnly oder ReadWrite) geben Sie den Sitzungsmodus ganz oder teilweise ein. Weitere Informationen finden Sie unter CreateSession in der Amazon-Simple-Storage-Service-API-Referenz.

  • Google Audience – Um nach Google Audience zu filtern, geben Sie die Google-Anwendungs-ID, die als Bedingung für den IAM-Rollenzugriff in Ihrem aktuellen Konto angegeben ist, ganz oder teilweise ein. Weitere Informationen finden Sie unter IAM- und AWS STS-Bedingungskontextschlüssel.

  • Cognito-Zielgruppe – Zum Filtern nach Amazon-Cognito-Zielgruppe geben Sie die ID des Amazon-Cognito-Identitätspools, die als Bedingung für den Zugriff auf IAM-Rollen in Ihrem aktuellen Konto angegeben ist, ganz oder teilweise ein. Weitere Informationen finden Sie unter IAM- und AWS STS-Bedingungskontextschlüssel.

  • Aufruferkonto die AWS-Konto-ID des Kontos, das die aufrufende Entität besitzt oder enthält, z. B. eine IAM-Rolle, ein Benutzer oder ein Konto-Root-Benutzer. Dies wird von Services verwendet, die AWS KMS aufrufen. Um nach Aufruferkonto zu filtern, geben Sie die AWS-Konto-ID ganz oder teilweise ein.

  • Facebook-App-ID – Wenn Sie nach der Facebook-App-ID filtern möchten, geben Sie die Facebook-Anwendungs-ID (oder Website-ID), die als Bedingung angegeben ist, ganz oder teilweise ein. Damit wird der Zugriff auf eine IAM-Rolle in Ihrem aktuellen Konto bei Anmeldung mit dem Facebook-Verbund ermöglicht. Weitere Informationen finden Sie im Abschnitt id unter IAM und AWS STS-Bedingungskontextschlüssel.

  • Amazon-App-ID – Wenn Sie nach Amazon-App-ID filtern möchten, geben Sie die Amazon-App-ID (oder die Website-ID), die als Bedingung angegeben ist, ganz oder teilweise ein, um Login with Amazon den Verbundzugriff auf eine IAM-Rolle in Ihrem aktuellen Konto zu ermöglichen. Weitere Informationen finden Sie im Abschnitt id unter IAM und AWS STS-Bedingungskontextschlüssel.

  • Lambda-Ereignisquellen-Token – Sie können nach Lambda-Ereignisquellen-Token filtern, das mit Alexa-Integrationen übergeben wurde, indem Sie die Token-Zeichenfolge ganz oder teilweise eingeben.

Filtern von Erkenntnissen aus dem internen Zugriff

So filtern Sie Erkenntnisse aus dem internen Zugriff

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Analyzer-Einstellungen und dann den Analyzer für internen Zugriff im Abschnitt Analyzer aus.

  3. Wählen Sie Erkenntnisse anzeigen aus.

  4. Wählen Sie das Suchfeld, um eine Liste der verfügbaren Eigenschaften anzuzeigen.

  5. Wählen Sie die Eigenschaft aus, die zum Filtern der angezeigten Erkenntnisse verwendet werden soll.

  6. Wählen Sie den entsprechenden Wert für die Eigenschaft. Nur Erkenntnisse mit diesem Wert in der Erkenntnis werden angezeigt.

    Wählen Sie beispielsweise Ressource als Eigenschaft aus, wählen Sie dann Ressource: aus, geben Sie den Namen eines Buckets teilweise oder vollständig ein, und drücken Sie dann die Eingabetaste. Es werden nur die den Filterkriterien entsprechenden Erkenntnisse für den Bucket angezeigt.

Sie können zusätzliche Eigenschaften hinzufügen, um die angezeigten Erkenntnisse weiter zu filtern. Wenn Sie zusätzliche Eigenschaften hinzufügen, werden nur Erkenntnisse angezeigt, die allen Bedingungen im Filter entsprechen. Das Definieren eines Filters zur Anzeige von Erkenntnissen, die einer Eigenschaft ODER einer anderen Eigenschaft entsprechen, wird nicht unterstützt. Wählen Sie Filter löschen, um alle von Ihnen definierten Filter zu löschen und alle Ergebnisse mit dem angegebenen Status für Ihren Analysator anzuzeigen.

Einige Felder werden nur angezeigt, wenn Sie Erkenntnisse für einen Analyzer anzeigen, dessen Vertrauenszone eine Organisation ist.

Die folgenden Felder werden nur angezeigt, wenn Sie Erkenntnisse für einen Analyzer anzeigen, der den internen Zugriff überwacht:

  • Ressource – Geben Sie den Namen der Ressource ganz oder teilweise ein, um nach der Ressource zu filtern.

  • Ressourcentyp – Wählen Sie den Typ aus der angezeigten Liste aus, um nach Ressourcentyp zu filtern.

  • Konto des Ressourceneigentümers – Verwenden Sie diese Eigenschaft, um nach dem Konto in der Organisation zu filtern, dem die im Ergebnis gemeldete Ressource gehört.

  • Erkenntnis-ID – Um nach der Erkenntnis-ID zu filtern, geben Sie die Erkenntnis-ID ganz oder teilweise ein.

Filtern von Erkenntnissen zum ungenutzten Zugriff

So filtern Sie die Erkenntnisse zum ungenutzten Zugriff

  1. Öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie Ungenutzter Zugriff und dann den Analyzer in der Dropdown-Liste Analyzer anzeigen aus.

  3. Wählen Sie das Suchfeld, um eine Liste der verfügbaren Eigenschaften anzuzeigen.

  4. Wählen Sie die Eigenschaft aus, die zum Filtern der angezeigten Erkenntnisse verwendet werden soll.

  5. Wählen Sie den entsprechenden Wert für die Eigenschaft. Nur Erkenntnisse mit diesem Wert in der Erkenntnis werden angezeigt.

    Wählen Sie beispielsweise Erkenntnistyp als Eigenschaft aus, wählen Sie dann Erkenntnistyp = und anschließend Erkenntnistyp = Ungenutzte Rolle aus. Es werden nur Erkenntnisse des Typs Ungenutzte Rolle angezeigt.

Sie können zusätzliche Eigenschaften hinzufügen, um die angezeigten Erkenntnisse weiter zu filtern. Wenn Sie zusätzliche Eigenschaften hinzufügen, werden nur Erkenntnisse angezeigt, die allen Bedingungen im Filter entsprechen. Das Definieren eines Filters zur Anzeige von Erkenntnissen, die einer Eigenschaft ODER einer anderen Eigenschaft entsprechen, wird nicht unterstützt. Wählen Sie Filter löschen, um alle von Ihnen definierten Filter zu löschen und alle Ergebnisse mit dem angegebenen Status für Ihren Analysator anzuzeigen.

Die folgenden Felder werden nur angezeigt, wenn Sie Erkenntnisse für einen Analyzer anzeigen, der ungenutzten Zugriff überwacht:

  • Erkenntnistyp – Um nach dem Typ des Erkenntnisses zu filtern, filtern Sie nach dem Erkenntnistyp und wählen Sie dann den Typ des Erkenntnisses aus.

  • Ressource – Geben Sie den Namen der Ressource ganz oder teilweise ein, um nach der Ressource zu filtern.

  • Ressourcentyp – Wählen Sie den Typ aus der angezeigten Liste aus, um nach Ressourcentyp zu filtern.

  • Konto des Ressourceneigentümers – Verwenden Sie diese Eigenschaft, um nach dem Konto in der Organisation zu filtern, dem die im Ergebnis gemeldete Ressource gehört.

  • Erkenntnis-ID – Um nach der Erkenntnis-ID zu filtern, geben Sie die Erkenntnis-ID ganz oder teilweise ein.