Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Erkenntnisse des IAM Access Analyzers
IAM Access Analyzer generiert Erkenntnisse zum internen Zugriff, internen Zugriff und ungenutzten Zugriff in Ihrem AWS-Konto oder Ihrer Organisation.
IAM Access Analyzer generiert für externen Zugriff ein Ergebnis für jede Instance einer ressourcenbasierten Richtlinie, die einem Prinzipal, der sich nicht innerhalb Ihrer Vertrauenszone befindet, Zugriff auf eine Ressource in Ihrer Vertrauenszone gewährt. Wenn Sie einen Analysator für externen Zugriff erstellen, wählen Sie eine Organisation oder ein AWS-Konto aus, das analysiert werden soll. Jeder Auftraggeber in der Organisation oder im Konto, den Sie für als Analysator auswählen, gilt als vertrauenswürdig. Da Auftraggeber in derselben Organisation oder demselben Konto vertrauenswürdig sind, bilden die Ressourcen und Auftraggeber innerhalb der Organisation oder des Kontos die Vertrauenszone für den Analysator. Jede Freigabe innerhalb der Vertrauenszone wird als sicher angesehen, so dass IAM Access Analyzer kein Ergebnis generiert. Wenn Sie beispielsweise eine Organisation als Vertrauenszone für einen Analysator auswählen, befinden sich alle Ressourcen und Auftraggeber in der Organisation innerhalb der Vertrauenszone. Wenn Sie einem Prinzipal in einem anderen Mitgliedskonto Ihrer Organisation Berechtigungen für einen Amazon-S3-Bucket in einem Ihrer Mitgliedskonten Ihrer Organisation erteilen, generiert IAM Access Analyzer kein Ergebnis. Wenn Sie jedoch einem Auftraggeber Zugriff auf ein Konto gewähren, das nicht Mitglied der Organisation ist, generiert IAM Access Analyzer ein Ergebnis.
Für internen Zugriff generiert IAM Access Analyzer Erkenntnisse, wenn ein möglicher Zugriffspfad zwischen einer IAM-Rolle oder einem Benutzer innerhalb Ihrer Organisation und Ihrer angegebenen Ressourcen besteht. Ähnlich wie bei der Analyse des externen Zugriffs bestimmt der von Ihnen gewählte Bereich (Organisation oder Konto) darüber, was als intern betrachtet wird. Wenn Sie eine Organisation als Bereich auswählen, generiert IAM Access Analyzer Erkenntnisse für Zugriffspfade zwischen Prinzipalen und Ressourcen innerhalb Ihrer Organisation. Wenn Sie ein Konto auswählen, werden Erkenntnisse für Zugriffspfade innerhalb dieses spezifischen Kontos generiert. IAM Access Analyzer bewertet anhand von Automated Reasoning alle IAM-Richtlinien, um zu überwachen, wer Zugriff auf Ihre Ressourcen hat.
Die Kombination externer und interner Zugriffserkenntnisse mit derselben Vertrauenszone ermöglicht eine umfassende Analyse aller möglichen Zugriffe auf eine bestimmte Ressource, sowohl innerhalb als auch außerhalb Ihrer definierten Vertrauensgrenze.
Für ungenutzten Zugriff generiert IAM Access Analyzer Erkenntnisse für ungenutzten Zugriff, der in Ihrer AWS-Organisation und Ihren Konten gewährt wurde. Wenn Sie einen Analysator für ungenutzten Zugriff erstellen, überwacht IAM Access Analyzer kontinuierlich alle IAM-Rollen und -Benutzer in Ihrer AWS-Organisation und Ihren -Konten und generiert Ergebnisse für ungenutzten Zugriff. IAM Access Analyzer generiert die folgenden Arten von Ergebnissen für ungenutzten Zugriff:
-
Ungenutzte Rollen – Rollen ohne Zugriffsaktivität innerhalb des angegebenen Nutzungsfensters.
-
Ungenutzte Zugriffsschlüssel und Passwörter von IAM-Benutzern – Anmeldeinformationen von IAM-Benutzern, die im angegebenen Nutzungsfenster nicht für den Zugriff auf Ihr AWS-Konto verwendet wurden.
-
Ungenutzte Berechtigungen – Berechtigungen auf Service- und Aktionsebene, die von einer Rolle innerhalb des angegebenen Nutzungsfensters nicht verwendet wurden. IAM Access Analyzer verwendet identitätsbasierte Richtlinien, die Rollen zugeordnet sind, um zu bestimmen, auf welche Services und Aktionen diese Rollen zugreifen können. IAM Access Analyzer unterstützt die Überprüfung ungenutzter Berechtigungen für alle Berechtigungen auf Serviceebene. Eine vollständige Liste der Berechtigungen auf Aktionsebene, die für ungenutzte Zugriffsergebnisse unterstützt werden, finden Sie unter IAM-Aktion, zuletzt aufgerufene Informationsservices und Aktionen.
Anmerkung
IAM Access Analyzer bietet Erkenntnisse für externen Zugriff kostenlos an. Es bestehen Gebühren für Erkenntnisse für ungenutzten Zugriff auf der Grundlage der Anzahl der pro Monat vom Analyzer analysierten IAM-Rollen und -Benutzer. Es gibt auch Gebühren für Erkenntnisse für interne Zugriffe auf der Grundlage der Anzahl der pro Analyzer pro Monat überwachten AWS-Ressourcen. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAM Access Analyzer
Themen
Grundlegendes zur Funktionsweise der Erkenntnisse von IAM Access Analyzer
Erste Schritte mit AWS Identity and Access Management Access Analyzer
Anzeigen des Dashboards mit Erkenntnissen von IAM Access Analyzer
Unterstützte Ressourcentypen für IAM Access Analyzer für externen und internen Zugriff
Überwachen von AWS Identity and Access Management Access Analyzer mit Amazon EventBridge
Integration von IAM Access Analyzer mit AWS Security Hub CSPM
Protokollieren von API-Aufrufen von IAM Access Analyzer mit AWS CloudTrail
Verwenden von serviceverknüpften Rollen für AWS Identity and Access Management Access Analyzer
