Verfeinern von Berechtigungen in AWS mithilfe der Informationen zum letzten Zugriff - AWS Identity and Access Management
Informationstypen zum letzten Zugriff für IAMInformationen zum letzten Zugriff für AWS OrganizationsWissenswertes über die Informationen zum letzten ZugriffErforderliche BerechtigungenFehlerbehebung bei Aktivitäten für IAM- und AWS Organizations-EntitätenWo AWS die Informationen zum letzten Zugriff nachverfolgt

Verfeinern von Berechtigungen in AWS mithilfe der Informationen zum letzten Zugriff

Als Administrator können Sie Berechtigungen für IAM-Ressourcen (Rollen, Benutzer, Benutzergruppen oder Richtlinien) gewähren, die über ihre Anforderungen hinausgehen. IAM bietet Informationen zum jeweils letzten Zugriff auf diese Informationen, anhand derer Sie nicht verwendete Berechtigungen identifizieren und diese dann entfernen können. Sie können die Informationen zum letzten Zugriff verwenden, um Ihre Richtlinien zu verfeinern und den Zugriff nur auf Services und Aktionen zu gewähren, die Ihre IAM-Identitäten und -Richtlinien verwenden. Auf diese Weise können Sie besser die bewährten Methoden der geringsten Rechte befolgen. Sie können Informationen zum letzten Zugriff für Identitäten oder Richtlinien anzeigen, die in IAM oder AWS Organizations vorhanden sind.

Sie können die zuletzt abgerufenen Informationen mit Analysatoren für ungenutzten Zugriff kontinuierlich überwachen. Weitere Informationen finden Sie unter Ergebnisse für externen und ungenutzten Zugriff.

Themen

Informationstypen zum letzten Zugriff für IAM

Sie können zwei Arten von Informationen über die letzten Zugriffe auf IAM-Identitäten anzeigen: Informationen über genehmigte AWS-Services und Informationen über genehmigte Aktionen. Zu den Informationen gehören Datum und Uhrzeit des Zugriffsversuchs auf eine AWS-API. Bei Aktionen werden die zuletzt aufgerufenen Informationen über Service-Verwaltungsaktionen gemeldet. Managementaktionen umfassen Erstellungs-, Lösch- und Änderungsaktionen. Weitere Informationen zum Anzeigen der Informationen zum letzten Zugriff für IAM finden Sie unter Anzeigen der zuletzt aufgerufenen Informationen für IAM.

Beispielszenarien zur Verwendung der Informationen zum letzten Zugriff für Entscheidungen zu den Berechtigungen für Ihre IAM-Identitäten finden Sie unter Beispielszenarien für die Verwendung von Informationen zum letzten Zugriff.

Weitere Informationen dazu, wie die Informationen für Managementaktionen bereitgestellt werden, finden Sie unter Wissenswertes über die Informationen zum letzten Zugriff.

Informationen zum letzten Zugriff für AWS Organizations

Wenn Sie sich mithilfe der Anmeldeinformationen für das Hauptkonto anmelden, können Sie auch die Informationen zum letzten Service-Zugriff für eine AWS Organizations-Entität oder -Richtlinie in Ihrer Organisation anzeigen lassen. Zu den AWS Organizations-Entitäten gehören der Organisationsstamm, Organisationseinheiten (OUs) oder Konten. Die Informationen zum letzten Zugriff für AWS Organizations beinhalten Informationen zu Services, die durch eine Service-Kontrollrichtlinie (Service Control Policy, SCP) zugelassen sind. Die Informationen geben an, welche Prinzipale (Root-Benutzer, IAM-Benutzer oder Rolle) in einer Organisation oder einem Konto zuletzt versucht haben, auf den Service zuzugreifen und wann. Weitere Informationen zum Bericht und zum Anzeigen der Informationen zum letzten Zugriff für AWS Organizations finden Sie unter Anzeigen der zuletzt aufgerufenen Informationen für AWS Organizations.

Beispielszenarien zur Verwendung der Informationen zum letzten Zugriff für Entscheidungen zu den Berechtigungen für Ihre AWS Organizations-Entitäten finden Sie unter Beispielszenarien für die Verwendung von Informationen zum letzten Zugriff.

Wissenswertes über die Informationen zum letzten Zugriff

Bevor Sie anhand der Informationen zum letzten Zugriff aus einem Bericht die Berechtigungen für eine IAM-Entität oder AWS Organizations-Entität ändern, überprüfen Sie die folgenden Details zu den Informationen.

  • Nachverfolgungszeitraum – Die kürzlich erfolgten Aktivitäten werden innerhalb von vier Stunden in der IAM-Konsole angezeigt. Der Nachverfolgungszeitraum für Service-Informationen beträgt mindestens 400 Tage, je nachdem, wann der Service mit der Nachverfolgung von Aktionsinformationen begonnen hat. Der Nachverfolgungszeitraum für Amazon S3 Aktionsinformationen begann am 12. April 2020. Der Nachverfolgungszeitraum für Amazon EC2, IAM- und Lambda-Aktionen begann am 7. April 2021. Der Nachverfolgungszeitraum für alle anderen Services begann am 23. Mai 2023. Eine Liste der Services, für die Informationen über die zuletzt aufgerufene Aktion verfügbar sind, finden Sie unter IAM-Aktion, zuletzt aufgerufene Informationsservices und Aktionen. Weitere Informationen darüber, in welchen Regionen die Aktion zuletzt aufgerufen wurde, finden Sie unter Wo AWS die Informationen zum letzten Zugriff nachverfolgt.

  • Gemeldete Zugriffsversuche – Die Angaben des letzten Service-Zugriffsdatums umfassen alle Zugriffsversuche auf ein AWS-API, nicht nur die erfolgreichen Zugriffe. Sie umfassen alle Zugriffsversuche über die AWS-Managementkonsole, die AWS-API über beliebige SDKs oder das Befehlszeilen-Tool. Ein unerwarteter Eintrag als letztes Service-Zugriffsdatum bedeutet nicht, dass Ihr Konto beschädigt oder infiziert worden ist, da der Zugriff möglicherweise verweigert wurde. In Ihren CloudTrail-Protokollen als verbindliche Quelle für Informationen über alle API-Aufrufe finden Sie weitere Informationen darüber, ob diese erfolgreich waren oder der Zugriff verweigert wurde.

  • PassRole – Die iam:PassRole-Aktion wird nicht nachverfolgt und ist nicht in den Informationen zum letzten Zugriff für den IAM-Service enthalten.

  • Informationen zur Aktion, auf die zuletzt zugegriffen wurde – Informationen zur Aktion, auf die zuletzt zugegriffen wurde, sind für Service-Management-Aktionen verfügbar, auf die IAM-Identitäten zugreifen. Hier finden Sie die Liste der Services und deren Aktionen, für die zuletzt auf Berichtsinformationen zugegriffen wurde.

    Anmerkung

    Informationen zur Aktion, auf die zuletzt zugegriffen wurde, sind für Datenebenenereignisse nicht verfügbar.

  • Verwaltungsereignisse – IAM stellt Aktionsinformationen für Service-Verwaltungsereignisse bereit, die von CloudTrail protokolliert werden. Manchmal werden CloudTrail-Managementereignisse auch als Operationen oder Ereignisse auf Steuerungsebene bezeichnet. Verwaltungsereignisse bieten Einblicke in die Verwaltungsvorgänge, die für Ressourcen in Ihrem AWS-Konto ausgeführt wurden. Weitere Informationen zu Verwaltungsereignissen in CloudTrail finden Sie unter Protokollierung von Verwaltungsereignissen im AWS CloudTrail-Benutzerhandbuch.

  • Berichtsbesitzer – Nur der Auftraggeber, der einen Bericht generiert, kann die Berichtsdetails anzeigen. Dies bedeutet, dass Sie beim Anzeigen der Informationen in AWS-Managementkonsole möglicherweise warten müssen, bis sie generiert und geladen werden. Wenn Sie die AWS CLI- oder AWS-API zum Abrufen von Berichtsdetails verwenden, müssen Ihre Anmeldeinformationen mit den Anmeldeinformationen des Auftraggebers übereinstimmen, der den Bericht generiert hat. Wenn Sie temporäre Anmeldeinformationen für eine Rolle oder einen AWS STS-Verbundbenutzerprinzipal verwenden, müssen Sie den Bericht während derselben Sitzung generieren und abrufen. Weitere Hinweise zu Sitzungs-Auftraggeber für angenommene Rollen finden Sie unter AWS JSON-Richtlinienelemente: Principal.

  • IAM-Ressourcen – Die zuletzt aufgerufenen Informationen für IAM gehören IAM-Ressourcen (Rollen, Benutzer, IAM-Gruppen und Richtlinien) in Ihrem Konto. Zu den zuletzt aufgerufenen Informationen für AWS Organizations gehören Prinzipale (IAM-Benutzer, IAM-Rollen oder Root-Benutzer des AWS-Kontos) in der angegebenen AWS Organizations-Entität. Die zuletzt zugegriffenen Informationen beinhalten keine nicht authentifizierten Versuche.

  • IAM-Richtlinientypen – Die zuletzt aufgerufenen Informationen für IAM umfassen Services, die durch die Richtlinien einer IAM-Identität zugelassen sind. Diese Richtlinien sind einer Rolle oder einem Benutzer direkt oder über eine Gruppe angefügt. Zugriff, der über andere Richtlinientypen gewährt wird, ist in diesem Bericht nicht enthalten. Ausgeschlossen sind die Richtlinientypen ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations-SCPs, IAM-Berechtigungsgrenzen und Sitzungsrichtlinien. Berechtigungen, die von serviceverknüpften Rollen bereitgestellt werden, werden von dem Service definiert, mit dem sie verknüpft sind, und können in IAM nicht geändert werden. Weitere Informationen zu serviceverknüpften Rollen finden Sie unter Erstellen einer serviceverknüpften Rolle. Informationen dazu, wie die verschiedenen Richtlinientypen ausgewertet werden, um den Zugriff zuzulassen oder zu verweigern, finden Sie unter Auswertungslogik für Richtlinien.

  • -Richtlinientypen – Die Informationen für beinhalten nur die Services, die aufgrund der übernommenen Service-Kontrollrichtlinien (SCPs) einer -Entität zulässig sind. SCPs sind Richtlinien, die an einen Stamm, eine Organisationseinheit oder ein Konto angefügt sind Zugriff, der über andere Richtlinientypen gewährt wird, ist in diesem Bericht nicht enthalten. Ausgeschlossen sind die Richtlinientypen identitätsbasierte Richtlinien, ressourcenbasierte Richtlinien Zugriffskontrolllisten, IAM-Berechtigungsgrenzen und Sitzungsrichtlinien. Informationen dazu, wie die verschiedenen Richtlinientypen ausgewertet werden, um Zugriff zu erlauben oder zu verweigern, finden Sie unter Auswertungslogik für Richtlinien.

  • Angeben einer Richtlinien-ID – Wenn Sie die -oder -API zum Generieren eines Berichts zu den Informationen zum letzten Zugriff in verwenden, können Sie optional eine Richtlinien-ID angeben. Der resultierende Bericht enthält Daten für die Services, die nur aufgrund dieser Richtlinie zulässig sind. Die Daten beinhalten die letzten Kontoaktivitäten in der angegebenen AWS Organizations-Entität oder den untergeordneten Elementen der Entität. Weitere Informationen finden Sie unter aws iam generate-organizations-access-report oder GenerateOrganizationsAccessReport.

  • AWS Organizations-Verwaltungskonto – Sie müssen sich beim Verwaltungskonto Ihrer Organisation anmelden, um die zuletzt abgerufenen Informationen zum Service anzuzeigen. Sie können sich die Informationen für das Hauptkonto mithilfe der IAM-Konsole, der AWS CLI oder der AWS-API anzeigen lassen. Die daraus resultierende Bericht listet alle AWS-Dienste auf, da das Hauptkonto nicht durch SCPs eingeschränkt ist. Wenn Sie in der CLI oder API eine Richtlinien-ID angeben, wird die Richtlinie ignoriert. Für jeden Service beinhaltet der Bericht nur Daten für das Hauptkonto. Berichte für andere AWS Organizations-Entitäten geben jedoch keine Daten zu Aktivitäten im Verwaltungskonto zurück.

  • -Einstellungen – Ein Administrator muss SCPs in Ihrem Organisationsstamm aktivieren, bevor Sie Daten für AWS Organizations generieren können.

Erforderliche Berechtigungen

Sie müssen über eine Richtlinie verfügen, die die notwendigen Berechtigungen gewährt, um Informationen zum letzten Zugriff in der AWS-Managementkonsole anzeigen lassen zu können.

Berechtigungen für IAM-Informationen

Sie müssen Sie über eine Richtlinie verfügen, die die folgenden Aktionen beinhaltet, um mithilfe der -Konsole die Informationen zum letzten Zugriff für einen IAM-Benutzer, eine Rolle oder Richtlinie anzeigen zu lassen:

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

Diese Berechtigungen erlauben einem Benutzer, folgende Informationen anzuzeigen:

  • Welche Benutzer, Gruppen oder Rollen einer verwalteten Richtlinie angefügt sind

  • Auf welche Services ein Benutzer oder eine Rolle zugreifen kann

  • Das Datum des letzten Zugriffs auf den Service

  • Das letzte Mal, als sie versucht haben, eine bestimmte Amazon EC2-, IAM-, Lambda- oder Amazon S3-Aktion zu verwenden

Um Informationen zum letzten Zugriff für IAM mithilfe von mithilfe der AWS CLI- oder der AWS-API anzeigen zu lassen, müssen Sie über die entsprechenden Berechtigungen für die gewünschte Operation verfügen:

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Anzeige von IAM-Informationen zum letzten Zugriff erlaubt. Darüber hinaus erlaubt es den Nur-Lese-Zugriff auf das gesamte IAM. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }
}

Berechtigungen für AWS Organizations-Informationen

Sie müssen Sie über eine Richtlinie verfügen, die die folgenden Aktionen enthält, um mithilfe der IAM-Konsole einen Bericht über den Stamm, die OU oder die Kontoentitäten in AWS Organizations anzuzeigen:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Sie müssen Sie eine Richtlinie verfügen, die die folgenden Aktionen enthält, um mithilfe der AWS CLI- oder AWS-API Informationen zum letzten Zugriff für AWS Organizations anzeigen lassen zu können:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Dieses Beispiel zeigt, wie Sie eine identitätsbasierte Richtlinie erstellen können, die die Anzeige von Informationen über den letzten Zugriff auf Services für AWS Organizations erlaubt. Darüber hinaus ermöglicht es schreibgeschützten Zugriff auf sämtliche AWS Organizations. Diese Richtlinie definiert Berechtigungen für den programmgesteuerten Zugriff und den Konsolenzugriff.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}

Sie können auch den Bedingungsschlüssel iam: OrganizationsPolicyId verwenden, um nur für eine bestimmte AWS Organizations-Richtlinie einen Bericht zu generieren. Eine Beispielrichtlinie finden Sie unter IAM: Anzeigen von Informationen zum letzten Zugriff auf einen Service für eine AWS Organizations-Richtlinie.

Fehlerbehebung bei Aktivitäten für IAM- und AWS Organizations-Entitäten

In einigen Fällen ist die Tabelle mit den Informationen zum letzten Zugriff für AWS-Managementkonsole leer. Es kann auch sein, dass Ihre AWS CLI- oder AWS-API-Anforderung einen leeren Datensatz oder ein Null-Feld zurückgibt. Überprüfen Sie in solch einem Fall die folgenden Punkte:

  • Bei Informationen zum letzten Zugriff auf Aktionen kann es sein, dass eine Aktion, die Sie in der Liste erwarten, dort nicht angezeigt wird. Dies kann passieren, weil die IAM-Identität entweder keine Berechtigungen für die Aktion hat oder AWS die Aktion noch nicht für die zuletzt aufgerufenen Informationen verfolgt.

  • Stellen Sie bei IAM-Benutzern sicher, dass der Benutzer über mindestens eine eingebundene oder verwaltete Richtlinie verfügt (entweder direkt oder über eine Gruppenmitgliedschaft).

  • Stellen Sie bei IAM-Gruppen sicher, dass die Gruppe über mindestens eine eingebundene oder verwaltete Richtlinie verfügt.

  • Für eine IAM-Gruppe gibt der Bericht Informationen zum letzten Servicezugriff nur für Mitglieder zurück, die mithilfe der Gruppenrichtlinien auf einen Service zugegriffen haben. Wenn Sie wissen möchten, ob ein Mitglied andere Richtlinien verwendet hat, überprüfen Sie die Informationen zum letzten Zugriff für diesen Benutzer.

  • Stellen Sie bei IAM-Rollen sicher, dass die Rolle über mindestens eine eingebundene oder verwaltete Richtlinie verfügt.

  • Überprüfen Sie für IAM Entitys (Benutzer oder Rollen) andere Richtlinientypen, die sich auf die Berechtigungen dieser Entität auswirken könnten. Darunter fallen ressourcenbasierte Richtlinien, Zugriffskontrolllisten, AWS Organizations-Richtlinien, IAM-Berechtigungsgrenzen oder Sitzungsrichtlinien. Weitere Informationen finden Sie unter Richtlinientypen oder Richtlinienauswertung für Anfragen innerhalb eines einzelnen Kontos.

  • Stellen Sie bei IAM-Richtlinien sicher, dass die angegebene verwaltete Richtlinie an mindestens einen Benutzer, eine Gruppe mit Mitgliedern oder eine Rolle angefügt ist.

  • Stellen Sie für eine AWS Organizations-Entitität (Stamm, OU oder Konto) sicher, dass Sie sich mit den Anmeldeinformationen für das AWS Organizations-Verwaltungskonto angemeldet haben.

  • Überprüfen Sie, dass die SCPs in Ihrem Organisationsstamm aktiviert sind.

  • Die Information über den letzten Zugriff auf eine Aktion ist nur für die unter aufgeführten Aktionen verfügbar IAM-Aktion, zuletzt aufgerufene Informationsservices und Aktionen.

Wenn Sie Änderungen vornehmen, warten Sie mindestens vier Stunden bis die Aktivitäten in Ihrer IAM-Konsole angezeigt werden. Wenn Sie die AWS CLI- oder die AWS-API verwenden, müssen Sie einen neuen Bericht erstellen, um die aktualisierten Informationen anzuzeigen.

Wo AWS die Informationen zum letzten Zugriff nachverfolgt

AWS erfasst Informationen zum letzten Zugriff für die Standard-AWS-Regionen. Wenn AWS weitere Regionen hinzufügt, werden diese Regionen in der folgenden Tabelle eingefügt (mit dem Datum, ab dem AWS die Informationen in der betreffenden Region verfolgt):

  • Serviceinformationen – Der Nachverfolgungszeitraum für Services beträgt mindestens 400 Tage oder weniger, wenn Ihre Region innerhalb der letzten 400 Tage mit der Verfolgung dieses Features begonnen hat.

  • Aktionsinformationen – Der Nachverfolgungszeitraum für Amazon S3-Managementaktionen begann am 12. April 2020. Der Nachverfolgungszeitraum für die Verwaltungsmaßnahmen von Amazon EC2, IAM und Lambda begann am 7. April 2021. Der Nachverfolgungszeitraum für Verwaltungsmaßnahmen für alle anderen Services begann am 23. Mai 2023. Wenn das Nachverfolgungsdatum einer Region nach dem 23. Mai 2023 liegt, beginnt die Aktion mit den zuletzt aufgerufenen Informationen aus dieser Region zu dem späteren Datum.

Name der Region Region Startdatum für Verfolgung
USA Ost (Ohio) us-east-2 27. Oktober 2017
USA Ost (Nord-Virginia) us-east-1 1. Oktober 2015
USA West (Nordkalifornien) us-west-1 1. Oktober 2015
USA West (Oregon) us-west-2 1. Oktober 2015
Afrika (Kapstadt) af-south-1 22. April 2020
Asien-Pazifik (Hongkong) ap-east-1 24. April 2019
Asien-Pazifik (Hyderabad) ap-south-2 22. November 2022
Asien-Pazifik (Jakarta) ap-southeast-3 13. Dezember 2021
Asien-Pazifik (Melbourne) ap-southeast-4 23. Januar 2023
Asien-Pazifik (Mumbai) ap-south-1 27. Juni 2016
Asia Pacific (Osaka) ap-northeast-3 11. Februar 2018
Asien-Pazifik (Seoul) ap-northeast-2 6. Januar 2016
Asien-Pazifik (Singapur) ap-southeast-1 1. Oktober 2015
Asien-Pazifik (Sydney) ap-southeast-2 1. Oktober 2015
Asien-Pazifik (Tokio) ap-northeast-1 1. Oktober 2015
Kanada (Zentral) ca-central-1 28. Oktober 2017
Europa (Frankfurt) eu-central-1 1. Oktober 2015
Europa (Irland) eu-west-1 1. Oktober 2015
Europa (London) eu-west-2 28. Oktober 2017
Europa (Mailand) eu-south-1 28. April 2020
Europa (Paris) eu-west-3 18. Dezember 2017
Europa (Spanien) eu-south-2 15. November 2022
Europa (Stockholm) eu-north-1 12. Dezember 2018
Europa (Zürich) eu-central-2 08. November 2022
Israel (Tel Aviv) il-central-1 1. August 2023
Naher Osten (Bahrain) me-south-1 29. Juli 2019
Naher Osten (VAE) me-central-1 30. August 2022
Südamerika (São Paulo) sa-east-1 11. Dezember 2015
AWS GovCloud (USA-Ost) us-gov-east-1 1. Juli 2023
AWS GovCloud (USA-West) us-gov-west-1 1. Juli 2023

Wenn eine Region in der vorherigen Tabelle nicht aufgeführt ist, stehen Informationen zum letzten Servicezugriff für diese Region noch nicht zur Verfügung.

Eine AWS-Region ist eine Sammlung von AWS-Ressourcen in einem geografischen Bereich. Regionen werden in Partitionen gruppiert. Die Standardregionen sind die Regionen, die zur aws-Partition gehören. Weitere Informationen zu den verschiedenen Partitionen finden Sie unter Amazon-Ressourcennamen (ARNs) -Format im Allgemeine AWS-Referenz. Weitere Informationen zu Regionen finden Sie unter Allgemeine Informationen zu AWS-Regionen, ebenfalls im Allgemeine AWS-Referenz.