Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Informationen zu ungenutzten Zugriffsergebnissen in Security Hub
Security Hub verwendet IAM Access Analyzer, um ungenutzte IAM-Berechtigungen, Rollen, Zugriffsschlüssel und Passwörter in Ihrem Konto zu identifizieren. Diese Ergebnisse helfen Ihnen bei der Implementierung der bewährten Sicherheitsmethode für den Zugriff mit den geringsten Rechten, indem IAM-Prinzipale und -Berechtigungen hervorgehoben werden, die nicht aktiv verwendet werden. Diese Funktion steht allen Security Hub-Kunden ohne zusätzliche Kosten zur Verfügung.
So funktioniert die Analyse ungenutzter Zugriffe
Wenn Sie Security Hub aktivieren, erstellt der Dienst automatisch einen dienstverknüpften IAM Access Analyzer in Ihrem Konto. Dieser Analyzer wertet alle IAM-Prinzipale (Rollen und Benutzer) anhand von AWS CloudTrail Aktivitätsdaten aus, um festzustellen, welche Prinzipale und Berechtigungen innerhalb eines 90-tägigen Lookback-Zeitraums nicht verwendet wurden. Der Lookback-Zeitraum ist nicht konfigurierbar.
IAM Access Analyzer bewertet alle aktiven Ergebnisse alle 24 Stunden neu. Wenn ein zuvor ungenutzter Hauptbenutzer oder eine ungenutzte Berechtigung aktiv wird, wird der entsprechende Befund automatisch behoben.
Der Unused Access Analyzer wird in USA East (Nord-Virginia) ausgeführt, da es sich bei IAM um einen globalen Dienst handelt. Security Hub repliziert die Ergebnisse in alle Regionen, in denen Sie Security Hub aktiviert haben. Sie müssen Security Hub in USA East (Nord-Virginia) nicht aktivieren, damit der Analyzer ausgeführt werden kann.
Arten der Suche nach ungenutzten Zugriffen
Security Hub generiert vier Arten von ungenutzten Zugriffsergebnissen:
| Ergebnistyp | Description | Die Ressource wurde bewertet |
|---|---|---|
Ungenutzte IAM-Rolle |
Eine IAM-Rolle, die innerhalb des 90-tägigen Lookback-Zeitraums nicht übernommen wurde. |
IAM role (IAM-Rolle) |
UnusedIAMUserAccessKey |
Ein IAM-Benutzerzugriffsschlüssel, der innerhalb des 90-tägigen Lookback-Zeitraums nicht zum Signieren von API-Anfragen verwendet wurde. |
IAM-Benutzer |
UnusedIAMUserPassword |
Ein IAM-Benutzerkennwort, das innerhalb des 90-tägigen Lookback-Zeitraums nicht für die Konsolenanmeldung verwendet wurde. |
IAM-Benutzer |
UnusedPermission |
Spezifische IAM-Aktionen, die einer Rolle oder einem Benutzer gewährt wurden, aber innerhalb des 90-tägigen Lookback-Zeitraums nicht aufgerufen wurden. |
IAM-Rolle oder IAM-Benutzer |
Service-linked Analysator
Der von Security Hub erstellte IAM Access Analyzer ist ein dienstgebundener Analyzer. Sie können es in der IAM Access Analyzer-Konsole anzeigen, aber Sie können es nicht ändern oder löschen, solange Security Hub aktiviert ist.
Wenn Sie Security Hub in allen Regionen deaktivieren, wird der serviceverknüpfte Analyzer automatisch gelöscht. Wenn das automatische Löschen fehlschlägt, können Sie den Analyzer löschen, indem Sie den IAM Access Analyzer DeleteServiceLinkedAnalyzer API-Vorgang aufrufen. Dieser Vorgang ist erst erfolgreich, nachdem Security Hub für Ihr Konto vollständig deaktiviert wurde.
Der serviceverknüpfte Analyzer unterscheidet sich von allen kundenverwalteten Analysatoren, die Sie möglicherweise unabhängig in IAM Access Analyzer erstellt haben. Das Erstellen oder Löschen von kundenverwalteten Analyzern hat keine Auswirkungen auf den serviceverknüpften Analyzer und umgekehrt.
Ergebnisse ungenutzter Zugriffe anzeigen
Ergebnisse ungenutzter Zugriffe werden in der Security Hub Hub-Konsole zusammen mit anderen Security Hub Hub-Ergebnissen angezeigt. Sie können Ergebnisse nach Typ filtern, um nur ungenutzte Zugriffsergebnisse anzuzeigen. Ungenutzte Zugriffsergebnisse werden im Open Cybersecurity Schema Framework (OCSF) formatiert, dem gleichen Format, das von allen Security Hub Hub-Ergebnissen verwendet wird.
Wenn Sie bei UnusedPermission Ergebnissen einige ungenutzte Berechtigungen aus der übermäßig freizügigen Richtlinie entfernen, aber nicht alle, schließt Security Hub den vorhandenen Befund und erstellt einen neuen Befund für die überarbeitete Richtlinie, falls sie immer noch zu freizügig ist.
Ergebnisse ungenutzter Zugriffe sind auch von der IAM Access Analyzer-Konsole aus zugänglich. Ergebnisse aus ungenutzten Zugriffen in der IAM Access Analyzer-Konsole sind schreibgeschützt und nur in der Region USA Ost (Nord-Virginia) sichtbar.
Ungenutzter Zugriff auf Expositionsergebnisse
Ungenutzte Zugriffsinformationen können als kontextuelle Merkmale in Security Hub-Enthüllungsergebnissen erscheinen. Wenn eine einer Ressource zugeordnete IAM-Rolle über ungenutzte Berechtigungen verfügt, beinhaltet das Ergebnis der Sicherheitslücke dies als zusätzlichen Kontext. Dies hilft Ihnen, den potenziellen Explosionsradius einer Sicherheitslücke zu verstehen — eine Ressource mit einer überprivilegierten IAM-Rolle stellt ein höheres Risiko dar als eine Ressource mit den geringsten Rechten.
Die folgenden Ressourcentypen können in ihren Erkenntnissen zu ungenutzten Zugriffskontexten aufzeigen:
Amazon Elastic Compute Cloud-Instanzen
AWS Lambda Funktionen
Dienste von Amazon Elastic Container Service
Amazon Elastic Kubernetes Service Service-Cluster
IAM-Benutzer (direkt)
Weitere Informationen zu Expositionsergebnissen finden Sie unterErkenntnisse zu Sicherheitsrisiken in Security Hub.
Politische Empfehlungen für ungenutzte Berechtigungen
Anhand der UnusedPermission Ergebnisse kann Security Hub Empfehlungen für Richtlinien mit den geringsten Rechten ausarbeiten. Diese Empfehlungen zeigen Ihnen eine detaillierte Ersatzrichtlinie, bei der nur die Berechtigungen beibehalten werden, die Ihr Hauptbenutzer tatsächlich verwendet. Weitere Informationen finden Sie unter Generierung von politischen Empfehlungen für ungenutzte Zugriffsergebnisse.
Preisgestaltung
Der servicebasierte IAM Access Analyzer wird allen Security Hub-Kunden ohne zusätzliche Kosten zur Verfügung gestellt. Der Analyzer oder ungenutzte Zugriffsergebnisse werden Ihnen nicht separat in Rechnung gestellt.
