View a markdown version of this page

Generierung von politischen Empfehlungen für ungenutzte Zugriffsergebnisse - AWS Security Hub
Wie funktionieren politische EmpfehlungenWer kann Empfehlungen generierenLebenszyklus von EmpfehlungenFälle von FehlernVerwenden der KonsoleAPI-Referenz

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Generierung von politischen Empfehlungen für ungenutzte Zugriffsergebnisse

Für ungenutzte Berechtigungen kann Security Hub Empfehlungen für Richtlinien mit den geringsten Rechten erstellen, die Ihnen eine detaillierte Ersatzrichtlinie zeigen. Die Empfehlung bewertet jede Richtlinie, die dem IAM-Prinzipal zugeordnet ist, und generiert einen Ersatz, der nur die Berechtigungen beibehält, die der Prinzipal tatsächlich verwendet hat. Diese Funktion steht allen Security Hub-Kunden ohne zusätzliche Kosten zur Verfügung.

Wie funktionieren politische Empfehlungen

Die Generierung von Richtlinienempfehlungen ist ein asynchroner Vorgang. Gehen Sie wie folgt vor, um eine Empfehlung zu generieren und abzurufen:

  1. Rufen Sie mithilfe der GetFindingsV2 API-Operation die gefundenen ungenutzten Berechtigungen von Security Hub ab. Notieren Sie sich das metadata.uid Feld aus dem Ergebnis.

  2. Rufen Sie GenerateRecommendedPolicyV2 mit den Ergebnissen anmetadata.uid. Dadurch wird die Empfehlungsgenerierung eingeleitet, die in der Regel innerhalb von 20 Sekunden abgeschlossen ist.

  3. Führen Sie die Abfrage GetRecommendedPolicyV2 so lange durchmetadata.uid, bis das status Feld zurückkehrtSUCCEEDED.

  4. Die Antwort enthält einen oder mehrere Empfehlungsschritte. In jedem Schritt wird entweder CREATE_POLICY (eine recommendedAction Ersatzrichtlinie mit eingeschränktem Umfang erstellen und anhängen) oder DETACH_POLICY (die ursprüngliche Richtlinie mit übermäßigen Rechten trennen) angegeben. Bei CREATE_POLICY Schritten enthält die Antwort sowohl den JSON als auch den existingPolicy JSON, sodass Sie sie recommendedPolicy vergleichen können.

Sie müssen GenerateRecommendedPolicyV2 vor dem Anruf anrufen, GetRecommendedPolicyV2 wenn für diesen Befund noch keine Empfehlung generiert wurde.

Wer kann Empfehlungen generieren

Sowohl der Kontoinhaber als auch delegierte Administratoren können diese API-Operationen aufrufen:

  • Kontoinhaber können Empfehlungen für ungenutzte Berechtigungen in ihrem eigenen Konto generieren und einsehen.

  • Delegierte Administratoren können Empfehlungen für die Ergebnisse ungenutzter Berechtigungen aller Mitgliedskonten innerhalb ihrer Organisation generieren und einsehen.

Wenn Sie kein delegierter Administrator sind und das Ergebnis zu einem anderen Konto gehört, gibt der API-Vorgang einen AccessDeniedException Fehler zurück.

Lebenszyklus von Empfehlungen

  • Empfehlungen werden 90 Tage lang zwischengespeichert und bleiben verfügbar, solange das Ergebnis aktiv ist (nicht geschlossen). Durch GenerateRecommendedPolicyV2 mehrmaliges Aufrufen wird der Cache jedoch ungültig und es wird ein neuer Job gestartet, der die zwischengespeicherte Richtlinie ersetzt. Es wird empfohlen, pro Ergebnis nur GenerateRecommendedPolicyV2 einmal aufzurufen.

  • Die Empfehlung folgt dem Muster „Trennen und Anhängen“. Ihre bestehenden IAM-Richtlinien werden dadurch nicht geändert. Sie überprüfen die empfohlene Richtlinie und wenden sie manuell in der IAM-Konsole oder über die IAM-API an.

  • Wenn das Problem behoben ist (z. B. weil die zuvor ungenutzten Berechtigungen jetzt verwendet werden), ist die Empfehlung nicht mehr verfügbar.

Fälle von Fehlern

Die API-Operationen geben in den folgenden Situationen Fehler zurück:

  • Das Ergebnis wurde behoben — InvalidInputException (HTTP 400).

  • Bei dem Ergebnis handelt es sich nicht um ein Ergebnis ungenutzter Berechtigungen — InvalidInputException (HTTP 400).

  • Der IAM-Prinzipal wurde mit dem IAM Identity Center-Berechtigungssatz erstellt. Richtlinien für Berechtigungssatz-Prinzipale können nicht direkt geändert werden. Die Empfehlung gibt einen FAILED Status mit einer Erklärung zurück.

  • Der Anrufer ist kein delegierter Administrator und das Ergebnis gehört zu einem anderen Konto — AccessDeniedException (HTTP 403).

  • Es wurde noch keine Empfehlung generiert und Sie rufen an, GetRecommendedPolicyV2 ohne zuerst anzurufen GenerateRecommendedPolicyV2ResourceNotFoundException (HTTP 404).

Verwenden der Konsole

In der Security Hub Hub-Konsole können Sie eine Richtlinienempfehlung generieren, indem Sie nach ungenutzten Berechtigungen suchen und die Registerkarte Behebung auswählen. Während der Erstellung der Empfehlung wird in der Konsole ein Zahlenauswahlfeld geladen. Wenn die Empfehlung fertig ist, können Sie „Vorschau“ wählen, um einen direkten Vergleich Ihrer aktuellen Richtlinie und der empfohlenen Alternative mit den geringsten Rechten anzuzeigen. Sie können die empfohlene Richtlinie im JSON-Format kopieren.

API-Referenz

  • GenerateRecommendedPolicyV2— Initiiert die asynchrone Generierung einer Richtlinienempfehlung mit den geringsten Rechten für eine Suche nach ungenutzten Berechtigungen. Verwendet die Ergebnisse als Eingabe. metadata.uid Gibt bei Erfolg HTTP 200 mit leerem Text zurück.

  • GetRecommendedPolicyV2— Ruft die generierte Richtlinienempfehlung ab. Nimmt die Ergebnisse metadata.uid als Eingabe. Unterstützt die Paginierung mit maxResults (1—100) und nextToken Parametern. Gibt den Empfehlungsstatus (IN_PROGRESSSUCCEEDED, oderFAILED), die Empfehlungsschritte, den Ressourcen-ARN und alle Fehler zurück.

Eine ausführliche API-Dokumentation finden Sie in der Security Hub Hub-API-Referenz.