Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Generierung von politischen Empfehlungen für ungenutzte Zugriffsergebnisse
<a name="unused-access-recommendations"></a>

 Für ungenutzte Berechtigungen kann Security Hub Empfehlungen für Richtlinien mit den geringsten Rechten erstellen, die Ihnen eine detaillierte Ersatzrichtlinie zeigen. Die Empfehlung bewertet jede Richtlinie, die dem IAM-Prinzipal zugeordnet ist, und generiert einen Ersatz, der nur die Berechtigungen beibehält, die der Prinzipal tatsächlich verwendet hat. Diese Funktion steht allen Security Hub-Kunden ohne zusätzliche Kosten zur Verfügung. 

## Wie funktionieren politische Empfehlungen
<a name="recommendations-how-it-works"></a>

 Die Generierung von Richtlinienempfehlungen ist ein asynchroner Vorgang. Gehen Sie wie folgt vor, um eine Empfehlung zu generieren und abzurufen: 

1.  Rufen Sie mithilfe der `GetFindingsV2` API-Operation die gefundenen ungenutzten Berechtigungen von Security Hub ab. Notieren Sie sich das `metadata.uid` Feld aus dem Ergebnis. 

1.  Rufen Sie `GenerateRecommendedPolicyV2` mit den Ergebnissen an`metadata.uid`. Dadurch wird die Empfehlungsgenerierung eingeleitet, die in der Regel innerhalb von 20 Sekunden abgeschlossen ist. 

1.  Führen Sie die Abfrage `GetRecommendedPolicyV2` so lange durch`metadata.uid`, bis das `status` Feld zurückkehrt`SUCCEEDED`. 

1.  Die Antwort enthält einen oder mehrere Empfehlungsschritte. In jedem Schritt wird entweder `CREATE_POLICY` (eine `recommendedAction` Ersatzrichtlinie mit eingeschränktem Umfang erstellen und anhängen) oder `DETACH_POLICY` (die ursprüngliche Richtlinie mit übermäßigen Rechten trennen) angegeben. Bei `CREATE_POLICY` Schritten enthält die Antwort sowohl den JSON als auch den `existingPolicy` JSON, sodass Sie sie `recommendedPolicy` vergleichen können. 

 Sie müssen `GenerateRecommendedPolicyV2` vor dem Anruf anrufen, `GetRecommendedPolicyV2` wenn für diesen Befund noch keine Empfehlung generiert wurde. 

## Wer kann Empfehlungen generieren
<a name="recommendations-who-can-generate"></a>

 Sowohl der Kontoinhaber als auch delegierte Administratoren können diese API-Operationen aufrufen: 
+  **Kontoinhaber** können Empfehlungen für ungenutzte Berechtigungen in ihrem eigenen Konto generieren und einsehen. 
+  **Delegierte Administratoren** können Empfehlungen für die Ergebnisse ungenutzter Berechtigungen aller Mitgliedskonten innerhalb ihrer Organisation generieren und einsehen. 

 Wenn Sie kein delegierter Administrator sind und das Ergebnis zu einem anderen Konto gehört, gibt der API-Vorgang einen `AccessDeniedException` Fehler zurück. 

## Lebenszyklus von Empfehlungen
<a name="recommendations-lifecycle"></a>
+  Empfehlungen werden 90 Tage lang zwischengespeichert und bleiben verfügbar, solange das Ergebnis aktiv ist (nicht geschlossen). Durch `GenerateRecommendedPolicyV2` mehrmaliges Aufrufen wird der Cache jedoch ungültig und es wird ein neuer Job gestartet, der die zwischengespeicherte Richtlinie ersetzt. Es wird empfohlen, pro Ergebnis nur `GenerateRecommendedPolicyV2` einmal aufzurufen. 
+  Die Empfehlung folgt dem Muster „Trennen und Anhängen“. Ihre bestehenden IAM-Richtlinien werden dadurch nicht geändert. Sie überprüfen die empfohlene Richtlinie und wenden sie manuell in der IAM-Konsole oder über die IAM-API an. 
+  Wenn das Problem behoben ist (z. B. weil die zuvor ungenutzten Berechtigungen jetzt verwendet werden), ist die Empfehlung nicht mehr verfügbar. 

## Fälle von Fehlern
<a name="recommendations-errors"></a>

 Die API-Operationen geben in den folgenden Situationen Fehler zurück: 
+  Das Ergebnis wurde behoben — `InvalidInputException` (HTTP 400). 
+  Bei dem Ergebnis handelt es sich nicht um ein Ergebnis ungenutzter Berechtigungen — `InvalidInputException` (HTTP 400). 
+  Der IAM-Prinzipal wurde mit dem IAM Identity Center-Berechtigungssatz erstellt. Richtlinien für Berechtigungssatz-Prinzipale können nicht direkt geändert werden. Die Empfehlung gibt einen `FAILED` Status mit einer Erklärung zurück. 
+  Der Anrufer ist kein delegierter Administrator und das Ergebnis gehört zu einem anderen Konto — `AccessDeniedException` (HTTP 403). 
+  Es wurde noch keine Empfehlung generiert und Sie rufen an, `GetRecommendedPolicyV2` ohne zuerst anzurufen `GenerateRecommendedPolicyV2` — `ResourceNotFoundException` (HTTP 404). 

## Verwenden der Konsole
<a name="recommendations-console"></a>

 In der Security Hub Hub-Konsole können Sie eine Richtlinienempfehlung generieren, indem Sie nach ungenutzten Berechtigungen suchen und die Registerkarte **Behebung** auswählen. Während der Erstellung der Empfehlung wird in der Konsole ein Zahlenauswahlfeld geladen. Wenn die Empfehlung fertig ist, können Sie „**Vorschau**“ wählen, um einen direkten Vergleich Ihrer aktuellen Richtlinie und der empfohlenen Alternative mit den geringsten Rechten anzuzeigen. Sie können die empfohlene Richtlinie im JSON-Format kopieren. 

## API-Referenz
<a name="recommendations-api-reference"></a>
+  **GenerateRecommendedPolicyV2**— Initiiert die asynchrone Generierung einer Richtlinienempfehlung mit den geringsten Rechten für eine Suche nach ungenutzten Berechtigungen. Verwendet die Ergebnisse als Eingabe. `metadata.uid` Gibt bei Erfolg HTTP 200 mit leerem Text zurück. 
+  **GetRecommendedPolicyV2**— Ruft die generierte Richtlinienempfehlung ab. Nimmt die Ergebnisse `metadata.uid` als Eingabe. Unterstützt die Paginierung mit `maxResults` (1—100) und `nextToken` Parametern. Gibt den Empfehlungsstatus (`IN_PROGRESS``SUCCEEDED`, oder`FAILED`), die Empfehlungsschritte, den Ressourcen-ARN und alle Fehler zurück. 

 Eine ausführliche API-Dokumentation finden Sie in der *Security Hub Hub-API-Referenz*.