Erste Schritte mit AWS Identity and Access Management Access Analyzer
Verwenden Sie die Informationen in diesem Thema, um mehr über die erforderlichen Anforderungen für die Verwendung und Verwaltung von AWS Identity and Access Management Access Analyzer zu erfahren.
Erforderliche Berechtigungen zur Verwendung von IAM Access Analyzer
Um IAM Access Analyzer erfolgreich zu konfigurieren und zu verwenden, müssen dem von Ihnen verwendeten Konto die erforderlichen Berechtigungen erteilt werden.
AWS-verwaltete Richtlinien für IAM Access Analyzer
AWS Identity and Access Management Access Analyzer stellt AWS-verwaltete Richtlinien zur Verfügung, um Ihnen den schnellen Einstieg zu erleichtern.
-
IAMAccessAnalyzerFullAccess – Ermöglicht den vollständigen Zugriff auf IAM Access Analyzer für Administratoren. Diese Richtlinie ermöglicht auch das Erstellen der serviceverknüpften Rollen, die erforderlich sind, damit IAM Access Analyzer Ressourcen in Ihrem Konto oder Ihrer AWS-Organisation analysieren kann.
-
IAMAccessAnalyzerReadOnlyAccess – Ermöglicht schreibgeschützten Zugriff auf IAM Access Analyzer. Sie müssen zusätzliche Richtlinien zu Ihren IAM-Identitäten (-Benutzer, -Benutzergruppen oder -Rollen) hinzufügen, damit diese die ihre Ergebnisse anzeigen können.
Von IAM Access Analyzer definierte Ressourcen
Informationen zu den von Access Analyzer definierten Ressourcen finden Sie unter Von IAM Access Analyzer definierte Ressourcentypen in der Service-Autorisierungsreferenz.
Erforderliche Service-Berechtigungen für IAM Access Analyzer
IAM Access Analyzer verwendet eine servicegebundene IAM-Rolle (SLR) namens AWSServiceRoleForAccessAnalyzer. Diese SLR gewährt dem Service schreibgeschützten Zugriff, um AWS-Ressourcen mit ressourcenbasierten Richtlinien zu analysieren und ungenutzten Zugriff in Ihrem Namen zu analysieren. In den folgenden Szenarien erstellt der Service die Rolle in Ihrem Konto:
-
Sie erstellen einen Analysator für externen Zugriff mit Ihrem Konto als Vertrauenszone.
-
Sie erstellen einen Analysator für ungenutzten Zugriff mit Ihrem Konto als ausgewähltem Konto.
Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Identity and Access Management Access Analyzer.
Anmerkung
IAM Access Analyzer ist regional. Für externen Zugriff müssen Sie IAM Access Analyzer in jeder Region separat aktivieren.
Bei ungenutztem Zugriff ändern sich die Ergebnisse für den Analysator nicht von Region zu Region. Es ist nicht erforderlich, in jeder Region, in der Sie über Ressourcen verfügen, einen Analysator zu erstellen.
In einigen Fällen wird nach der Erstellung eines Analysators für externen Zugriff oder ungenutzten Zugriff in IAM Access Analyzer die Seite Ergebnisse oder das Dashboard ohne Ergebnisse oder Zusammenfassung geladen. Dies kann auf eine Verzögerung in der Konsole beim Auffüllen Ihrer Ergebnisse zurückzuführen sein. Möglicherweise müssen Sie den Browser manuell aktualisieren oder später erneut nachschauen, um die Ergebnisse oder die Zusammenfassung anzuzeigen. Wenn Sie immer noch keine Ergebnisse für einen Analysator für externen Zugriff sehen, liegt das daran, dass die unterstützten Ressourcen in Ihrem Konto fehlen, auf die eine externe Entität zugreifen kann. Wenn eine Richtlinie, die einer externen Entität Zugriff gewährt, auf eine Ressource angewendet wird, generiert IAM Access Analyzer ein Ergebnis.
Anmerkung
Bei Analysatoren für externen Zugriff kann es nach Änderung einer Richtlinie bis zu 30 Minuten dauern, bis IAM Access Analyzer die Ressource analysiert und dann entweder ein neues Ergebnis mit externem Zugriff generiert oder ein vorhandenes Ergebnis für den Zugriff auf die Ressource aktualisiert. Bei Analysatoren für externen und ungenutzten Zugriff erscheinen die aktuellen Ergebnisse möglicherweise nicht sofort im Dashboard.
Erforderliche Berechtigungen für IAM Access Analyzer zum Anzeigen des Ergebnis-Dashboards
Um das Ergebnis-Dashboard von IAM Access Analyzer anzuzeigen, braucht das von Ihnen verwendete Konto Zugriff für die folgenden erforderlichen Aktionen:
-
GetFindingsStatistics
Informationen zu alle von Access Analyzer definierten Aktionen finden Sie unter Von IAM Access Analyzer definierte Aktionstypen in der Service-Autorisierungsreferenz.
Status von IAM Access Analyzer
Um den Status Ihrer Analysatoren anzuzeigen, wählen Sie Analysatoren. Analysatoren, die für eine Organisation oder ein Konto erstellt wurden, können den folgenden Status haben:
| Status | Description |
|---|---|
|
Aktiv |
Der Analysator für externen Zugriff überwacht aktiv Ressourcen innerhalb seiner Vertrauenszone. Der Analysator generiert aktiv neue Erkenntnisse und aktualisiert vorhandene Erkenntnisse. Bei Analysatoren für ungenutzten Zugriff überwacht der Analysator aktiv den ungenutzten Zugriff innerhalb der ausgewählten Organisation oder dem AWS-Konto im angegebenen Nachverfolgungszeitraum. Der Analysator generiert aktiv neue Erkenntnisse und aktualisiert vorhandene Erkenntnisse. |
|
Erstellen |
Die Erstellung des Analysators ist noch im Gange. Der Analysator wird aktiv, sobald die Erstellung abgeschlossen ist. |
|
Disabled |
Der Analysator ist aufgrund einer Aktion des AWS Organizations-Organisations-Administrators deaktiviert. Beispiel: Entfernen des Kontos des Analysators als delegierter Administrator für IAM Access Analyzer. Wenn sich der Analysator in einem deaktivierten Zustand befindet, generiert er keine neuen Ergebnisse oder aktualisiert keine vorhandenen Ergebnisse mehr. |
|
Fehlgeschlagen |
Die Erstellung des Analysators ist aufgrund eines Konfigurationsproblems fehlgeschlagen. Der Analysator generiert keine Ergebnisse. Löschen Sie den Analysator und erstellen Sie einen neuen Analysator. |
