AWS IAM Access Analyzer – Features
Übersicht
IAM Access Analyzer hilft Ihnen bei der Implementierung des Prinzips der geringsten Berechtigung, indem es Tools zum Festlegen, Überprüfen und Verfeinern von Berechtigungen bereitstellt. Als umfassendes Tool zur Analyse von Berechtigungen und zur Überprüfung von Richtlinien bietet IAM Access Analyzer Zugriffsergebnisse, Richtlinienprüfungen und Richtliniengenerierung.
IAM Access Analyzer liefert anhand nachweisbarer Sicherheit umfassende Erkenntnisse zu externen, internen und unbenutzten Zugriffen und nimmt Prüfungen benutzerdefinierter Richtlinien vor. Nachweisbare Sicherheit beruht auf Automated Reasoning, d. h. auf der Anwendung mathematischer Logik zur Beantwortung wichtiger Fragen zu Ihrer Infrastruktur, einschließlich AWS-Berechtigungen. Wie die Tools und Methoden für Automated Reasoning von AWS ein höheres Maß an Sicherheit für die Cloud bieten, erfahren Sie unter Was ist Automated Reasoning oder indem Sie das Whitepaper Formal Reasoning About the Security of Amazon Web Services herunterladen.
Fein abgestufte Berechtigungen festlegen
Alles öffnen
IAM Access Analyzer generiert eine detaillierte Richtlinie auf der Grundlage der in Ihren AWS CloudTrail-Protokollen erfassten Zugriffsaktivitäten. Das bedeutet, dass Sie nach der Erstellung und Ausführung einer Anwendung IAM-Richtlinien erstellen können, die nur die erforderlichen Berechtigungen für den Betrieb der Anwendung gewähren.
IAM Access Analyzer unterstützt Sie bei der Erstellung und Validierung sicherer und funktionaler Richtlinien auf der Grundlage von bewährten IAM-Verfahren. Wenn Ihre Richtlinie beispielsweise die Berechtigung IAM:PassRole mit einem Sternchen im Ressourcenelement enthält, kennzeichnet IAM Access Analyzer dies als Sicherheitswarnung. IAM Access Analyzer fügt vier Arten von Erkenntnissen bei der Richtlinienüberprüfung ein: Sicherheitswarnungen, Fehler, allgemeine Warnungen und Vorschläge zu bewährten IAM-Verfahren für Ihre Richtlinie. Die Erkenntnisse liefern umsetzbare Empfehlungen, die Sie bei der Erstellung von Richtlinien unterstützen, die funktional sind und den bewährten AWS-Verfahren und Ihren Sicherheitsstandards entsprechen.
Überprüfen, wer auf was zugreifen kann
Alles öffnen
IAM Access Analyzer unterstützt Sie bei der Überprüfung, ob der vorhandene externe Zugriff Ihren Absichten entspricht. IAM Access Analyzer verwendet Tools zur automatisierten Argumentation zur nachweisbaren Sicherheitsgarantie, um den gesamten externen Zugriff auf Ihre AWS-Ressourcen zu analysieren. Wenn Sie den IAM Access Analyzer aktivieren, überwacht er kontinuierlich neue oder aktualisierte Ressourcenberechtigungen, um Ihnen zu helfen, Berechtigungen zu identifizieren, die öffentlichen und kontoübergreifenden Zugriff gewähren. Wenn sich beispielsweise eine Amazon S3-Bucket-Richtlinie ändern würde, würde IAM Access Analyzer Sie darauf hinweisen, dass Benutzer von außerhalb des Kontos auf den Bucket zugreifen können. Mit der gleichen Analyse erleichtert IAM Access Analyzer die Überprüfung und Validierung des öffentlichen und kontenübergreifenden Zugriffs, bevor Änderungen an den Berechtigungen vorgenommen werden.
IAM Access Analyzer erkennt, wer innerhalb Ihrer AWS-Organisation Zugriff auf Ihre kritischen AWS-Ressourcen hat. Der Analysator bewertet anhand von Automated Reasoning mehrere Richtlinien in ihrem Zusammenwirken und meldet Erkenntnisse, wenn ein Benutzer oder eine Rolle Zugriff auf Ihre S3-, DynamoDB- oder RDS-Ressourcen hat. Die Erkenntnisse werden in einem vereinheitlichen Dashboard zusammengefasst. Das vereinfacht die Überprüfung und die Verwaltung von Zugriffsrechten. Mithilfe von Amazon EventBridge können Sie Entwicklungsteams automatisch über neue Erkenntnisse informieren und auf diese Weise eine unbeabsichtigte Vergabe von Zugriffsrechten vermeiden. Erkenntnisse über interne Zugriffe geben Sicherheitsteams einen Überblick, der sie beim robusteren Gestalten der Zugriffskontrollen für ihre kritischen Ressourcen unterstützt. Zudem können Compliance-Teams die Einhaltung von Vorschriften für Audits zur Zugriffskontrolle einfacher nachweisen.
IAM Access Analyzer überprüft vor der Bereitstellung, ob die IAM-Richtlinien Ihren Sicherheitsstandards entsprechen. Überprüfungen benutzerdefinierter Richtlinien nutzen das Potenzial von Automated Reasoning. Dadurch werden Sicherheitsteams in die Lage versetzt, fehlerhafte Aktualisierungen von Richtlinien proaktiv zu erkennen. Beispielsweise würden Änderungen an IAM-Richtlinien, die zu toleranteren Richtlinien als ihre Vorgängerversion führen, als „genauer zu überprüfen“ gekennzeichnet. Sicherheitsteams können damit ihre Überprüfungen optimieren, indem sie automatisch Richtlinien genehmigen, die ihren Sicherheitsstandards entsprechen, und solche eingehender prüfen, die dies nicht tun. Sicherheits- und Entwicklungsteams können Richtlinienüberprüfungen in großem Umfang automatisieren. Dazu brauchen diese Teams einfach nur die Überprüfung benutzerdefinierter Richtlinien in die Tools und Umgebungen zu integrieren, in denen die Entwickler ihre Richtlinien erstellen, z. B. in ihre CI/CD-Pipelines.
Zugriff verfeinern
Alles öffnen
IAM Access Analyzer vereinfacht die Überprüfung ungenutzter Zugriffe und führt Sie so zur Einstellung der geringsten Rechte. Sicherheitsteams können IAM Access Analyzer verwenden, um einen Überblick über ungenutzte Zugriffe in ihrer gesamten AWS-Organisation zu erhalten und zu automatisieren, wie sie Berechtigungen richtig verteilen. IAM Access Analyzer analysiert Ihre Konten fortlaufend und erkennt ungenutzte Zugriffe. Außerdem gibt der Analyzer Empfehlungen mit umsetzbaren Anleitungen, die Ihnen dabei helfen, sämtliche ungenutzten Zugriffe zu beseitigen. Der Analyzer konsolidiert Erkenntnisse in einem zentralen Dashboard. Anhand dieses Dashboards können Sicherheitsteams die Erkenntnisse überprüfen und Konten in Abhängigkeit vom Umfang der Erkenntnisse priorisieren. Die Erkenntnisse heben ungenutzte Rollen, ungenutzte Zugriffsschlüssel für IAM-Benutzer und ungenutzte Passwörter für IAM-Benutzer hervor. Für aktive IAM-Rollen und -Benutzer bieten die Erkenntnisse Einblick in ungenutzte Dienste und Aktionen. Sicherheitsteams können Benachrichtigungsworkflows automatisieren, um Entwicklungsteams dabei zu helfen, ungenutzte Zugriffe zu identifizieren und zu entfernen.
IAM Access Analyzer liefert Informationen darüber, wann AWS-Services und Aktionen ausgewählter AWS-Services zuletzt von einer Rolle oder einem Benutzer über ihre IAM-Richtlinien verwendet wurden. Das hilft Ihnen, Möglichkeiten zur strengeren Vergabe von Berechtigungen zu erkennen. Anhand dieser Informationen können Sie die einer Rolle oder einem Benutzer erteilten Berechtigungen mit dem Zeitpunkt des letzten Zugriffs mit diesen Berechtigungen vergleichen so ungenutzte Zugriffe entfernen und die von Ihnen vergebenen Berechtigungen weiter verfeinern.
Integrationen
Alles öffnen
Wenn IAM Access Analyzer in AWS Security Hub Cloud Security Posture Management (CSPM) integriert ist, können externe und ungenutzte Zugriffsergebnisse an CSPM gesendet und anhand der Standards und Best Practices der Sicherheitsbranche überprüft werden. Dies ermöglicht eine weiterführende Analyse Ihrer Sicherheitsmuster und hilft dabei, Sicherheitsprobleme höchster Priorität zu erkennen. Security Hub kann die Erkenntnisse von IAM Access Analyzer in die Analyse Ihrer Sicherheitslage einbeziehen.
Durch die Integration von IAM Access Analyzer mit Amazon EventBridge können Sie die Verfeinerung von Berechtigungen automatisieren und skalieren, indem Sie Teams darauf hinweisen, überflüssige Berechtigungen in ihren AWS-Konten zu überprüfen und zu entfernen. IAM Access Analyzer sendet ein Ereignis an EventBridge, wenn eine Erkenntnis generiert oder gelöscht wird oder sich sein Status ändert. Um Erkenntnisse und Benachrichtigungen über Ergebnisse zu erhalten, müssen Sie eine Ereignisregel in EventBridge aktivieren und erstellen.