IAM hilft Ihnen bei der Analyse von Zugriffen und leitet Sie auf dem Weg der geringsten Privilegien. Wenn Sie AWS nutzen, müssen Sie mithilfe von IAM-Richtlinien differenzierte Berechtigungen festlegen. IAM Access Analyzer bietet über 100 Richtlinienprüfungen, mit denen Sie Richtlinien während der Richtlinienerstellung proaktiv validieren können. Diese Prüfungen analysieren Ihre Richtlinie und melden Fehler, Warnungen und Vorschläge mit umsetzbaren Empfehlungen, die Sie dabei unterstützen, sichere und funktionale Berechtigungen festzulegen. Genau wie die Grammatikprüfungen in Ihrem bevorzugten Textverarbeitungsprogramm führt IAM Access Analyzer diese Richtlinienprüfungen automatisch durch, wenn Sie Richtlinien mit dem Richtlinieneditor in der IAM-Konsole erstellen. Sie können Ihre Richtlinien auch programmatisch mithilfe der Access Analyzer APIs validieren. Mit IAM Access Analyzer können Sie auch den öffentlichen und kontoübergreifenden Zugriff auf Ressourcen validieren, bevor Sie Änderungen an den Berechtigungen bereitstellen. Sie können den Zugriff in der Amazon S3-Konsole oder mit den IAM Access Analyzer APIs in der Vorschau anzeigen.

Auf dem Weg zu den geringsten Rechten unterstützt Sie IAM Access Analyzer bei der Überprüfung bestehender Zugriffsrechte und ermöglicht Ihnen, unbeabsichtigte externe oder ungenutzte Berechtigungen zu identifizieren und zu entfernen. Damit Sie Ressourcen mit öffentlichem oder kontoübergreifendem Zugriff identifizieren können, verwendet IAM Access Analyzer eineautomatisierte Logik, um umfassende Ergebnisse für Ressourcen zu generieren, auf die von außerhalb eines AWS-Kontos zugegriffen werden kann. Für diese Analyse überwacht IAM Access Analyzer kontinuierlich neue oder aktualisierte Ressourcenrichtlinien und analysiert die gewährten Berechtigungen für Amazon S3-Buckets, AWS KMS-Schlüssel, Amazon SQS-Warteschlangen, AWS IAM-Rollen, AWS Lambda-Funktionen und AWS Secrets Manager-Geheimnisse. Um Ihnen zu helfen, ungenutzte Berechtigungen zu entfernen, bietet IAM Informationen zum letzten Zugriff, um anzugeben, wann eine IAM-Entität zuletzt einen Dienst oder eine Aktion verwendet hat. Dies hilft Ihnen, den Zugriff zu reduzieren, da Sie so ungenutzte Berechtigungen leicht identifizieren und entfernen können. Als Hilfe beim Festlegen von Berechtigungsleitplanken können Sie auch analysieren, wann das letzte Mal von Entitäten in Ihrer AWS-Organisation wie Organisationseinheiten (OUs) oder Konten auf einen Service zugegriffen wurde. Weitere Informationen darüber, wie Sie die Daten des letzten Zugriffs verwenden können, um Entscheidungen über die Ihren IAM- oder Organisationsentitäten gewährten Berechtigungen zu treffen, finden Sie in den Beispielszenarien für die Verwendung des letzten Service-Zugriffsdatums. IAM Access Analyzer-Funktionen sind ohne zusätzliche Kosten in der IAM-Konsole und über IAM Access Analyzer-APIs verfügbar.

Vorteile

Geführte Richtlinienerstellung

IAM Access Analyzer führt Richtlinienprüfungen durch, die Sie dabei unterstützen, sichere und funktionale Berechtigungen festzulegen. Diese Prüfungen analysieren Ihre Richtlinien und melden Fehler, Warnungen und Vorschläge mit umsetzbaren Empfehlungen, um Sie bei der Validierung Ihrer Richtlinien zu unterstützen. Genau wie die Grammatikprüfungen in Ihrem bevorzugten Textverarbeitungsprogramm führt IAM Access Analyzer diese Richtlinienprüfungen automatisch durch, wenn Sie Richtlinien mit dem Richtlinieneditor in der IAM-Konsole erstellen. Sie können Ihre Richtlinien auch programmatisch mithilfe der IAM Access Analyzer APIs validieren.

Umfassende Analyse für öffentlichen und kontoübergreifenden Zugriff

IAM Access Analyzer analysiert Richtlinien, um Ihnen zu helfen, unbeabsichtigte öffentliche oder kontoübergreifende Zugriffe auf Ihre Ressourcen zu identifizieren und zu beheben. IAM Access Analyzer verwendet mathematische Logik und Inferenz, um umfassende Ergebnisse für Ressourcen zu generieren, auf die von außerhalb eines AWS-Kontos zugegriffen werden kann. Diese Ergebnisse helfen Ihnen, Ressourcen mit öffentlichem oder kontoübergreifendem Zugriff zu identifizieren, die Sie möglicherweise nicht beabsichtigen. IAM Access Analyzer wertet Berechtigungen aus, die mithilfe von Richtlinien für Ihre Amazon S3-Buckets, AWS KMS-Schlüssel, Amazon SQS-Warteschlangen, AWS IAM-Rollen und AWS Lambda-Funktionen erteilt wurden, und liefert detaillierte Ergebnisse über die AWS IAM-, Amazon S3- und AWS Security Hub-Konsolen und auch über seine APIs. Mit IAM Access Analyzer können Sie auch eine Vorschau der Ergebnisse anzeigen und überprüfen, ob Ihre Richtlinienänderungen nur den beabsichtigten Zugriff auf Ihre Ressourcen gewähren. Durch die Vorschau der Ergebnisse können Sie unbeabsichtigten Zugriff verhindern, bevor Sie Berechtigungen bereitstellen.

Kontinuierliche Überwachung und Reduzierung von Berechtigungen

IAM Access Analyzer überwacht und analysiert kontinuierlich neue oder aktualisierte Ressourcenrichtlinien, um Sie bei der Identifizierung von Berechtigungen zu unterstützen, die öffentlichen und kontoübergreifenden Zugriff gewähren. Wenn sich beispielsweise die Richtlinie für einen Amazon S3-Bucket ändert, würde IAM Access Analyzer Sie darauf hinweisen, dass der Bucket für Benutzer von außerhalb des Kontos zugänglich ist.

IAM bietet Ihnen auch Informationen über den Zeitstempel des letzten Zugriffs, wann eine IAM-Entität, z. B. eine IAM-Rolle, zuletzt einen Dienst oder eine Aktion verwendet hat. Auf diese Weise können Sie Berechtigungen reduzieren, indem Sie nicht verwendete Berechtigungen entfernen und nur den Zugriff gewähren, der für die Ausführung einer Aufgabe erforderlich ist.

Bietet ein Höchstmaß an Sicherheitsgarantie

Um umfassende Erkenntnisse für Ressourcen zu generieren, auf die von außerhalb eines AWS-Kontos zugegriffen werden kann, verwendet IAM Access Analyzer eine automatisierte Logik, eine Form von mathematischer Logik und Inferenz. Wir bezeichnen das Ergebnis dieser Analysen als nachweisbare Sicherheit. Dies steht für eine höhere Sicherheitsstufe für die Cloud. Während Sie mit einigen Tools bestimmte Zugriffsszenarien testen können, analysiert IAM Access Analyzer mathematisch alle möglichen Zugriffsanfragen und generiert Ergebnisse für externe Zugriffe. So können Sie den externen Zugriff sicher verifizieren.

Funktionsweise der Überwachung des externen Zugriffs auf Ressourcen

Funktionsweise von IAM Access Analyzer

Automatisierte Schlussfolgerungen für die Analyse des externen Zugriffs

Automatisierte Schlussfolgerungen sind ein Bereich der Kognitionswissenschaft, bei dem verschiedene Aspekte von Schlussfolgerungen basierend auf mathematischen Verfahren und formaler Logik automatisiert werden. Die AWS Automated Reasoning Group entwickelt Algorithmen und schreibt Code, der Cloud-Ressourcen, Konfigurationen und die Infrastruktur analysiert, um schnelle Aussagen über ihre Verhaltensaspekte zu treffen. So wandelt AWS Ressourcenrichtlinien in präzise logische Formeln um und wendet automatisierte Schlussfolgerungen an, um zusammenzufassen, welche Ressourcen öffentlichen oder kontenübergreifenden Zugang gewähren. Wie Tools und Methoden in Amazon Web Services mit automatisierten Schlussfolgerungen eine höhere Sicherheitsstufe für die Cloud realisieren erfahren Sie in "Formal Reasoning About AWS."

Weitere Informationen zu AWS IAM-Funktionen

Funktionsübersicht anzeigen
Bereit zum Entwickeln?
Erste Schritte mit AWS IAM
Haben Sie noch Fragen?
Kontakt