AWS Identity and Access Management (IAM)

Integrationsversion: 5.0

Anwendungsfälle – mit Amazon Simple Storage Service (Amazon S3)

John hat für das Unternehmen einen Amazon S3-Bucket mit dem Namen „aws-s3-bucket“ erstellt.

  1. Nutzer erstellen(Entwickler müssen ihre Daten im Unternehmens-Bucket erstellen können)
    1. Gruppen erstellen (Entwickler als Gruppe)
  2. Richtlinien erstellen (John muss den Nutzern/der Gruppe Berechtigungen zuweisen)
  3. Richtlinien anhängen (John hängt eine Richtlinie an die Gruppe an,mit der Entwickler Objekte in AWS S3 lesen,schreiben und auflisten können)
  4. Nutzer einer Gruppe hinzufügen/entfernen (einer der Entwickler wird Manager, der Zugriff muss geändert werden)

AWS Identity and Access Management (IAM) in Google Security Operations einbinden

Eine detaillierte Anleitung zum Konfigurieren einer Integration in Google SecOps finden Sie unter Integrationen konfigurieren.

Integrationsparameter

Verwenden Sie die folgenden Parameter, um die Integration zu konfigurieren:

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
AWS-Zugriffsschlüssel-ID String Ja AWS-Zugriffsschlüssel-ID, die in der Integration verwendet werden soll.
AWS-Secret-Key Passwort Ja Der geheime AWS-Schlüssel, der in der Integration verwendet werden soll.

Aktionen

Ping

Beschreibung

Testen Sie die Verbindung zu AWS IAM mit den Parametern, die auf der Seite für die Integrationskonfiguration auf dem Tab „Google Security Operations Marketplace“ angegeben sind.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg: „Successfully connected to the AWS IAM server with the provided connection parameters!“ (Erfolgreiche Verbindung zum AWS IAM-Server mit den angegebenen Verbindungsparametern) ausgeben.

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Falls nicht erfolgreich: „Failed to connect to the AWS IAM server! Fehler: {0}".format(exception.stacktrace)

 Allgemein

Nutzer erstellen

Beschreibung

Erstellen Sie einen neuen IAM-Nutzer für Ihr AWS-Konto. Sie können mehrere Nutzer gleichzeitig hinzufügen, indem Sie kommagetrennte Werte verwenden. Zu diesem Zeitpunkt werden noch keine Richtlinien angewendet.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Nutzername String Ja Name des Nutzers, der erstellt werden soll. Durch Kommas getrennte Werte. Hinweis: Der Nutzername darf keine Leerzeichen enthalten und darf nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=.@_-. Namen müssen innerhalb eines Kontos eindeutig sein.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
[{
   "Arn":"arn:aws:iam::582302349248:user/ziv",
   "CreateDate":"2020-12-03T12:12:20",
   "Path":"/",
   "UserId":"AIDAYPE7MW7AFMHK4WCHS",
   "UserName":"ziv"
}]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

  • Bei Erfolg (nur wenige Nutzernamen waren gültig): „Die folgenden Nutzer wurden erfolgreich zu IAM hinzugefügt: <User names>“
  • Bei Fehler – Nutzer bereits vorhanden:Gib „Die folgenden Nutzer konnten nicht zu IAM hinzugefügt werden: <Usernames>. Namen müssen innerhalb eines Kontos eindeutig sein.“ aus.
  • Bei Fehler (wenige Nutzernamen waren ungültig): Gib „Die folgenden Nutzer konnten nicht zu IAM hinzugefügt werden: <Usernames>. Nutzernamen dürfen nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=,.@-.“ aus.
  • Bei Fehler: Beschwerde einlegen. Max. 5.000 Nutzer pro Konto: Drucken Sie „Could not add the following users to IAM: <Usernames>. Reach to Users limitation in your aws account.

Hinweis:Wenn nichts passiert ist: Alle Nutzer sind ungültig/vorhanden/Limit → Aktion sollte fehlgeschlagen sein

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

  • Wenn nicht erfolgreich (alle Nutzernamen waren ungültig, falsche Anmeldedaten, keine Verbindung, anderer Fehler): print "Error executing action 'Create a User'. Grund: {exception.stacktrace}

Hinweis:Wenn alle Nutzernamen ungültig waren, geben Sie „Error executing action 'Create a User'. Grund: {invalid usernames}: Nutzernamen dürfen nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=,.@-. {existing usernames}: Namen müssen innerhalb eines Kontos eindeutig sein.

 Allgemein

Nutzer einer Gruppe hinzufügen

Beschreibung

Fügt den angegebenen Nutzer der angegebenen IAM-Gruppe hinzu. Mit Gruppen können Sie dieselben Berechtigungsrichtlinien auf mehrere Nutzer gleichzeitig anwenden.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Gruppenname String Ja Der Name der Gruppe, die aktualisiert werden soll. Hinweis: Gruppennamen dürfen keine Leerzeichen enthalten und müssen nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=.@_-.
Nutzername String Ja Der Name des Nutzers, der hinzugefügt werden soll. Hinweis: Nutzernamen dürfen keine Leerzeichen enthalten und dürfen nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=.@_-. Kommagetrennte Werte.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

  • Bei Erfolg: „Der Nutzer <Nutzername> wurde der IAM-Gruppe <Gruppenname> hinzugefügt.“
  • Bei Fehler – Gruppe nicht vorhanden oder/und Nutzer nicht vorhanden:
    Gruppe nicht vorhanden: Gib Folgendes aus: „Could not add <UserName> to <Group name>. The Group <group name> cannot be found.
     Nutzer nicht vorhanden/beides: Gib Folgendes aus: „Could not add <UserName> to <Group name>. The user <user name> cannot be found.
  • Bei Fehler
    Nutzerbeschränkung – IAM-Nutzer kann Mitglied von 10 Gruppen sein
     Gruppenbeschränkung – Eine Gruppe kann 5.000 Nutzer enthalten
    Gibt „Could not add <UserName> to <Group name> because it attempted to create resources beyond the current AWS account limits.“ (Nutzer <UserName> konnte nicht zu <Group name> hinzugefügt werden, da versucht wurde, Ressourcen zu erstellen, die über die aktuellen AWS-Kontolimits hinausgehen.) aus.

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

  • Wenn nicht erfolgreich (falsche Anmeldedaten, keine Verbindung, anderer SDK-Fehler): Gib „Error executing action 'Add a User to a Group. Grund: {exception.stacktrace}
 Allgemein

Nutzer aus einer Gruppe entfernen

Beschreibung

Fügt den angegebenen Nutzer der angegebenen IAM-Gruppe hinzu. Mit Gruppen können Sie dieselben Berechtigungsrichtlinien auf mehrere Nutzer gleichzeitig anwenden.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Gruppenname String Ja Der Name der Gruppe, die aktualisiert werden soll. Hinweis: Gruppennamen dürfen keine Leerzeichen enthalten und müssen nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=.@_-.
Nutzername String Ja Der Name des zu entfernenden Nutzers. Hinweis: Nutzernamen dürfen keine Leerzeichen enthalten und dürfen nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=.@_-. Kommagetrennte Werte.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

  • Bei Erfolg: Gib „<User name> wurde aus der Gruppe <Group name> entfernt“ aus.
  • Bei Fehler – Gruppe nicht vorhanden und/oder Nutzer nicht vorhanden:
    -Gruppe nicht vorhanden:„<UserName> konnte nicht aus <Group name> entfernt werden. Die Gruppe <group name> wurde nicht gefunden.“
     Nutzer nicht vorhanden/beides: „<UserName> konnte nicht aus <Group name> entfernt werden. Der Nutzer <user name> wurde nicht gefunden.“
  • Bei Fehler
    Nutzerbeschränkung – IAM-Nutzer kann Mitglied von 10 Gruppen sein
     Gruppenbeschränkung – Eine Gruppe kann 5.000 Nutzer enthalten
    Gibt „Could not remove <UserName> from <Group name> because it attempted to create resources beyond the current AWS account limits.“ (Nutzer <UserName> konnte nicht aus der Gruppe <Group name> entfernt werden, da versucht wurde, Ressourcen zu erstellen, die über die aktuellen AWS-Kontolimits hinausgehen.) aus.

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

  • Wenn nicht erfolgreich (falsche Anmeldedaten, keine Verbindung, anderer SDK-Fehler): Gib „Error executing action 'Remove a User from a Group. Grund: {exception.stacktrace}
 Allgemein

Nutzer auflisten

Beschreibung

Rufen Sie eine Liste aller Nutzer in IAM ab.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Maximale Anzahl zurückzugebender Nutzer Ganzzahl 50 Nein Geben Sie an, wie viele Nutzer zurückgegeben werden sollen. Maximal 1.000 Nutzer. Der Standardwert ist 50.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
[{
   "Arn":"arn:aws:iam::582302349248:user/ziv",
   "CreateDate":"2020-12-03T12:12:20",
   "Path":"/",
   "UserId":"AIDAYPE7MW7AFMHK4WCHS",
   "UserName":"ziv"
}]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg:print "Successfully listed available users in AWS IAM"

Wenn keine Daten verfügbar sind: „No users found in AWS IAM“ (Keine Nutzer in AWS IAM gefunden) ausgeben


Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn nicht erfolgreich (falsche Anmeldedaten, keine Verbindung zum Server, anderer Serverfehler, wenn max>10000): „Fehler beim Ausführen der Aktion ‚Nutzer auflisten‘. Grund: {exception.stacktrace}

 Allgemein
CSV-Tabelle

Titel:IAM-Nutzer

Spalten:

Nutzername

Nutzer-ID

ARN

Erstellungsdatum

 Allgemein

Gruppen auflisten

Beschreibung

Rufen Sie eine Liste aller Gruppen in IAM ab.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Maximale Anzahl zurückzugebender Gruppen Ganzzahl 50 Nein Geben Sie an, wie viele Gruppen zurückgegeben werden sollen. Maximal 1.000 Gruppen. Der Standardwert ist 50.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
[{
   "Arn":"arn:aws:iam::582302349248:group/ZivGroup",
   "CreateDate":"2020-12-05 16:18:36+00:00",
   "Path":"/",
   "GroupId":"AGPAYPE7MW7AMKCWMJPMX",
   "GroupName":"ZivGroup"
}]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

Bei Erfolg:print "Successfully listed available groups in AWS IAM"

Wenn keine Daten verfügbar sind: „No Groups found in AWS IAM“ (Keine Gruppen in AWS IAM gefunden) ausgeben


Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

Wenn nicht erfolgreich (falsche Anmeldedaten, keine Verbindung zum Server, anderer Serverfehler, wenn „Max Groups“ > 1.000): „Error executing action 'List Groups'. Grund: {exception.stacktrace}

 Allgemein
CSV-Tabelle

Titel: IAM-Gruppen

Spalten:

Gruppenname

Gruppen-ID

ARN

Erstellungsdatum

 Allgemein

Richtlinie erstellen

Beschreibung

Erstellen Sie eine vom Kunden verwaltete IAM-Richtlinie für Ihr AWS-Konto. Durch diese Aktion wird eine Richtlinienversion mit der Versions-ID „v1“ erstellt und „v1“ als Standardversion der Richtlinie festgelegt.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Richtlinienname String Ja Name der zu erstellenden Richtlinie. Der Richtlinienname darf keine Leerzeichen enthalten und darf nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=.@_-. Richtliniennamen müssen innerhalb eines Kontos eindeutig sein.
Richtliniendokument String Ja Das JSON-Richtliniendokument, das Sie als Inhalt für die neue Richtlinie verwenden möchten.
Beschreibung String Nein Beschreibung der Richtlinie.Wird in der Regel verwendet, um Informationen zu den in der Richtlinie definierten Berechtigungen zu speichern. Beispiel: „Gewährt Zugriff auf DynamoDB-Produktionstabellen.“ Die Richtlinienbeschreibung ist unveränderlich. Nachdem ein Wert zugewiesen wurde, kann er nicht mehr geändert werden.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
{
    "PolicyName": "S3-read-only-bucket",
    "PolicyId": "ANPAYPE7MW7AFKUDK3HD7",
    "Arn": "arn:aws:iam::582302349248:policy/S3-read-only-bucket",
    "Path": "/",
    "DefaultVersionId": "v1",
    "AttachmentCount": 0,
    "PermissionsBoundaryUsageCount": 0,
    "IsAttachable": true,
    "CreateDate": "2020-12-6T17:16:45",
    "UpdateDate": "2020-12-6T17:16:45"
}
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

  • Bei Erfolg: „Die Richtlinie ‚<Policy name>‘ wurde erstellt.“

Die Aktion sollte fehlschlagen und die Ausführung eines Playbooks beenden:

  • Bei Fehler – Richtlinie ist bereits vorhanden:Gib „Die Richtlinie <policy name> konnte nicht erstellt werden. Richtliniennamen müssen innerhalb eines Kontos eindeutig sein.
  • Bei Fehler – Richtlinienname war ungültig:Gib „Die Richtlinie <policy name> konnte nicht erstellt werden. Richtliniennamen dürfen nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=,.@_-.
  • Bei Fehler – Richtliniendokument war fehlerhaft :Gib „Die Richtlinie <policy name> konnte nicht erstellt werden. Das Richtliniendokument war fehlerhaft.Grund: {exception.stacktrace}

Wenn nicht erfolgreich (LimitExceededException, falsche Anmeldedaten, keine Verbindung, anderer Fehler): „Error executing action 'Create a Policy'. Grund: {exception.stacktrace}

 Allgemein

Gruppe erstellen

Beschreibung

Erstellen Sie eine neue IAM-Gruppe für Ihr AWS-Konto. Um eine Gruppe einzurichten, müssen Sie sie erstellen. Weisen Sie der Gruppe dann Berechtigungen basierend auf der Art der Arbeit zu, die die Nutzer in der Gruppe ausführen sollen. Fügen Sie der Gruppe zum Schluss Nutzer hinzu.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Gruppenname String Ja Name der zu erstellenden Gruppe. Durch Kommas getrennte Werte. Hinweis: Gruppennamen dürfen keine Leerzeichen enthalten und dürfen nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=.@_-. Namen müssen innerhalb eines Kontos eindeutig sein.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
[{
   "Arn":"arn:aws:iam::582302349248:group/ZivGroup",
   "CreateDate":"2020-12-05 16:18:36+00:00",
   "Path":"/",
   "GroupId":"'AGPAYPE7MW7AMKCWMJPMX",
   "GroupName":"ZivGroup"
}]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

  • Bei Erfolg (einige oder alle Gruppennamen waren gültig): „Die folgenden Gruppen wurden IAM hinzugefügt: <Gruppennamen>“
  • Fehler – Gruppe ist bereits vorhanden: Geben Sie Folgendes aus: „Die folgenden Gruppen konnten nicht zu IAM hinzugefügt werden: <Gruppennamen>. Namen müssen innerhalb eines Kontos eindeutig sein.
  • Bei Fehler (einige Gruppennamen waren ungültig): Geben Sie „Die folgenden Gruppen konnten nicht zu IAM hinzugefügt werden: <Gruppennamen>. Gruppennamen dürfen nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=,.@_-.“ aus.
  • Bei Fehler (Einschränkung aufheben). Max. 500 Gruppen pro Konto: Drucken Sie „Die folgenden Gruppen konnten nicht zu IAM hinzugefügt werden: <Gruppennamen>. Das Limit für Gruppen in Ihrem AWS-Konto wurde erreicht.


Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

  • Wenn nicht erfolgreich (alle Namen waren ungültig, falsche Anmeldedaten, keine Verbindung, anderer Fehler): Gib „Error executing action 'Create a Group. Grund: {exception.stacktrace}
 Allgemein

Richtlinien auflisten

Beschreibung

Listet alle verwalteten Richtlinien auf, die in Ihrem AWS-Konto verfügbar sind, einschließlich Ihrer eigenen vom Kunden definierten verwalteten Richtlinien und aller von AWS verwalteten Richtlinien. Sie können die Liste der zurückgegebenen Richtlinien mit den optionalen Parametern „Only Attached“, „Scope“ und „Policy Usage“ filtern. Wenn Sie beispielsweise nur die vom Kunden verwalteten Richtlinien in Ihrem AWS-Konto auflisten möchten, legen Sie „Scope“ auf „Local“ fest. Wenn Sie nur von AWS verwaltete Richtlinien auflisten möchten, legen Sie „Scope“ auf „AWS“ fest.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Nur angehängt Boolesch Nein Nein Wenn diese Option aktiviert ist, werden die Ergebnisse nur nach den Richtlinien gefiltert, die an einen IAM-Nutzer, eine Gruppe oder eine Rolle angehängt sind. Wenn das Häkchen nicht gesetzt ist, werden alle Richtlinien zurückgegeben.
Umfang

DDL
(Alle, AWS, Lokal)

 Alle Nein Der Bereich, der zum Filtern der Ergebnisse verwendet werden soll. Wenn Sie nur von AWS verwaltete Richtlinien auflisten möchten, legen Sie „Scope“ auf „AWS“ fest. Wenn Sie nur die vom Kunden verwalteten Richtlinien in Ihrem AWS-Konto auflisten möchten, legen Sie „Scope“ auf „Local“ fest. Standardmäßig werden alle Richtlinien zurückgegeben.
Maximale Anzahl zurückzugebender Richtlinien Ganzzahl 100 Nein Geben Sie an, wie viele Richtlinien zurückgegeben werden sollen. Der Standardwert ist 100. Der Höchstwert liegt bei 1.000.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
JSON-Ergebnis
[{
'PolicyName': 'string',
'PolicyId': 'string',
'Arn': 'string',
'Path': 'string',
'DefaultVersionId': 'string',
'AttachmentCount': 123,
'PermissionsBoundaryUsageCount': 123,
'IsAttachable': True|False,
'Description': 'string',
'CreateDate': "2020-12-6T17:16:45",
'UpdateDate':"2020-12-6T17:16:45"
}]
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

  • Bei Erfolg:print "Successfully listed available policies in AWS IAM"
  • Wenn der Wert für „Max Policies“ < übereinstimmende Richtlinien basierend auf dem Filter: Geben Sie „Successfully listed available policies in AWS IAM“ (Verfügbare Richtlinien in AWS IAM wurden erfolgreich aufgelistet) aus. Bitte beachten Sie, dass es zusätzliche Richtlinien gibt, die dem angegebenen Filter entsprechen.“
  • Wenn keine Daten vorhanden sind:Geben Sie „No Policies were found in AWS IAM“ (Es wurden keine Richtlinien in AWS IAM gefunden) aus.


Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

  • Wenn nicht erfolgreich (falsche Anmeldedaten, keine Verbindung zum Server, anderer Serverfehler, max>1000): Gib „Error executing action 'List Policies. Grund: {exception.stacktrace}
 Allgemein
CSV-Tabelle

Titel:IAM-Richtlinien

Spalten:

Richtlinienname

Richtlinien-ID

Erstellungsdatum

Datum der Aktualisierung

 Allgemein

Richtlinie anhängen

Beschreibung

Hängen Sie die angegebene verwaltete Richtlinie an eine Identität (Nutzer, Gruppe, Rolle) an.

Parameter

Anzeigename des Parameters Typ Standardwert Ist obligatorisch Beschreibung
Identitätstyp

DDL
(User, Group, Role)

 Gruppe Ja IAM-Identitätstyp.
Name der Identität String Ja Der Name (Anzeigename, nicht ARN) der Identität, an die die Richtlinie angehängt werden soll. Identitätsnamen dürfen keine Leerzeichen enthalten und dürfen nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=.@_-.
Richtlinienname String Ja Der Name (Anzeigename, nicht ARN) der Richtlinie, an die die Richtlinie angehängt werden soll. Richtliniennamen dürfen keine Leerzeichen enthalten und dürfen nur alphanumerische Zeichen und/oder die folgenden Zeichen enthalten: +=.@_-.

Ausführen am

Diese Aktion wird nicht für Elemente ausgeführt.

Aktionsergebnisse

Scriptergebnis
Name des Scriptergebnisses Wertoptionen
is_success is_success=False
is_success is_success=True
Fall-Repository
Ergebnistyp Wert / Beschreibung Typ
Ausgabemeldung*

Die Aktion darf nicht fehlschlagen und darf die Ausführung eines Playbooks nicht stoppen.

  • Bei Erfolg: „Policy was attached to <Identity Type>: <Identity Name>“ (Richtlinie wurde an <Identity Type>: <Identity Name> angehängt) ausgeben

Die Aktion sollte fehlschlagen und die Playbook-Ausführung beenden:

  • Bei Fehler -: „Die Richtlinie <policy name> konnte nicht erstellt werden. Richtliniennamen müssen innerhalb eines Kontos eindeutig sein.
  • Bei Fehler – Identitätsname war ungültig: Geben Sie Folgendes aus: „Could not attach <policy name> to <Identity Type>: <Identity Name>. Names must contain only alphanumeric characters and/or the following: +=,.@_-.
  • Wenn nicht erfolgreich (falsche Anmeldedaten, keine Verbindung zum Server, anderer Serverfehler): Gib „Error executing action 'Attach a Policy'. Grund: {exception.stacktrace}
 Allgemein

Nutzerzugriff deaktivieren

Deaktivieren Sie den Nutzerzugriff in AWS, indem Sie eine explizite Inline-Ablehnungsrichtlinie hinzufügen.

Diese Aktion unterstützt nur reguläre AWS-Nutzer, keine Verbundnutzer oder IAM-Rollen.

Entitäten

Diese Aktion wird für die Nutzerentität ausgeführt.

Aktionseingaben

Aktionsausgaben

Ausgabetyp der Aktion
Anhang im Fall-Repository
Link zum Fall‑Repository
Tabelle „Fall-Repository“
Anreicherungstabelle
JSON-Ergebnis Verfügbar
Scriptergebnis Verfügbar
JSON-Ergebnis
[
  {
    "Entity": "//iam.googleapis.com/projects/example/serviceAccounts/service-account@example.iam.gserviceaccount.com",
    "EntityResult": [
      {
        "fullResourceName": "//iam.googleapis.com/projects/example/serviceAccounts/service-account@example.iam.gserviceaccount.com",
        "activityType": "serviceAccountLastAuthentication",
        "observationPeriod": {
          "startTime": "2023-05-23T07:00:00Z",
          "endTime": "2023-08-20T07:00:00Z"
        },
        "activity": {
          "lastAuthenticatedTime": "2023-08-20T07:00:00Z",
          "serviceAccount": {
            "serviceAccountId": "example-account-id",
            "projectNumber": "example-project-id",
            "fullResourceName": "//iam.googleapis.com/projects/example/serviceAccounts/service-account@example.iam.gserviceaccount.com"
          }
        }
      }
    ]
  }
]
Scriptergebnis
Name des Scriptergebnisses Wert
is_success Wahr/falsch
Fall-Repository

Die Aktion gibt die folgenden Ausgabenachrichten aus:

Ausgabemeldung Nachrichtenbeschreibung

Successfully added deny policy to the following users in AWS IAM: USERNAME_LIST

Action wasn't able to find the following users in AWS IAM: USERNAME_LIST

Action wasn't able to add deny policy to the following users in AWS IAM: USERNAME_LIST

 Aktion erfolgreich.
Successfully added deny policy to the following users in AWS IAM: USERNAME_LIST

Aktion fehlgeschlagen.

Aufgrund eines Fehlers konnte die Ablehnungsrichtlinie nicht auf mindestens einen der angegebenen Nutzer angewendet werden.
Error executing action "Disable User Access". Reason: ERROR_REASON

Aktion fehlgeschlagen.

Prüfen Sie die Verbindung zum Server, die Eingabeparameter oder die Anmeldedaten.

Benötigen Sie weitere Hilfe? Antworten von Community-Mitgliedern und Google SecOps-Experten erhalten