Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# `AWSSupport-ContainIAMPrincipal`
**Beschreibung**
Im Falle eines Sicherheitsvorfalls oder einer vermuteten Kompromittierung eines AWS Identity and Access Management (IAM-) Benutzers/einer Rolle oder eines AWS Identity Center (IDC) -Benutzers ist eine schnelle Isolierung der betroffenen Identität von entscheidender Bedeutung, wobei ihre Konfiguration für die Untersuchung beibehalten werden muss. Das `AWSSupport-ContainIAMPrincipal` Runbook bietet einen strukturierten, umkehrbaren Ansatz zur Eindämmung kompromittierter IAM- oder IDC-Identitäten, wodurch deren Zugriff auf Ressourcen effektiv blockiert und eine mögliche Ausbreitung der Sicherheitslücke verhindert wird. AWS
Dieser automatisierte Prozess ermöglicht eine Untersuchung ohne dauerhafte Änderung der Konfiguration der Identität und ermöglicht die Wiederherstellung des normalen Zugriffs, wenn dies als angemessen erachtet wird. Der Containment-Prozess behält den Benutzer oder die Rolle innerhalb von IAM oder den Benutzer innerhalb von IDC bei und isoliert ihn gleichzeitig effektiv von allen Netzwerkaktivitäten. Diese Isolierung verhindert, dass die enthaltene Identitätsressource mit Ressourcen in Ihrer Amazon Virtual Private Cloud kommuniziert oder auf Internetressourcen zugreift. Die Eindämmung ist so konzipiert, dass sie reversibel ist, sodass der normale Zugriff wiederhergestellt werden kann, wenn dies als angemessen erachtet wird.
**Wie funktioniert es?**
Das `AWSSupport-ContainIAMPrincipal` Runbook implementiert einen umfassenden Eindämmungsprozess für IAM-Benutzer, -Rollen und Identity Center-Benutzer. Wenn es im `Contain` Modus ausgeführt wird, validiert es zunächst alle Eingabeparameter und führt Sicherheitsüberprüfungen für den angegebenen Amazon S3 S3-Bucket durch. Anschließend sammelt es detaillierte Informationen über den Ziel-IAM-Principal und wendet je nach Prinzipaltyp geeignete Eindämmungsmaßnahmen an. Für IAM-Benutzer werden die Zugriffstasten deaktiviert, der Konsolenzugriff entfernt und eine Ablehnungsrichtlinie angehängt. Für IAM-Rollen wird eine Ablehnungsrichtlinie angehängt, die Berechtigungen für Sitzungen widerruft, die vor der Beschränkung erstellt wurden. Für Identity Center-Benutzer werden Berechtigungssätze und Gruppenmitgliedschaften entfernt und eine Ablehnungsrichtlinie angewendet. Während des gesamten Vorgangs sichert das Runbook die ursprüngliche Konfiguration zur möglichen Wiederherstellung in einem Amazon S3 S3-Bucket. Wenn es im `Restore` Modus ausgeführt wird, versucht es, den Principal mithilfe der gesicherten Konfiguration in seinen Zustand vor der Beschränkung zurückzusetzen. Das Runbook bietet eine `DryRun` Option zur Vorschau von Änderungen, ohne sie zu übernehmen, und bietet umfassende Berichte sowohl zu erfolgreichen Vorgängen als auch zu Fehlerszenarien.
**Wichtig**
**Verwendung erhöhter Rechte:** In diesem SSM-Dokument werden verschiedene Vorgänge ausgeführt, für die erhöhte Rechte erforderlich sind, z. B. das Ändern von IAM- und IDC-Identitätsrichtlinien und das Anwenden von Quarantänekonfigurationen. Diese Aktionen könnten möglicherweise zu einer Rechteerweiterung führen oder sich auf andere Workloads auswirken, die von den Zielidentitäten abhängen. Sie sollten die Berechtigungen überprüfen, die der durch den `AutomationAssumeRole` Parameter angegebenen Rolle gewährt wurden, und sicherstellen, dass sie für den beabsichtigten Anwendungsfall geeignet sind. Weitere Informationen zu IAM-Berechtigungen finden Sie in der folgenden AWS Dokumentation:
[Identity and Access Management (IAM) -Berechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_permissions.html)
[AWS Systems Manager Manager-Automatisierungsberechtigungen](https://docs.aws.amazon.com/systems-manager/latest/userguide/automation-permissions.html)
**Risiken der Nichtverfügbarkeit von Workloads:** In diesem Systems Manager Manager-Dokument werden Isolierungsmaßnahmen durchgeführt, die möglicherweise zu einer Nichtverfügbarkeit oder Unterbrechung Ihrer Workloads führen können. Wenn es während eines Sicherheitsereignisses ausgeführt wird, schränkt es den Zugriff auf die betroffene Ressource ein, indem AWS API-Berechtigungen für die angegebenen IAM- und IDC-Identitäten entzogen werden, sodass diese keine API-Aufrufe oder -Aktionen ausführen können. AWS Dies könnte sich auf alle Anwendungen oder Dienste auswirken, die von diesen Identitäten abhängen.
**Erstellung zusätzlicher Ressourcen: Das Automatisierungsdokument kann abhängig von** den Ausführungsparametern bedingt zusätzliche Ressourcen erstellen, z. B. einen Amazon Simple Storage Service (Amazon S3) -Bucket und darin gespeicherte Amazon S3-Objekte. Für diese Ressourcen fallen je nach Nutzung zusätzliche Gebühren an AWS .
**Risiken bei der Wiederherstellung:** Wenn der Parameter *Action* auf gesetzt ist`Restore`, versucht dieses SSM-Dokument, die IAM- oder IDC-Identitätskonfiguration in ihren ursprünglichen Zustand zurückzuversetzen. Es besteht jedoch das Risiko, dass der Wiederherstellungsprozess fehlschlägt und die IAM- oder IDC-Identität inkonsistent bleibt. Das Dokument enthält Anweisungen für die manuelle Wiederherstellung im Falle solcher Fehler. Sie sollten jedoch darauf vorbereitet sein, mögliche Probleme während des Wiederherstellungsprozesses zu lösen.
Es wird empfohlen, das Runbook gründlich zu überprüfen, seine möglichen Auswirkungen zu verstehen und es in einer Nicht-Produktionsumgebung zu testen, bevor Sie es in Ihrer Produktionsumgebung ausführen.
[Führen Sie diese Automatisierung aus (Konsole)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainIAMPrincipal)
**Art des Dokuments**
Automatisierung
**Eigentümer**
Amazon
**Plattformen**
/
**Erforderliche IAM-Berechtigungen**
Für den `AutomationAssumeRole` Parameter sind die folgenden Berechtigungen erforderlich, um das Runbook erfolgreich verwenden zu können:
+ s3: GetBucketLocation
+ s3: GetBucket
+ s3: ListBucket
+ s3: GetBucketPublicAccessBlocks
+ s3: GetAccountPublicAccessBlocks
+ s3: GetBucketPolicyStatus
+ s3: GetBucketAcl
+ s3: GetObject
+ s3: CreateBucket
+ s3: PutObject
+ bin: GetUser
+ ich bin: GetUserPolicy
+ ich bin: GetRole
+ ich bin: ListUserPolicies
+ ich bin: ListAttachedUserPolicies
+ ich bin: ListAccessKeys
+ ich bin: ListMfaDevices
+ ich bin: ListVirtual MFADevices
+ ich bin: GetLoginProfile
+ ich bin: GetPolicy
+ ich bin: GetRolePolicy
+ ich bin: ListPolicies
+ ich bin: ListAttachedRolePolicies
+ ich bin: ListRolePolicies
+ ich bin: UpdateAccessKey
+ ich bin: CreateAccessKey
+ ich bin: DeleteLoginProfile
+ ich bin: DeleteAccessKey
+ ich bin: PutUserPolicy
+ ich bin: DeleteUserPolicy
+ iam: deaktivieren MFADevice
+ ich bin: AttachRolePolicy
+ ich bin: AttachUserPolicy
+ ich bin: DeleteRolePolicy
+ Ich bin: Tag MFADevice
+ ich bin: PutRolePolicy
+ ich bin: TagPolicy
+ ich bin: TagRole
+ ich bin: TagUser
+ ich bin: UntagUser
+ ich bin: UntagRole
+ Organisationen: ListAccounts
+ so: ListPermissionSetsProvisionedToAccount
+ sso: GetInlinePolicyForPermissionSet
+ sso: ListInstances
+ sso-Verzeichnis: SearchUsers
+ sso: ListPermissionSets
+ sso: ListAccountAssignments
+ sso-Verzeichnis: DescribeUser
+ Identitätsspeicher: ListUsers
+ Identitätsspeicher: ListGroups
+ Identitätsspeicher: IsMemberInGroups
+ Identitätsspeicher: ListGroupMemberships
+ Verwalter von Geheimnissen: CreateSecret
+ Verwalter von Geheimnissen: DeleteSecret
+ so: DeleteAccountAssignment
+ sso: PutInlinePolicyToPermissionSet
+ sso: CreateAccountAssignment
+ sso: DeleteInlinePolicyFromPermissionSet
+ sso: TagResource
+ sso: UntagResource
+ Identitätsspeicher: DeleteGroupMembership
+ Identitätsspeicher: CreateGroupMembership
Hier ist ein Beispiel für eine IAM-Richtlinie, die die erforderlichen Berechtigungen gewährt für: `AutomationAssumeRole`
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "S3Permissions",
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:ListBucket",
"s3:GetBucketPublicAccessBlock",
"s3:GetBucketPolicyStatus",
"s3:GetBucketAcl",
"s3:GetObject",
"s3:CreateBucket",
"s3:PutObject"
],
"Resource": "*"
},
{
"Sid": "IAMPermissions",
"Effect": "Allow",
"Action": [
"iam:GetUser",
"iam:GetUserPolicy",
"iam:GetRole",
"iam:ListUserPolicies",
"iam:ListAttachedUserPolicies",
"iam:ListAccessKeys",
"iam:ListMfaDevices",
"iam:ListVirtualMFADevices",
"iam:GetLoginProfile",
"iam:GetPolicy",
"iam:GetRolePolicy",
"iam:ListPolicies",
"iam:ListAttachedRolePolicies",
"iam:ListRolePolicies",
"iam:UpdateAccessKey",
"iam:CreateAccessKey",
"iam:DeleteLoginProfile",
"iam:DeleteAccessKey",
"iam:PutUserPolicy",
"iam:DeleteUserPolicy",
"iam:DeactivateMFADevice",
"iam:AttachRolePolicy",
"iam:AttachUserPolicy",
"iam:DeleteRolePolicy",
"iam:TagMFADevice",
"iam:PutRolePolicy",
"iam:TagPolicy",
"iam:TagRole",
"iam:TagUser",
"iam:UntagUser",
"iam:UntagRole"
],
"Resource": "*"
},
{
"Sid": "OrganizationsPermissions",
"Effect": "Allow",
"Action": [
"organizations:ListAccounts"
],
"Resource": "*"
},
{
"Sid": "SSOPermissions",
"Effect": "Allow",
"Action": [
"sso:ListPermissionSetsProvisionedToAccount",
"sso:GetInlinePolicyForPermissionSet",
"sso:ListInstances",
"sso-directory:SearchUsers",
"sso:ListPermissionSets",
"sso:ListAccountAssignments",
"sso-directory:DescribeUser",
"sso:DeleteAccountAssignment",
"sso:PutInlinePolicyToPermissionSet",
"sso:CreateAccountAssignment",
"sso:DeleteInlinePolicyFromPermissionSet",
"sso:TagResource",
"sso:UntagResource"
],
"Resource": "*"
},
{
"Sid": "IdentityStorePermissions",
"Effect": "Allow",
"Action": [
"identitystore:ListUsers",
"identitystore:ListGroups",
"identitystore:IsMemberInGroups",
"identitystore:ListGroupMemberships",
"identitystore:DeleteGroupMembership",
"identitystore:CreateGroupMembership"
],
"Resource": "*"
},
{
"Sid": "SecretsManagerPermissions",
"Effect": "Allow",
"Action": [
"secretsmanager:CreateSecret",
"secretsmanager:DeleteSecret"
],
"Resource": "*"
}
]
}
```
------
**Anweisungen**
Gehen Sie wie folgt vor, um die Automatisierung zu konfigurieren:
1. Navigieren Sie [AWSSupport-ContainIAMPrincipal](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-ContainIAMPrincipal/description)in der AWS Systems Manager Manager-Konsole zu.
1. Wählen Sie **Execute automation (Automatisierung ausführen)**.
1. Geben Sie für die Eingabeparameter Folgendes ein:
+ **AutomationAssumeRole (Fakultativ):**
+ Beschreibung: (Optional) Der Amazon-Ressourcenname (ARN) der AWS Identity and Access Management (IAM) -Rolle, mit der Systems Manager Automation die Aktionen in Ihrem Namen ausführen kann. Wenn keine Rolle angegeben ist, verwendet Systems Manager Automation die Berechtigungen des Benutzers, der dieses Runbook startet.
+ Typ: `AWS::IAM::Role::Arn`
+ **PrincipalType (Erforderlich):**
+ Beschreibung: (Erforderlich) Der AWS IAM-Prinzipaltyp: IAM-Benutzer, IAM-Rolle oder Identity Center-Benutzer.
+ Typ: Zeichenfolge
+ Zulässige Werte: `IAM user|IAM role|Identity Center user`
+ **PrincipalName (Erforderlich):**
+ Beschreibung: (Erforderlich) Der Name des IAM-Prinzipals. Geben Sie für Identity Center-Benutzer den Benutzernamen ein.
+ Typ: Zeichenfolge
+ Zulässiges Muster: `^[a-zA-Z0-9\\.\\-_\\\\!*'()/+=,@]{1,1024}$`
+ **Aktion (erforderlich):**
+ Beschreibung: (Erforderlich) Wählen Sie `Contain` diese Option, um den Ziel-IAM-Prinzipal `Restore` zu isolieren oder zu versuchen, den IAM-Prinzipal auf seine ursprüngliche Konfiguration aus einem vorherigen Backup zurückzusetzen.
+ Typ: Zeichenfolge
+ Zulässige Werte: `Contain|Restore`
+ **DryRun (Fakultativ):**
+ Beschreibung: (Optional) Wenn diese Option auf gesetzt ist`true`, nimmt die Automatisierung keine Änderungen am Ziel-IAM-Prinzipal vor, sondern gibt das aus, was sie zu ändern versucht hätte, und zwar mit detaillierten Angaben zu jedem Schritt. Standardwert: `true`.
+ Typ: Boolescher Wert
+ Zulässige Werte: `true|false`
+ **ActivateDisabledKeys(Bedingt):**
+ Beschreibung: (Bedingt) Wenn der Eingabeparameter Action auf `Restore` und der auf IAM-Benutzer gesetzt PrincipalType ist, bestimmt diese Option, ob diese Automatisierung versuchen soll, die zugehörigen Zugriffstasten zu aktivieren, falls sie deaktiviert sind. Bitte beachten Sie, dass die Integrität eines kompromittierten Zugriffsschlüssels nicht überprüft werden kann. AWS rät dringend davon ab, einen kompromittierten Schlüssel erneut zu aktivieren. Stattdessen ist es ratsam, neue Schlüssel zu generieren. Standardwert: `false`.
+ Typ: Boolescher Wert
+ Zulässige Werte: `true|false`
+ **Backups 3 BucketName (bedingt):**
+ Beschreibung: (Bedingt) Der Amazon Amazon S3 S3-Bucket zum Sichern der IAM-Prinzipalkonfiguration, wenn die Aktion auf festgelegt ist, `Contain` oder zum Wiederherstellen der Konfiguration ab dem Zeitpunkt, an dem die Aktion aktiviert ist`Restore`. Beachten Sie, dass, wenn die angegebene Aktion lautet `Contain` und das Runbook nicht auf den Bucket zugreifen kann oder kein Wert angegeben wird, in Ihrem Konto ein neuer Bucket mit dem Namen erstellt wird. `awssupport-containiamprincipal-` Wenn auf `true` diesen Parameter gesetzt DryRun ist, ist dies erforderlich.
+ Typ: `AWS::S3::Bucket::Name`
+ **BackupS3 KeyName (bedingt):**
+ Beschreibung: (Bedingt) Wenn Action auf gesetzt ist`Restore`, gibt dies den Amazon Amazon S3 S3-Schlüssel an, mit dem die Automatisierung versucht, die IAM-Prinzipalkonfiguration wiederherzustellen. Der Amazon Amazon S3 S3-Schlüssel folgt normalerweise diesem Format:`{year}/{month}/{day}/{hour}/{minute}/{automation_execution_id}.json`. Der Schlüssel kann aus der Ausgabe einer früheren Ausführung der Containment-Automatisierung abgerufen werden.
+ Typ: Zeichenfolge
+ Zulässiges Muster: `^[a-zA-Z0-9\\.\\-_\\\\!*'()/]{0,1024}$`
+ **Backups 3 BucketAccess (bedingt):**
+ Beschreibung: (Bedingt) Der ARN der IAM-Benutzer oder -Rollen, denen nach der Ausführung der Containment-Aktionen Zugriff auf den Amazon S3-Backup-Backup gewährt wird. Dieser Parameter ist erforderlich, wenn Action den Wert hat. `Contain` Der Benutzer AutomationAssumeRole, in dessen Kontext die Automatisierung ausgeführt wird, oder, falls er nicht vorhanden ist, wird automatisch zur Liste hinzugefügt.
+ Typ: StringList
+ Zulässiges Muster: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$`
+ **TagIdentifier (Fakultativ):**
+ Beschreibung: (Optional) Taggen Sie den IAM-Prinzipal mit einem Tag Ihrer Wahl im folgenden Format:`Key=,Value=`. Mit dieser Option können Sie die IAM-Prinzipale verfolgen, auf die dieses Runbook abzielt. **Hinweis: Bei** Tag-Schlüsseln und -Werten wird zwischen Groß- und Kleinschreibung unterschieden.
+ Typ: Zeichenfolge
+ Zulässiges Muster: `^$|^[Kk][Ee][Yy]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{1,128},[Vv][Aa][Ll][Uu][Ee]=[\\+\\-\\=\\.\\_\\:\\/@a-zA-Z0-9]{0,128}$`
1. Wählen Sie Ausführen aus.
1. Die Automatisierung wird initiiert.
1. Das Dokument führt die folgenden Schritte aus:
+ **ValidateRequiredInputs**
Validiert die erforderlichen Eingabeparameter für die Automatisierung auf der Grundlage der `Action` angegebenen Parameter.
+ **CheckBackupS3BucketName**
Prüft, ob der Amazon Amazon S3 S3-Ziel-Bucket potenziell `write` öffentlichen Zugriff auf seine Objekte gewährt`read`. Im Falle eines Containment-Workflows wird ein neuer Amazon Amazon S3 S3-Bucket erstellt, falls der `BackupS3BucketName` Bucket nicht existiert.
+ **BranchOnAction**
Verzweigt die Automatisierung auf der Grundlage des angegebenen `Action` Werts.
+ **BranchOnPrincipalTypeAndDryRun**
Verzweigt die Automatisierung basierend auf dem Typ des IAM-Prinzipals (IAM-Benutzer, IAM-Rolle oder Identity Center-Benutzer) und ob sie im Modus ausgeführt wird. `DryRun`
+ **BranchOnPrincipalTypeForContain**
Verzweigt die Automatisierung nach dem in der Eingabe angegebenen `Contain` aktionsbasierten und dem IAM-Prinzipaltyp (IAM-Benutzer, IAM-Rolle oder Identity Center-Benutzer).
+ **Holen IAMUser**
Ruft die Erstellungszeit und den Benutzernamen des IAM-Zielbenutzers ab.
+ **Details abrufen IAMUser**
Ruft die Konfiguration des IAM-Zielbenutzers ab und speichert sie, einschließlich Inline-Richtlinien, verwalteten Richtlinien, Zugriffsschlüsseln, MFA-Geräten und Anmeldeprofilen.
+ **Updates (3) KeyForUser**
Aktualisiert die Automatisierungsvariable 'S3Key' anhand der Ausgabe des Schritts. `GetIAMUserDetails`
+ **Holen IAMRole**
Ruft die Erstellungszeit, den Rollennamen und den Pfad der IAM-Zielrolle ab.
+ **Details abrufen IAMRole**
Ruft die Konfiguration der IAM-Zielrolle ab und speichert sie, einschließlich Inline-Richtlinien und verwalteter Richtlinien, die der Rolle zugeordnet sind.
+ **Updates (3) KeyForRole**
Aktualisiert die Automatisierungsvariable 'S3Key' anhand der Ausgabe des Schritts. `GetIAMRoleDetails`
+ **GetIdentityStoreId**
Ruft die ID der AWS IAM Identity Center-Instanz ab, die dem Konto zugeordnet ist. AWS
+ **Holen IDCUser**
Ruft die Benutzer-ID des Identity Center-Zielbenutzers mithilfe der Identity Store-ID ab.
+ **Sammeln Sie IDCUser Details**
Ruft die Konfiguration des Identity Center-Zielbenutzers ab und speichert sie, einschließlich Kontozuweisungen, zugehöriger Berechtigungssätze und Inline-Richtlinien.
+ **Updates (3) KeyFor IDCUser**
Aktualisiert die Automatisierungsvariable 'S3Key' anhand der Ausgabe des Schritts. `GatherIDCUserDetails`
+ **BranchOnIdentityContain**
Verzweigt die Automatisierung auf der Grundlage des Werts von `DryRun` und des IAM-Prinzipaltyps für die Aktion. `Contain`
+ **BranchOnDisableAccessKeys**
Verzweigt die Automatisierung basierend darauf, ob der IAM-Benutzer über Zugriffsschlüssel verfügt, die deaktiviert werden müssen.
+ **DisableAccessKeys**
Deaktiviert die aktiven IAM-Benutzerzugriffsschlüssel.
+ **BranchOnDisableConsoleAccess**
Verzweigt je nachdem, ob für den IAM-Benutzer der Zugriff auf die AWS Management Console aktiviert ist oder nicht.
+ **DisableConsoleAccess**
Entfernt den kennwortbasierten Zugriff des IAM-Benutzers auf die Management Console. AWS
+ **AttachInlineDenyPolicyToUser**
Fügt dem IAM-Benutzer eine Ablehnungsrichtlinie hinzu, mit der er Berechtigungen für ältere Sitzungstoken entziehen kann.
+ **AttachInlineDenyPolicyToRole**
Fügt der IAM-Rolle eine Ablehnungsrichtlinie hinzu, um Berechtigungen für ältere Sitzungstoken zu widerrufen.
+ **RemovePermissionSets**
Entfernt die mit dem Identity Center-Benutzer verknüpften Berechtigungssätze.
+ **Entfernen IDCUser von IDCGroups**
Entfernt den Identity Center-Benutzer aus Identity Center-Gruppen.
+ **AttachInlineDenyPolicyToPermissionSet**
Fügt den Berechtigungssätzen, die dem Identity Center-Benutzer zugeordnet sind, eine Ablehnungsrichtlinie an.
+ **BranchOnReactivateKeys**
Verzweigt die Automatisierung auf der Grundlage des `ActivateDisabledKeys` Parameters während des Wiederherstellungsvorgangs.
+ **DetachInlineDenyPolicy**
Entfernt die Ablehnungsrichtlinie, die der IAM-Rolle während des Eindämmungsprozesses zugewiesen wurde.
+ **DetachInlineDenyPolicyFromPermissionSet**
Entfernt die Ablehnungsrichtlinie, die den Berechtigungssätzen während des Eindämmungsprozesses zugewiesen wurde.
+ **ReportContain**
Gibt detaillierte Informationen zu den Eindämmungsaktionen aus, die ausgeführt würden, wenn diese Einstellung auf gesetzt `DryRun` ist. `True`
+ **ReportRestore**
Gibt detaillierte Informationen zu den Wiederherstellungsaktionen aus, die ausgeführt würden, wenn auf `True` gesetzt `DryRun` ist.
+ **ReportContainFailure**
Enthält umfassende Anweisungen zur manuellen Wiederherstellung der ursprünglichen Konfiguration des IAM-Prinzipals während eines Ausfallszenarios für den Containment-Workflow.
+ **ReportRestoreFailure**
Enthält detaillierte Anweisungen zum manuellen Abschließen der Wiederherstellung der ursprünglichen Konfiguration des IAM-Prinzipals während eines Ausfallszenarios für den Wiederherstellungs-Workflow.
1. Nach Abschluss der Ausführung finden Sie im Abschnitt Ausgaben die detaillierten Ergebnisse der Ausführung:
+ **EnthaltenIAMPrincipal. Ausgabe**
Enthält detaillierte Informationen zu den Containment-Aktionen, die ausgeführt werden, wenn Action auf Contain und auf DryRun False gesetzt ist. Enthält Informationen zum Backup-Speicherort, zu den angewandten Ablehnungsrichtlinien und zu den geänderten Konfigurationen.
+ **WiederherstellenIAMPrincipal. Ausgabe**
Enthält detaillierte Informationen zu den Wiederherstellungsaktionen, die ausgeführt werden, wenn Action auf Restore und dann auf False gesetzt DryRun ist. Enthält Informationen zu den wiederhergestellten Konfigurationen und zu allen Problemen, die bei der Wiederherstellung aufgetreten sind.
+ **ReportContain. Ausgabe**
Gibt detaillierte Informationen zu den Containment-Aktionen aus, die ausgeführt würden, wenn Action auf Contain gesetzt und auf True gesetzt DryRun ist. Beinhaltet einen Vergleich der aktuellen Konfigurationen und der Konfigurationen nach der Eindämmung.
+ **ReportRestore. Ausgabe**
Gibt detaillierte Informationen zu den Wiederherstellungsaktionen aus, die ausgeführt würden, wenn Action auf Restore gesetzt und auf True gesetzt DryRun ist. Zeigt die aktuelle Konfiguration und die ursprüngliche Konfiguration an, die wiederhergestellt werden würde.
+ **ReportContainFailure. Ausgabe**
Enthält umfassende Anweisungen zur manuellen Wiederherstellung der ursprünglichen Konfiguration des IAM-Prinzipals während eines Ausfallszenarios für den Containment-Workflow.
+ **ReportRestoreFailure. Ausgabe**
Enthält detaillierte Anweisungen zum manuellen Abschließen der Wiederherstellung der ursprünglichen Konfiguration des IAM-Prinzipals bei einem Fehlschlagszenario für den Wiederherstellungs-Workflow.
**Ausgaben**
Nach Abschluss der Ausführung finden Sie im Abschnitt Ausgaben die detaillierten Ergebnisse:
+ **Contain. IAMPrincipal Output**
Enthält detaillierte Informationen zu den Containment-Aktionen, die ausgeführt werden, wenn Action auf Contain und auf DryRun False gesetzt ist. Enthält Informationen zum Backup-Speicherort, zu den angewandten Ablehnungsrichtlinien und zu den geänderten Konfigurationen.
+ **WiederherstellenIAMPrincipal. Ausgabe**
Enthält detaillierte Informationen zu den Wiederherstellungsaktionen, die ausgeführt werden, wenn Action auf Restore und dann auf False gesetzt DryRun ist. Enthält Informationen zu den wiederhergestellten Konfigurationen und zu allen Problemen, die bei der Wiederherstellung aufgetreten sind.
+ **ReportContain. Ausgabe**
Gibt detaillierte Informationen zu den Containment-Aktionen aus, die ausgeführt würden, wenn Action auf Contain gesetzt und auf True gesetzt DryRun ist. Beinhaltet einen Vergleich der aktuellen Konfigurationen und der Konfigurationen nach der Eindämmung.
+ **ReportRestore. Ausgabe**
Gibt detaillierte Informationen zu den Wiederherstellungsaktionen aus, die ausgeführt würden, wenn Action auf Restore gesetzt und auf True gesetzt DryRun ist. Zeigt die aktuelle Konfiguration und die ursprüngliche Konfiguration an, die wiederhergestellt werden würde.
+ **ReportContainFailure. Ausgabe**
Enthält umfassende Anweisungen zur manuellen Wiederherstellung der ursprünglichen Konfiguration des IAM-Prinzipals während eines Ausfallszenarios für den Containment-Workflow.
+ **ReportRestoreFailure. Ausgabe**
Enthält detaillierte Anweisungen zum manuellen Abschließen der Wiederherstellung der ursprünglichen Konfiguration des IAM-Prinzipals bei einem Fehlschlagszenario für den Wiederherstellungs-Workflow.
**Referenzen**
Systems Manager Automation
+ [Führen Sie diese Automatisierung aus (Konsole)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-ContainIAMPrincipal)
+ [Ausführen einer einfachen Automatisierung](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html)
+ [Automatisierung einrichten](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html)
+ [Support Sie Automatisierungs-Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)