View a markdown version of this page

Memahami temuan akses yang tidak terpakai di Security Hub - AWS Security Hub
Cara kerja analisis akses yang tidak terpakaiJenis pencarian akses yang tidak digunakanService-linked penganalisisMelihat temuan akses yang tidak digunakanAkses yang tidak digunakan dalam temuan paparanRekomendasi kebijakan untuk izin yang tidak digunakanHarga

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami temuan akses yang tidak terpakai di Security Hub

Security Hub menggunakan IAM Access Analyzer untuk mengidentifikasi izin, peran, kunci akses, dan kata sandi IAM yang tidak digunakan di akun Anda. Temuan ini membantu Anda menerapkan praktik terbaik keamanan akses hak istimewa paling sedikit dengan menyoroti prinsip dan izin IAM yang tidak digunakan secara aktif. Kemampuan ini disediakan untuk semua pelanggan Security Hub tanpa biaya tambahan.

Cara kerja analisis akses yang tidak terpakai

Saat Anda mengaktifkan Security Hub, layanan akan secara otomatis membuat IAM Access Analyzer yang ditautkan layanan di akun Anda. Penganalisis ini mengevaluasi semua prinsip IAM (peran dan pengguna) terhadap data AWS CloudTrail aktivitas untuk menentukan prinsip dan izin mana yang belum digunakan dalam periode lookback 90 hari. Periode lookback tidak dapat dikonfigurasi.

IAM Access Analyzer mengevaluasi kembali semua temuan aktif setiap 24 jam. Ketika kepala sekolah atau izin yang sebelumnya tidak digunakan menjadi aktif, temuan yang sesuai secara otomatis diselesaikan.

Penganalisis akses yang tidak digunakan berjalan di US East (Virginia N.) karena IAM adalah layanan global. Security Hub mereplikasi temuan ke semua Wilayah tempat Anda mengaktifkan Security Hub. Anda tidak perlu mengaktifkan Security Hub di US East (Virginia N.) agar analyzer dapat berjalan.

Jenis pencarian akses yang tidak digunakan

Security Hub menghasilkan empat jenis temuan akses yang tidak terpakai:

Tipe temuan Deskripsi Sumber daya dievaluasi

Tidak digunakanDiamrole

Peran IAM yang belum diasumsikan dalam periode lookback 90 hari.

IAM Role

UnusedIAMUserAccessKey

Kunci akses pengguna IAM yang belum digunakan untuk menandatangani permintaan API dalam periode lookback 90 hari.

Pengguna IAM

UnusedIAMUserPassword

Kata sandi pengguna IAM yang belum digunakan untuk login konsol dalam periode lookback 90 hari.

Pengguna IAM

UnusedPermission

Tindakan IAM khusus yang diberikan kepada peran atau pengguna tetapi belum dipanggil dalam periode lookback 90 hari.

Peran IAM atau pengguna IAM

Service-linked penganalisis

IAM Access Analyzer yang dibuat Security Hub adalah penganalisis terkait layanan. Anda dapat melihatnya di konsol IAM Access Analyzer, tetapi Anda tidak dapat memodifikasi atau menghapusnya saat Security Hub diaktifkan.

Saat Anda menonaktifkan Security Hub di semua Wilayah, penganalisis terkait layanan akan dihapus secara otomatis. Jika penghapusan otomatis gagal, Anda dapat menghapus analyzer dengan memanggil operasi API IAM Access Analyzer. DeleteServiceLinkedAnalyzer Operasi ini hanya berhasil setelah Security Hub dinonaktifkan sepenuhnya untuk akun Anda.

Penganalisis terkait layanan terpisah dari penganalisis yang dikelola pelanggan yang mungkin telah Anda buat secara independen di IAM Access Analyzer. Membuat atau menghapus penganalisis yang dikelola pelanggan tidak memengaruhi penganalisis terkait layanan, dan sebaliknya.

Melihat temuan akses yang tidak digunakan

Temuan akses yang tidak digunakan muncul di konsol Security Hub bersama temuan Security Hub lainnya. Anda dapat memfilter temuan berdasarkan jenis untuk melihat hanya temuan akses yang tidak digunakan. Temuan akses yang tidak digunakan diformat dalam Open Cybersecurity Schema Framework (OCSF), format yang sama yang digunakan oleh semua temuan Security Hub.

Untuk UnusedPermission temuan, jika Anda menghapus beberapa izin yang tidak digunakan dari kebijakan yang terlalu permisif, tetapi tidak semua, Security Hub akan menutup temuan yang ada dan membuat temuan baru untuk kebijakan yang direvisi jika masih terlalu permisif.

Temuan akses yang tidak digunakan juga dapat diakses dari konsol IAM Access Analyzer. Temuan akses yang tidak digunakan di konsol IAM Access Analyzer hanya dibaca dan hanya terlihat di wilayah AS Timur (Virginia N.).

Akses yang tidak digunakan dalam temuan paparan

Informasi akses yang tidak digunakan dapat muncul sebagai ciri kontekstual dalam temuan paparan Security Hub. Ketika peran IAM yang dilampirkan ke sumber daya memiliki izin yang tidak digunakan, temuan eksposur menyertakan ini sebagai konteks tambahan. Ini membantu Anda memahami potensi radius ledakan kerentanan — sumber daya dengan peran IAM yang terlalu istimewa menghadirkan risiko yang lebih tinggi daripada sumber dengan izin hak istimewa paling sedikit.

Jenis sumber daya berikut dapat menampilkan sifat kontekstual akses yang tidak digunakan dalam temuan eksposur mereka:

  • Instans Amazon Elastic Compute Cloud

  • AWS Lambda fungsi

  • Layanan Amazon Elastic Container Service

  • Cluster Layanan Amazon Elastic Kubernetes Service

  • Pengguna IAM (langsung)

Untuk informasi lebih lanjut tentang temuan paparan, lihatTemuan paparan di Security Hub.

Rekomendasi kebijakan untuk izin yang tidak digunakan

Untuk UnusedPermission temuan, Security Hub dapat menghasilkan rekomendasi kebijakan hak istimewa paling sedikit. Rekomendasi ini menunjukkan kepada Anda kebijakan penggantian cakupan bawah yang hanya mempertahankan izin yang sebenarnya digunakan prinsipal Anda. Untuk informasi selengkapnya, lihat Menghasilkan rekomendasi kebijakan untuk temuan akses yang tidak terpakai.

Harga

IAM Access Analyzer yang terhubung dengan layanan disediakan untuk semua pelanggan Security Hub tanpa biaya tambahan. Anda tidak dikenakan biaya secara terpisah untuk penganalisis atau untuk temuan akses yang tidak digunakan.