Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menghasilkan rekomendasi kebijakan untuk temuan akses yang tidak terpakai
Untuk temuan izin yang tidak digunakan, Security Hub dapat menghasilkan rekomendasi kebijakan hak istimewa paling sedikit yang menunjukkan kepada Anda kebijakan penggantian yang tercakup. Rekomendasi mengevaluasi setiap kebijakan yang dilampirkan pada prinsipal IAM dan menghasilkan pengganti yang hanya mempertahankan izin yang sebenarnya digunakan oleh prinsipal. Kemampuan ini disediakan untuk semua pelanggan Security Hub tanpa biaya tambahan.
Bagaimana rekomendasi kebijakan bekerja
Pembuatan rekomendasi kebijakan adalah operasi asinkron. Untuk menghasilkan dan mengambil rekomendasi:
-
Ambil pencarian izin yang tidak digunakan dari Security Hub menggunakan operasi API.
GetFindingsV2Perhatikanmetadata.uidbidang dari temuan. -
Panggil
GenerateRecommendedPolicyV2dengan temuannyametadata.uid. Ini memulai pembuatan rekomendasi, yang biasanya selesai dalam 20 detik. -
Polling
GetRecommendedPolicyV2dengan yang samametadata.uidsampaistatusbidang kembaliSUCCEEDED. -
Respons berisi satu atau lebih langkah rekomendasi. Setiap langkah menentukan salah satu
recommendedActiondariCREATE_POLICY(membuat dan melampirkan kebijakan penggantian cakupan ke bawah) atauDETACH_POLICY(lepaskan kebijakan asli yang terlalu istimewa). UntukCREATE_POLICYlangkah-langkah, responsnya mencakupexistingPolicyJSON danrecommendedPolicyJSON sehingga Anda dapat membandingkannya.
Anda harus menelepon GenerateRecommendedPolicyV2 sebelum menelepon GetRecommendedPolicyV2 jika rekomendasi belum dibuat sebelumnya untuk temuan itu.
Siapa yang dapat menghasilkan rekomendasi
Baik pemilik akun maupun administrator yang didelegasikan dapat memanggil operasi API ini:
-
Pemilik akun dapat membuat dan melihat rekomendasi untuk temuan izin yang tidak digunakan di akun mereka sendiri.
-
Administrator yang didelegasikan dapat membuat dan melihat rekomendasi untuk temuan izin akun anggota yang tidak digunakan dalam organisasi mereka.
Jika Anda bukan administrator yang didelegasikan dan temuan milik akun yang berbeda, operasi API akan mengembalikan AccessDeniedException kesalahan.
Siklus hidup rekomendasi
-
Rekomendasi di-cache selama 90 hari dan tetap tersedia selama temuan aktif (tidak Ditutup). Namun, menelepon
GenerateRecommendedPolicyV2beberapa kali akan membatalkan cache dan memulai pekerjaan baru yang akan menggantikan kebijakan cache. Disarankan Anda hanya meneleponGenerateRecommendedPolicyV2sekali per temuan. -
Rekomendasi mengikuti pola detach-and-attach. Itu tidak mengubah kebijakan IAM Anda yang ada. Anda meninjau kebijakan yang disarankan dan menerapkannya secara manual di konsol IAM atau melalui IAM API.
-
Jika temuan diselesaikan (misalnya, karena izin yang sebelumnya tidak digunakan sekarang sedang digunakan), rekomendasi tidak lagi tersedia.
Kasus kesalahan
Operasi API mengembalikan kesalahan dalam situasi berikut:
-
Temuan telah diselesaikan —
InvalidInputException(HTTP 400). -
Temuan ini bukan pencarian izin yang tidak digunakan —
InvalidInputException(HTTP 400). -
Prinsipal IAM dibuat melalui set izin IAM Identity Center. Kebijakan untuk prinsipal yang ditetapkan izin tidak dapat langsung dimodifikasi. Rekomendasi mengembalikan
FAILEDstatus dengan penjelasan. -
Penelepon bukan administrator yang didelegasikan dan temuannya milik akun yang berbeda -
AccessDeniedException(HTTP 403). -
Belum ada rekomendasi yang dibuat dan Anda menelepon
GetRecommendedPolicyV2tanpa menelepon terlebih dahuluGenerateRecommendedPolicyV2-ResourceNotFoundException(HTTP 404).
Menggunakan konsol
Di konsol Security Hub, Anda dapat membuat rekomendasi kebijakan dengan melihat pencarian izin yang tidak digunakan dan memilih tab Remediasi. Konsol menampilkan pemintal pemuatan saat rekomendasi sedang dibuat. Ketika rekomendasi sudah siap, Anda dapat memilih Pratinjau untuk melihat perbandingan berdampingan dari kebijakan Anda saat ini dan penggantian hak istimewa paling sedikit yang disarankan. Anda dapat menyalin kebijakan yang direkomendasikan dalam format JSON.
Referensi API
-
GenerateRecommendedPolicyV2— Memulai pembuatan rekomendasi kebijakan hak istimewa paling tidak sinkron untuk pencarian izin yang tidak digunakan. Mengambil temuan
metadata.uidsebagai masukan. Mengembalikan HTTP 200 dengan badan kosong pada keberhasilan. -
GetRecommendedPolicyV2— Mengambil rekomendasi kebijakan yang dihasilkan. Mengambil temuan
metadata.uidsebagai masukan. Mendukung pagination denganmaxResults(1-100) dan parameter.nextTokenMengembalikan status rekomendasi (IN_PROGRESS,SUCCEEDED, atauFAILED), langkah-langkah rekomendasi, ARN sumber daya, dan kesalahan apa pun.
Untuk dokumentasi API yang mendetail, lihat Referensi API Security Hub.