Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Come funzionano i risultati di Sistema di analisi degli accessi IAM
In questo argomento vengono descritti i concetti e i termini utilizzati in Sistema di analisi degli accessi IAM per acquisire familiarità con il modo in cui Sistema di analisi degli accessi IAM monitora l'accesso alle risorse AWS.
Risultati dell'accesso esterno
I risultati degli accessi esterni vengono generati una sola volta per ogni istanza di risorsa condivisa al di fuori della zona di attendibilità. Ogni volta che una policy basata sulle risorse viene modificata, Sistema di analisi degli accessi IAM la rianalizza. Se la policy aggiornata condivide una risorsa già identificata in un risultato, ma con autorizzazioni o condizioni diverse, viene generato un nuovo risultato per l'istanza della condivisione della risorsa. Anche le modifiche a una policy di controllo delle risorse che influiscono sulla Limitazione della policy di controllo delle risorse (RCP) generano un nuovo esito. Strumento di analisi degli accessi IAM valuta anche le configurazioni di controllo degli accessi stabilite da policy dichiarative. Se l'accesso nel primo risultato viene rimosso, il risultato viene aggiornato nello stato Risolto.
Lo stato di tutti i risultati rimane Attivo fino a quando non vengono archiviati o non si rimuove l'accesso che ha generato il risultato. Quando si rimuove l'accesso, lo stato del risultato viene aggiornato in Risolto.
Nota
Dopo la modifica di una policy, perché Sistema di analisi degli accessi IAM possa analizzare la risorsa e aggiornare il risultato degli accessi esterni, potrebbero essere necessari fino a 30 minuti. Le modifiche a una policy di controllo delle risorse (RCP) non attivano una nuova scansione della risorsa segnalata nel risultato. In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva che avviene entro 24 ore.
Come il Sistema di analisi degli accessi IAM genera risultati per gli accessi esterni
AWS Identity and Access Management Access Analyzer utilizza una tecnologia chiamata Zelkova
Zelkova traduce le policy IAM in istruzioni logiche equivalenti e gestisce una suite di risolutori logici generici e specializzati (teorie dei moduli di soddisfacibilità) per il problema. Sistema di analisi degli accessi IAM applica Zelkova ripetutamente a una policy con query sempre più specifiche per caratterizzare classi di comportamenti consentite dalla policy, in base al contenuto della policy stessa. Per ulteriori informazioni sulle teorie dei moduli di soddisfacibilità, consulta Teorie dei moduli di soddisfacibilità
Per i sistemi di analisi degli accessi esterni, Sistema di analisi degli accessi IAM non esamina i log di accesso per determinare se un'entità esterna accede a una risorsa all'interno della zona di attendibilità. Genera invece un risultato quando una policy basata sulle risorse consente l'accesso a una risorsa, indipendentemente se l'entità esterna ha eseguito l'accesso alla risorsa.
Sistema di analisi degli accessi IAM, inoltre, non considera lo stato di alcun account esterno al momento della sua determinazione. In altre parole, se indica che l'account 111122223333 può accedere al bucket Amazon S3, non ha alcuna informazione sugli utenti, i ruoli, le policy di controllo dei servizi o altre configurazioni pertinenti in tale account. Questo è per la privacy del cliente, in quanto Sistema di analisi degli accessi IAM non conosce il proprietario dell'altro account. Questo vale anche per la sicurezza, in quanto è importante conoscere i potenziali accessi esterni anche se al momento non ci sono principali in grado di utilizzarli.
Sistema di analisi degli accessi IAM considera solo alcune chiavi di condizione IAM che gli utenti esterni non possono influenzare direttamente o che hanno un impatto sull'autorizzazione. Per esempi di chiavi di condizione considerate da Sistema di analisi degli accessi IAM, consulta Chiavi di filtro di Sistema di analisi degli accessi IAM.
Sistema di analisi degli accessi IAM al momento non riporta risultati da principali Servizio AWS o da account del servizio interno. Nei rari casi in cui il sistema di analisi degli accessi non è in grado di determinare completamente se un'istruzione della policy concede l'accesso a un'entità esterna, si sbaglia nel dichiarare un risultato falso positivo. Ciò si verifica perché Sistema di analisi degli accessi IAM è progettato per fornire una visione completa della condivisione delle risorse nell'account e per ridurre al minimo i falsi negativi.
Esiti relativi agli accessi interni
Per utilizzare l'analisi degli accessi interni, è necessario innanzitutto configurare l'analizzatore selezionando le risorse specifiche che si desidera monitorare. Una volta configurati, gli esiti relativi agli accessi interni vengono generati quando un principale (utente o ruolo IAM) all'interno dell'organizzazione o dell'account ha accesso alle risorse selezionate. Viene generato un nuovo esito quando l'analizzatore esegue nuovamente la scansione delle risorse specificate e identifica un principale che ha accesso alle risorse. Se la policy aggiornata autorizza un principale già identificato in un esito ma con autorizzazioni o condizioni diverse, viene generato un nuovo esito per l'istanza del principale e della risorsa. Questa policy aggiornata potrebbe essere una policy basata sulle risorse, una policy basata sull'identità, una policy di controllo dei servizi (SCP) o una policy di controllo delle risorse (RCP). Strumento di analisi degli accessi IAM valuta anche le configurazioni di controllo degli accessi stabilite da policy dichiarative.
Nota
Gli esiti degli accessi interni sono disponibili solo utilizzando l'operazione API ListFindingsV2.
Come Sistema di analisi degli accessi IAM genera esiti relativi agli accessi esterni
Per analizzare gli accessi interni, è necessario creare un analizzatore separato per gli esiti relativi agli accessi interni per le proprie risorse, anche se è già stato creato un analizzatore per generare esiti relativi agli accessi esterni o agli accessi non utilizzati.
Dopo aver creato l'analizzatore degli accessi interni, Strumento di analisi degli accessi IAM valuta tutte le policy basate sulle risorse, le policy basate sulle identità, le policy di controllo dei servizi (SCP), le policy di controllo delle risorse (RCP) e i limiti delle autorizzazioni all'interno di un account o di un'organizzazione specificati.
Creando un analizzatore dedicato agli accessi interni alle risorse selezionate, puoi identificare:
-
Quando un principale della tua organizzazione o del tuo account può accedere alle risorse selezionate
-
Il totale delle autorizzazioni effettive consentite per un principale in base all'intersezione di tutte le policy applicabili
-
Percorsi di accesso complessi in cui un principale ottiene l'accesso in base alla combinazione di policy basate sull'identità e policy delle risorse
Nota
Strumento di analisi degli accessi IAM non è in grado di generare esiti degli accesso interni per le organizzazioni che contengono più di 70.000 principali (utenti e ruoli IAM combinati).
Risultati degli accessi inutilizzati
Gli esiti relativi agli accessi non utilizzati vengono generati per le entità IAM (principali) all'interno dell'account o dell'organizzazione selezionati in base al numero di giorni specificato durante la creazione dell'analizzatore. Viene generato un nuovo risultato quando l'analizzatore esegue nuovamente la scansione delle entità se viene soddisfatta una delle seguenti condizioni:
-
Un ruolo è inattivo per il numero specificato di giorni.
-
Un'autorizzazione, una password utente o una chiave di accesso utente inutilizzate superano il numero di giorni specificato.
Nota
I risultati di accesso non utilizzati sono disponibili solo utilizzando l'azione API ListFindingsV2.
Come Sistema di analisi degli accessi IAM genera risultati per gli accessi inutilizzati
Per analizzare gli accessi non utilizzati, è necessario creare un analizzatore separato per gli esiti relativi agli accessi non utilizzati per i propri ruoli, anche se è già stato creato un analizzatore per generare esiti relativi agli accessi esterni o agli accessi interni per le proprie risorse.
Dopo aver creato il sistema di analisi degli accessi inutilizzati, Sistema di analisi degli accessi IAM esamina l'attività di accesso per identificare gli accessi inutilizzati. Sistema di analisi degli accessi IAM esamina le informazioni sull'ultimo accesso per tutti gli utenti IAM, i ruoli IAM inclusi i ruoli di servizio, le chiavi di accesso degli utenti e le password utente dell'organizzazione e degli account AWS. Questo ti aiuta a identificare gli accessi non utilizzati.
Nota
Un ruolo collegato ai servizi è un tipo speciale di ruolo di servizio collegato a un Servizio AWS e di proprietà del servizio. I ruoli collegati ai servizi non vengono analizzati dagli analizzatori degli accessi non utilizzati.
Per gli utenti e i ruoli IAM attivi, Sistema di analisi degli accessi IAM utilizza le informazioni sull'ultimo accesso per le operazioni e i servizi IAM per identificare le autorizzazioni inutilizzate. Ciò consente di scalare il processo di revisione a livello di organizzazione e account AWS. Puoi utilizzare le informazioni sull'ultimo accesso per un'analisi più approfondita dei singoli ruoli. Ciò fornisce informazioni più dettagliate su quali autorizzazioni specifiche non vengono utilizzate.
Creando un sistema di analisi dedicato agli accessi non utilizzati, è possibile esaminare e identificare in modo completo gli accessi inutilizzati in tutto l'ambiente AWS, integrando i risultati generati dal sistema di analisi degli accessi esterni esistente.
