Visualizzare le informazioni sull'ultimo accesso per IAM - AWS Identity and Access Management
Visualizzazione delle informazioni per IAM (console)Visualizzazione delle informazioni per IAM (AWS CLI)Visualizzazione delle informazioni per IAM (API AWS)

Visualizzare le informazioni sull'ultimo accesso per IAM

È possibile visualizzare le ultime informazioni di accesso per IAM utilizzando la Console di gestione AWS, AWS CLI o l'API AWS. Consulta un elenco di servizi e delle relative operazioni per i quali vengono visualizzate le informazioni relative all'ultimo accesso. Per ulteriori informazioni sulle ultime informazioni di accesso, vedere Perfezionamento delle autorizzazioni in AWS utilizzando le informazioni sull'ultimo accesso.

È possibile visualizzare le informazioni per i seguenti tipi di risorsa in IAM. In ogni caso, i dati includono i servizi consentiti per il periodo di reporting specificato:

  • Utente: visualizza l'ultima volta che l'utente ha tentato di accedere a ogni servizio consentito.

  • Gruppo di utenti: visualizza informazioni sull'ultima volta che un membro del gruppo di utenti ha provato ad accedere a ogni servizio consentito. Questo report include anche il numero totale di membri che hanno tentato di accedere.

  • Ruolo: visualizza l'ultima volta che qualcuno ha utilizzato il ruolo nel tentativo di accedere a ogni servizio consentito.

  • Policy: visualizza le informazioni sull'ultima volta che un utente o un ruolo ha provato ad accedere a ogni servizio consentito. Questo report include anche il numero totale di entità che hanno tentato di accedere.

Nota

Prima di visualizzare i dati di accesso per una risorsa in IAM, assicurati di comprendere il periodo di riferimento, le entità incluse nel report e i tipi di policy valutati per i tuoi dati. Per ulteriori dettagli, consultare Cose da sapere sulle ultime informazioni di accesso.

Visualizzazione delle informazioni per IAM (console)

È possibile visualizzare le informazioni sull'ultimo accesso per IAM nella scheda Ultimo accesso della console IAM.

Come visualizzare le informazioni per IAM (console)

  1. Accedi alla Console di gestione AWS e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Gruppi di utenti, Utenti, Ruoli o Policy.

  3. Seleziona il nome di qualsiasi utente, gruppo di utenti, ruolo o policy per aprire la relativa pagina Riepilogo e seleziona la scheda Ultimo accesso. Visualizzare le seguenti informazioni, in base alla risorsa scelta:

    • Gruppo di utenti: visualizza l'elenco dei servizi a cui i membri del gruppo di utenti possono accedere. È inoltre possibile visualizzare l'ultima volta che un membro ha effettuato l'accesso al servizio, quali policy di gruppo ha utilizzato e quale membro del gruppo ha effettuato la richiesta. Scegli il nome della policy per scoprire se è una policy gestita o una policy del gruppo di utenti in linea. Scegli il nome del membro del gruppo per visualizzare tutti i membri del gruppo di utenti e il momento in cui hanno effettuato l'ultimo accesso al servizio.

    • Utente: visualizza l'elenco dei servizi a cui l'utente può accedere. È inoltre possibile visualizzare l'ultima volta che hanno effettuato l'accesso al servizio e i criteri associati attualmente all'utente. Scegli il nome della policy per sapere se si tratta di una policy gestita, di una policy utente in linea o di una policy in linea per il gruppo di utenti.

    • Ruolo: visualizzare l'elenco dei servizi cui il ruolo può accedere, il suo ultimo accesso al servizio e le policy utilizzate. Scegliere il nome della policy per scoprire se è una policy gestita o una policy del ruolo inline.

    • Policy: visualizza l'elenco dei servizi con le operazioni consentite nella policy. È inoltre possibile visualizzare l'ultima volta che il criterio è stato utilizzato per accedere al servizio e l'entità (utente o ruolo) utilizzata dal criterio. La data dell'Ultimo accesso include anche quando viene concesso l'accesso a questa policy tramite un'altra policy. Scegliere il nome dell'entità per scoprire a quali entità è collegata questa policy e l'ultimo accesso al servizio da parte dell'entità.

  4. Nella colonna Servizio della tabella, scegli il nome di uno dei servizi che include le informazioni relative all'ultimo accesso a un'operazione per visualizzare un elenco delle operazioni di gestione alle quali le entità IAM hanno provato ad accedere. È possibile visualizzare la Regione AWS e un timestamp che indica l'ultimo tentativo di eseguire l'operazione da parte di un utente.

  5. La colonna Ultimo accesso viene visualizzata per i servizi e le operazioni di gestione dei servizi che includono le informazioni relative all'ultimo accesso a un'operazione. Esaminare i seguenti risultati possibili restituiti in questa colonna. Questi risultati variano a seconda che sia consentito un servizio o un'azione, sia stato effettuato l'accesso e se viene monitorato da AWS per le ultime informazioni di accesso.

    <number of> giorni fa

    Numero di giorni dall'utilizzo del servizio o dell'azione nel periodo di registrazione. Il periodo di monitoraggio per i servizi è degli ultimi 400 giorni. Il periodo di monitoraggio delle operazioni Amazon S3 è iniziato il 12 aprile 2020. Il periodo di monitoraggio delle azioni di Amazon EC2, IAM e Lambda è iniziato il 7 aprile 2021. Il periodo di monitoraggio per tutti gli altri servizi è iniziato il 23 maggio 2023. Per ulteriori informazioni sulle date di inizio del monitoraggio per ciascuna Regione AWS, consulta la pagina Dove AWS traccia le ultime informazioni di accesso.

    Non accessibile nel periodo di tracciabilità

    Il servizio o l'azione tracciati non sono stati utilizzati da un'entità nel periodo di registrazione.

    È possibile disporre delle autorizzazioni per un'azione che non viene visualizzata nell'elenco. Ciò può verificarsi se le informazioni di monitoraggio per l'operazione non sono attualmente incluse da AWS. Non è consigliabile prendere decisioni sulle autorizzazioni basate esclusivamente sull'assenza di informazioni di tracciamento. Si consiglia invece di utilizzare queste informazioni per informare e supportare la strategia generale di concessione di privilegi minimi. Controllare i criteri per verificare che il livello di accesso sia appropriato.

Visualizzazione delle informazioni per IAM (AWS CLI)

Puoi utilizzare la AWS CLI per recuperare informazioni sull'ultimo utilizzo di una risorsa IAM per provare ad accedere a servizi AWS e operazioni di Amazon S3, Amazon EC2, IAM e Lambda. Una risorsa IAM può essere un utente, un gruppo di utenti, un ruolo o una policy.

Come visualizzare le informazioni per IAM (AWS CLI)

  1. Generare un report. La richiesta deve includere l'ARN della risorsa IAM (utente, gruppo di utenti, ruolo o policy) per cui desideri un report. È possibile specificare il livello di granularità che si desidera generare nel report per visualizzare i dettagli di accesso per i servizi o per entrambi i servizi e le azioni. Viene restituito un job-id che è possibile utilizzare nelle operazioni get-service-last-accessed-details e get-service-last-accessed-details-with-entities per monitorare job-status finché il processo viene completato.

  2. Recuperare i dettagli sul report utilizzando il parametro job-id dal passaggio precedente.

    Questa operazione restituisce le seguenti informazioni, a seconda del tipo di risorsa richiesto nell'operazione generate-service-last-accessed-details:

    • Utente: restituisce un elenco dei servizi cui l'utente specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo dell'utente e l'ARN dell'utente.

    • Gruppo di utenti: restituisce un elenco dei servizi a cui i membri del gruppo di utenti specificato possono accedere utilizzando la policy collegata al gruppo di utenti. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo effettuato da qualsiasi membro del gruppo di utenti. Inoltre, restituisce l'ARN dell'utente e il numero totale di membri del gruppo di utenti che hanno provato ad accedere al servizio. Utilizzare l'operazione GetServiceLastAccessedDetailsWithEntities per recuperare un elenco di tutti i membri.

    • Ruolo: restituisce un elenco dei servizi cui il ruolo specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo del ruolo e l'ARN del ruolo.

    • Policy: restituisce un elenco dei servizi per i quali la policy specificata consente l'accesso. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo di accesso al servizio da parte di un'entità (utente o ruolo), utilizzando la policy. Inoltre, restituisce l'ARN di quell'entità e il numero totale di entità che hanno tentato di accedere.

  3. Scopri di più sulle entità che hanno utilizzato autorizzazioni di policy o gruppo di utenti in un tentativo di accesso a un servizio specifico. Questa operazione restituisce un elenco delle entità insieme all'ARN, l'ID, il nome, il percorso, il tipo (utente o ruolo) e l'ultimo tentativo di accesso al servizio di ogni entità. È anche possibile utilizzare questa operazione per gli utenti e i ruoli, ma restituisce informazioni solo su tale entità.

  4. Scopri di più sulle policy basate sull'identità utilizzate da un'identità (utente, gruppo di utenti o ruolo) in un tentativo di accesso a un servizio specifico. Quando si specifica un'identità e un servizio, questa operazione restituisce un elenco delle policy di autorizzazione che l'identità può utilizzare per accedere al servizio specificato. Questa operazione fornisce lo stato attuale delle policy e non dipende dal report generato. Non restituisce neanche altri tipi di policy, come le policy basate sulle risorse, le liste di controllo accessi, le policy di AWS Organizations, i limiti delle autorizzazioni IAM o le policy di sessione. Per ulteriori informazioni, consulta Tipi di policy o Valutazione delle policy per le richieste all'interno di un singolo account.

Visualizzazione delle informazioni per IAM (API AWS)

Puoi utilizzare l'API AWS per recuperare le informazioni sull'ultima volta che una risorsa IAM è stata utilizzata per provare ad accedere ai servizi AWS e alle operazioni Amazon S3, Amazon EC2, IAM e Lambda. Una risorsa IAM può essere un utente, un gruppo di utenti, un ruolo o una policy. È possibile specificare il livello di granularità da generare nel report per visualizzare i dettagli relativi ai servizi o ai servizi e alle azioni.

Come visualizzare le informazioni per IAM (API AWS)

  1. Generare un report. La richiesta deve includere l'ARN della risorsa IAM (utente, gruppo di utenti, ruolo o policy) per cui desideri un report. Viene restituito un JobId che è possibile utilizzare nelle operazioni GetServiceLastAccessedDetails e GetServiceLastAccessedDetailsWithEntities per monitorare il JobStatus finché il processo viene completato.

  2. Recuperare i dettagli sul report utilizzando il parametro JobId dal passaggio precedente.

    Questa operazione restituisce le seguenti informazioni, a seconda del tipo di risorsa richiesto nell'operazione GenerateServiceLastAccessedDetails:

    • Utente: restituisce un elenco dei servizi cui l'utente specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo dell'utente e l'ARN dell'utente.

    • Gruppo di utenti: restituisce un elenco dei servizi a cui i membri del gruppo di utenti specificato possono accedere utilizzando la policy collegata al gruppo di utenti. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo effettuato da qualsiasi membro del gruppo di utenti. Inoltre, restituisce l'ARN dell'utente e il numero totale di membri del gruppo di utenti che hanno provato ad accedere al servizio. Utilizzare l'operazione GetServiceLastAccessedDetailsWithEntities per recuperare un elenco di tutti i membri.

    • Ruolo: restituisce un elenco dei servizi cui il ruolo specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo del ruolo e l'ARN del ruolo.

    • Policy: restituisce un elenco dei servizi per i quali la policy specificata consente l'accesso. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo di accesso al servizio da parte di un'entità (utente o ruolo), utilizzando la policy. Inoltre, restituisce l'ARN di quell'entità e il numero totale di entità che hanno tentato di accedere.

  3. Scopri di più sulle entità che hanno utilizzato autorizzazioni di policy o gruppo di utenti in un tentativo di accesso a un servizio specifico. Questa operazione restituisce un elenco delle entità insieme all'ARN, l'ID, il nome, il percorso, il tipo (utente o ruolo) e l'ultimo tentativo di accesso al servizio di ogni entità. È anche possibile utilizzare questa operazione per gli utenti e i ruoli, ma restituisce informazioni solo su tale entità.

  4. Scopri di più sulle policy basate sull'identità utilizzate da un'identità (utente, gruppo di utenti o ruolo) in un tentativo di accesso a un servizio specifico. Quando si specifica un'identità e un servizio, questa operazione restituisce un elenco delle policy di autorizzazione che l'identità può utilizzare per accedere al servizio specificato. Questa operazione fornisce lo stato attuale delle policy e non dipende dal report generato. Non restituisce neanche altri tipi di policy, come le policy basate sulle risorse, le liste di controllo accessi, le policy di AWS Organizations, i limiti delle autorizzazioni IAM o le policy di sessione. Per ulteriori informazioni, consulta Tipi di policy o Valutazione delle policy per le richieste all'interno di un singolo account.