Como as descobertas do IAM Access Analyzer funcionam - AWS Identity and Access Management
Descobertas de acessos externosComo são geradas as descobertas de acesso externoDescobertas de acesso internoComo são geradas as descobertas de acesso internoDescobertas de acessos não utilizadosComo são geradas as descobertas de acesso não utilizado

Como as descobertas do IAM Access Analyzer funcionam

Este tópico descreve os conceitos e os termos usados no IAM Access Analyzer para ajudar você a se familiarizar com a maneira como o IAM Access Analyzer monitora o acesso aos seus recursos da AWS.

Descobertas de acessos externos

As descobertas de acesso externo são geradas somente uma vez para cada instância de um recurso compartilhado fora da sua zona de confiança. Sempre que uma política baseada em recursos é modificada, o IAM Access Analyzer analisa a política. Se a política atualizada compartilhar um recurso já identificado em uma descoberta, mas com permissões ou condições diferentes, será gerada outra descoberta para essa instância do compartilhamento de recursos. Alterações em uma política de controle de recursos que afetam a restrição da política de controle de recursos (RCP) também geram uma nova descoberta. Se o acesso na primeira descoberta for removido, essa descoberta será atualizada para um status de Resolvida.

O status de todas as descobertas permanece como Ativa até que sejam arquivadas ou até que o acesso que gerou a descoberta seja removido. Ao remover o acesso, o status da descoberta é atualizado para Resolvida.

nota

Pode levar até 30 minutos depois que uma política é modificada para que o IAM Access Analyzer analise o recurso e atualize a descoberta de acesso externo. Alterações em uma política de controle de recursos (RCP) não acionam uma nova verificação do recurso relatado na descoberta. O IAM Access Analyzer analisa a política nova ou atualizada durante a próxima verificação periódica, que ocorre em até 24 horas.

Como o IAM Access Analyzer gera descobertas para acessos externos

O AWS Identity and Access Management Access Analyzer usa uma tecnologia chamada Zelkova para analisar as políticas do IAM e identificar o acesso externo aos recursos.

O Zelkova converte políticas do IAM em declarações lógicas equivalentes e as executa por meio de um conjunto de solucionadores lógicos especializados e de uso geral (teorias do módulo da satisfatibilidade). O IAM Access Analyzer aplica o Zelkova repetidamente a uma política, usando consultas cada vez mais específicas para caracterizar os tipos de acesso que a política permite com base em seu conteúdo. Para obter mais informações sobre as teorias do módulo da satisfatibilidade, consulte Satisfiability Modulo Theories.

Para analisadores de acessos externos, o IAM Access Analyzer não examina os logs de acesso para determinar se uma entidade externa realmente acessou um recurso dentro da sua zona de confiança. Em vez disso, ele gera uma descoberta quando uma política baseada em recursos permite o acesso a um recurso, independentemente de o recurso ter sido acessado pela entidade externa.

Além disso, o IAM Access Analyzer não considera o estado de nenhuma conta externa ao fazer suas determinações. Se ele indicar que a conta 111122223333 pode acessar o seu bucket do Amazon S3, ele não terá nenhuma informação sobre os usuários, funções, políticas de controle de serviços (SCP) ou outras configurações relevantes nessa conta. Isso é para a privacidade do cliente, pois o IAM Access Analyzer não sabe quem é o proprietário da outra conta. Isso também é para fins de segurança, pois é importante conhecer o possível acesso externo, mesmo que atualmente não haja entidades principais ativas que possam usá-lo.

O IAM Access Analyzer considera apenas determinadas chaves de condição do IAM que os usuários externos não podem influenciar diretamente ou que, de outra forma, têm impacto na autorização. Para obter exemplos de chaves de condição que o IAM Access Analyzer considera, consulte Chaves de filtro do IAM Access Analyzer.

Atualmente, o IAM Access Analyzer não relata descobertas de entidades principais de AWS service (Serviço da AWS) ou contas de serviço interno. Nos raros casos em que não é possível determinar totalmente se uma declaração de política concede acesso a uma entidade externa, ele erra ao declarar uma descoberta falso positiva. Isso ocorre porque o IAM Access Analyzer foi projetado para fornecer uma visão abrangente do compartilhamento de recursos em sua conta e para minimizar os falsos negativos.

Descobertas de acesso interno

Para usar análise de acesso interno, você deve primeiro configurar o analisador selecionando os recursos específicos que deseja monitorar. Depois de configuradas, as descobertas de acesso interno são geradas quando uma entidade principal (usuário ou perfil do IAM) da sua organização ou conta tem acesso aos recursos selecionados. Uma nova descoberta será gerada a próxima vez que o analisador examinar os recursos especificados e identificar uma entidade principal que tenha acesso aos recursos. Se uma política atualizada permitir uma entidade principal já identificada em uma descoberta, mas com permissões ou condições diferentes, uma nova descoberta será gerada para essa instância de entidade principal e recurso. Essa política atualizada pode ser uma política baseada em recurso, uma política baseada em identidade, uma política de controle de serviços (SCP) ou uma política de controle de recursos (RCP).

nota

As descobertas de acesso interno somente estão disponíveis usando a ação da API ListFindingsV2.

Como o IAM Access Analyzer gera descobertas para acesso interno

Para analisar acesso interno, você deve criar um analisador separado para descobertas de acesso interno para seus recursos, mesmo que já tenha criado um analisador para gerar descobertas de acesso externo ou descobertas de acesso não utilizado.

Depois de criar o analisador de acesso interno, o IAM Access Analyzer avalia todas as políticas baseadas em recurso, políticas baseadas em identidade, políticas de controle de serviços (SCPs), políticas de controle de recursos (RCPs) e limites de permissões da conta ou organização especificada.

Criando um analisador dedicado a acesso interno aos recursos selecionados, você pode identificar:

  • Quando uma entidade principal da sua organização ou conta pode acessar os recursos selecionados

  • O total de permissões permitidas de fato para uma entidade principal com base na interseção de todas as políticas aplicáveis

  • Caminhos de acesso complexos em que uma entidade principal obtém acesso com base na combinação de políticas de identidades e políticas de recursos

nota

O IAM Access Analyzer não pode gerar descobertas de acesso interno para organizações com mais de 70.000 entidades principais (usuários e perfis do IAM combinados).

Descobertas de acessos não utilizados

As descobertas de acesso não utilizado são geradas para entidades (entidades principais) do IAM na conta ou organização selecionada com base no número de dias especificado durante a criação do analisador. Uma nova descoberta será gerada na próxima vez que o analisador examinar as entidades se uma das seguintes condições for atendida:

  • Uma função fica inativa durante o número especificado de dias.

  • Uma permissão não utilizada, uma senha de usuário não utilizada ou uma chave de acesso de usuário não utilizada ultrapassam o número especificado de dias.

nota

As descobertas de acesso não utilizadas só estão disponíveis usando a ação da API ListFindingsV2.

Como o IAM Access Analyzer gera descobertas para acessos não utilizados

Para analisar acesso não utilizado, você deve criar um analisador separado para descobertas de acesso não utilizado para os perfis, mesmo que já tenha criado um analisador para gerar descobertas de acesso externo ou interno para os recursos.

Depois de criar o analisador de acessos não utilizados, o IAM Access Analyzer revisa a atividade de acesso para identificar acessos não utilizados. O IAM Access Analyzer examina as últimas informações acessadas para todos os usuários do IAM, perfis do IAM – incluindo perfis de serviço, chaves de acesso e senhas de usuário em toda a organização e em todas as suas contas da AWS. Isso ajuda você a identificar o acesso não utilizado.

nota

Um perfil vinculado ao serviço é um tipo especial de perfil de serviço vinculado a um AWS service (Serviço da AWS) e pertencente ao serviço. Os perfis vinculados ao serviço não são analisados por analisadores de acesso não utilizados.

Para perfis e usuários ativos do IAM, o IAM Access Analyzer usa as últimas informações acessadas para serviços e ações do IAM para identificar permissões não utilizadas. Isso permite que você escale seu processo de revisão para todas as organizações e contas da AWS. Também é possível usar as informações do último acesso da ação para realizar uma investigação mais profunda dos perfis individuais. Isso fornece informações mais granulares sobre quais permissões específicas não estão sendo utilizadas.

Ao criar um analisador dedicado ao acesso não utilizado, você pode analisar e identificar de forma abrangente o acesso não utilizado em seu ambiente da AWS, complementando as descobertas geradas pelo seu analisador de acesso externo existente.