Descobertas do IAM Access Analyzer - AWS Identity and Access Management

Descobertas do IAM Access Analyzer

O IAM Access Analyzer gera descobertas para acesso externo, acesso interno e acesso não utilizado na sua Conta da AWS ou organização.

Para acessos externos, o IAM Access Analyzer gera uma descoberta para cada instância de uma política baseada em recursos que concede acesso a um recurso dentro da sua zona de confiança para uma entidade principal que não esteja dentro da sua zona de confiança. Ao criar um analisador de acessos externos, você escolhe uma organização ou uma Conta da AWS para analisar. Qualquer principal na organização ou na conta que você escolher para o analisador é considerado confiável. Como as entidades principais na mesma organização ou conta são confiáveis, os recursos e as entidades principais dentro da organização ou da conta compreendem a zona de confiança do analisador. Qualquer compartilhamento dentro da zona de confiança é considerado seguro, portanto, o IAM Access Analyzer não gera uma descoberta. Por exemplo, se você escolher uma organização como a zona de confiança de um analisador, todos os recursos e as entidades principais da organização estarão dentro da zona de confiança. Se você conceder permissões a um bucket do Amazon S3 em uma das contas-membro da organização para uma entidade principal em outra conta-membro da organização, o IAM Access Analyzer não gerará uma descoberta. No entanto, se você conceder permissão a uma entidade principal em uma conta que não seja membro da organização, o IAM Access Analyzer gerará uma descoberta.

Para acesso interno, o IAM Access Analyzer gera descobertas quando há um possível caminho de acesso entre um perfil ou usuário do IAM da sua organização e os recursos especificados. Como acontece com a análise de acesso externo, o escopo escolhido (organização ou conta) determina o que é considerado interno. Se você selecionar uma organização como escopo, o IAM Access Analyzer gerará descobertas para caminhos de acesso entre as entidades principais e os recursos da sua organização. Se você selecionar uma conta, as descobertas serão geradas para os caminhos de acesso dentro dessa conta específica. O IAM Access Analyzer usa raciocínio automatizado para avaliar todas as políticas do IAM e monitorar quem tem acesso aos recursos.

A combinação das descobertas de acesso externo e interno com a mesma zona de confiança fornece uma análise abrangente de todo acesso possível a um determinado recurso, tanto de dentro quanto de fora dos limites de confiança definidos.

Para acesso não utilizado, o IAM Access Analyzer gera descobertas para o acesso não utilizado concedido na sua organização e nas suas contas da AWS. Quando você cria um analisador de acessos não utilizados, o IAM Access Analyzer monitora continuamente todas as funções e usuários do IAM em sua organização e contas AWS e gera descobertas sobre acessos não utilizados. O IAM Access Analyzer gera os seguintes tipos de descobertas para acessos não utilizados:

  • Perfis não utilizados: perfis sem atividade de acesso dentro da janela de uso especificada.

  • Chaves de acesso e senhas de usuários do IAM não usadas: credenciais pertencentes a usuários do IAM que não foram usadas para acessar sua Conta da AWS durante a janela de uso especificada.

  • Permissões não utilizadas: permissões de nível de serviço e de ação que não foram usadas por um perfil na janela de uso especificada. O IAM Access Analyzer usa políticas baseadas em identidade anexadas às funções para determinar os serviços e ações que essas funções podem acessar. O IAM Access Analyzer oferece suporte à análise de permissões não utilizadas para todas as permissões de nível de serviço. Para obter uma lista completa das permissões de nível de ação suportadas para descobertas de acessos não utilizados, consulte Serviços e ações para os quais a ação do IAM acessou informações pela última vez.

nota

O IAM Access Analyzer oferece descobertas de acesso externo gratuitamente. As descobertas de acesso não utilizado são cobradas com base no número de perfis e usuários do IAM analisados por analisador por mês. Também são cobradas as descobertas de acesso interno com base no número de recursos da AWS monitorados por analisador por mês. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

Tópicos