Conceitos básicos do AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management
Permissões necessárias para usar o IAM Access AnalyzerStatus do IAM Access Analyzer

Conceitos básicos do AWS Identity and Access Management Access Analyzer

Use as informações deste tópico para saber mais sobre os requisitos necessários para usar e gerenciar o AWS Identity and Access Management Access Analyzer.

Permissões necessárias para usar o IAM Access Analyzer

Para configurar e usar o IAM Access Analyzer com êxito, a conta usada deve receber as permissões necessárias.

Políticas gerenciadas pela AWS para o IAM Access Analyzer

O AWS Identity and Access Management Access Analyzer fornece políticas gerenciadas da AWS para ajudar você a começar rapidamente.

  • IAMAccessAnalyzerFullAccess: permite acesso total dos administradores ao IAM Access Analyzer. Esta política também permite criar as funções vinculadas ao serviço que são necessárias para permitir que o IAM Access Analyzer analise recursos em sua conta ou organização da AWS.

  • IAMAccessAnalyzerReadOnlyAccess: permite acesso somente leitura ao IAM. Você deve adicionar políticas adicionais às suas identidades do IAM (usuários, grupos de usuários ou funções) para permitir que elas visualizem suas descobertas.

Recursos definidos pelo IAM Access Analyzer

Para visualizar os recursos definidos pelo Access Analyzer, consulte Tipos de recursos definidos pelo IAM Access Analyzer na Referência de autorização do serviço.

Permissões necessárias do serviço IAM Access Analyzer

O IAM Access Analyzer usa uma função vinculada ao serviço (SRL) chamada de AWSServiceRoleForAccessAnalyzer. Essa SLR concede ao serviço acesso somente leitura a fim de analisar recursos AWS com políticas baseadas em recursos e analisar acessos não utilizados em seu nome. O serviço cria a função na sua conta nas seguintes situações:

  • Você cria um analisador de acessos externos com sua conta como zona de confiança.

  • Você cria um analisador de acessos não utilizados com sua conta como a conta selecionada.

  • Você cria um analisador de acesso interno com a sua conta como zona de confiança.

Para obter mais informações, consulte Usar perfis vinculados a serviço do AWS Identity and Access Management Access Analyzer.

nota

O IAM Access Analyzer é regional. Para analisadores de acesso externo e interno, você deve habilitar o IAM Access Analyzer em cada região separadamente.

Para acessos não utilizados, as descobertas do analisador não mudam com base na região. Não é necessário criar um analisador em cada região em que você tem recursos.

Em alguns casos, após você criar um analisador no IAM Access Analyzer, a página ou o painel Descobertas é carregado sem nenhuma descoberta ou resumo. Isso pode ocorrer devido a um atraso no console para preencher as descobertas. Talvez seja necessário atualizar manualmente o navegador ou voltar mais tarde para visualizar as descobertas ou o resumo. Se ainda não for exibida nenhuma descoberta para um analisador de acessos externos, é porque você não tem recursos compatíveis na conta que possam ser acessados por uma entidade externa. Se uma política que concede acesso a uma entidade externa for aplicada a um recurso, o IAM Access Analyzer gerará uma descoberta.

nota

Para analisadores de acesso externo, depois que uma política é modificada, o IAM Access Analyzer pode levar até 30 minutos para analisar o recurso e gerar uma nova descoberta ou atualizar uma descoberta existente para o acesso ao recurso.

Quando você cria um analisador de acesso interno, pode levar vários minutos ou horas para as descobertas ficarem disponíveis. Após a verificação inicial, o IAM Access Analyzer torna a varrer automaticamente todas as políticas a cada 24 horas.

Para todos os tipos de analisadores de acesso, as atualizações das descobertas podem não ser refletidas imediatamente no painel.

Permissões necessárias do IAM Access Analyzer para visualizar o painel de descobertas

Para visualizar o painel de descobertas do IAM Access Analyzer, a conta usada deve receber acesso a fim de realizar as seguintes ações necessárias:

Para visualizar todas as ações definidas pelo IAM Access Analyzer, consulte Ações definidas pelo IAM Access Analyzer na Referência de autorização do serviço.

Status do IAM Access Analyzer

Para visualizar o status dos analisadores, selecione Analyzers (Analisadores). Os analisadores criados para uma organização ou uma conta podem ter os seguintes status:

Status Descrição

Ativo

Para analisadores de acesso externo e interno, o analisador está monitorando ativamente os recursos dentro da sua zona de confiança. O analisador gera ativamente novas descobertas e atualiza as descobertas existentes.

Para analisadores de acessos não utilizados, o analisador está monitorando ativamente os acessos não utilizados na Conta da AWS ou na organização selecionada no período de rastreamento especificado. O analisador gera ativamente novas descobertas e atualiza as descobertas existentes.

Criando

A criação do analisador ainda está em andamento. O analisador fica ativo quando a criação é concluída.

Desabilitado

O analisador é desabilitado devido a uma ação executada pelo administrador do AWS Organizations. Por exemplo, remover a conta do analisador como administrador delegado do IAM Access Analyzer. Quando o analisador está em um estado desabilitado, ele não gera novas descobertas nem atualiza as descobertas existentes.

Falha

A criação do analisador falhou devido a um problema de configuração. O analisador não gerará nenhuma descoberta. Exclua o analisador e crie outro analisador.