Tipos de recursos compatíveis com o IAM Access Analyzer para acesso externo e interno
Para analisadores de acesso externo e interno, o IAM Access Analyzer analisa as políticas baseadas em recurso que são aplicadas aos recursos da AWS na região em que você habilitou o IAM Access Analyzer. Somente analisa as políticas baseadas em recursos. Para obter detalhes sobre como o IAM Access Analyzer gera descobertas para cada tipo de recurso, revise as informações do tipo de recursos.
nota
Os tipos de recursos compatíveis listados são para analisadores de acesso externo e interno. Os analisadores de acesso interno não são compatíveis com todos os tipos de recursos que são compatíveis com os analisadores de acesso externo. Os analisadores de acessos não utilizados oferecem suporte apenas a perfis e usuários do IAM. Para obter mais informações, consulte Como as descobertas do IAM Access Analyzer funcionam.
Tipos de recursos compatíveis para acessos externos:
Tipos de recursos compatíveis para acesso interno:
Buckets do Amazon Simple Storage Service
Quando o IAM Access Analyzer analisa buckets do Amazon S3 para analisadores de acesso externo, ele gera uma descoberta quando uma política de bucket do Amazon S3, uma lista de controle de acesso (ACL) ou um ponto de acesso, incluindo um ponto de acesso multirregional, aplicado a um bucket concede acesso a uma entidade externa. Uma entidade externa é um principal ou outra entidade que pode ser usada para criar um filtro que não esteja em sua zona de confiança. Por exemplo, se uma política de bucket conceder acesso a outra conta ou permitir o acesso público, o IAM Access Analyzer gerará uma descoberta. No entanto, se você habilitar Bloqueio de Acesso Público no bucket, será possível bloquear o acesso no nível da conta ou no nível do bucket.
Para analisadores de acesso interno, o IAM Access Analyzer gera uma descoberta quando uma entidade principal (usuário ou perfil) da sua organização ou conta tem acesso a um bucket do Amazon S3 especificado.
nota
O IAM Access Analyzer não analisa a política de ponto de acesso vinculada aos pontos de acesso entre contas porque o ponto de acesso e a política estão fora da conta do analisador. O IAM Access Analyzer gera uma descoberta pública quando um bucket delega acesso a um ponto de acesso entre contas e o Bloqueio de Acesso Público não está habilitado no bucket ou na conta. Quando você habilita o Bloqueio de Acesso Público, a descoberta pública é resolvida e o IAM Access Analyzer gera uma descoberta entre contas para o ponto de acesso entre contas.
As configurações de Bloqueio de Acesso Público do Amazon S3 substituem as políticas de bucket aplicadas ao bucket. As configurações também substituem as políticas do ponto de acesso aplicadas aos pontos de acesso do bucket. O IAM Access Analyzer analisa as configurações do Bloqueio de Acesso Público no nível do bucket sempre que uma política é alterada. No entanto, ele avalia as configurações do Bloqueio de Acesso Público no nível da conta uma vez a cada seis horas. Isso significa que o IAM Access Analyzer pode não gerar ou resolver uma descoberta para acesso público a um bucket por até seis horas. Por exemplo, se você tem uma política de bucket que permite acesso público, o IAM Access Analyzer gera uma descoberta para esse acesso. Se você habilitar o Bloqueio de Acesso Público para bloquear todo o acesso público ao bucket no nível da conta, o IAM Access Analyzer não resolverá a descoberta para a política de bucket por até seis horas, mesmo que todo o acesso público ao bucket esteja bloqueado. A resolução de descobertas públicas para pontos de acesso entre contas também pode levar até seis horas, depois que você habilitar o Bloqueio de Acesso Público no nível da conta. Alterações em uma política de controle de recursos (RCP) sem uma alteração na política do bucket não acionam uma nova verificação do bucket relatado na descoberta. O IAM Access Analyzer analisa a política nova ou atualizada durante a próxima verificação periódica, que ocorre em até 24 horas.
Para um ponto de acesso de várias regiões, o IAM Access Analyzer usa uma política estabelecida para gerar descobertas. O IAM Access Analyzer avalia as alterações em pontos de acesso de várias regiões uma vez a cada seis horas. Isso significa que o IAM Access Analyzer não gera nem resolve uma descoberta por até seis horas, mesmo que você crie ou exclua um ponto de acesso de várias regiões ou atualize a política para ele.
Buckets de diretório do Amazon Simple Storage Service
Os buckets de diretório do Amazon S3 organizam os dados de forma hierárquica em diretórios, ao contrário da estrutura de armazenamento plana dos buckets de uso geral, que é recomendada para workloads ou aplicações com desempenho crítico. Para analisadores de acesso externo, o IAM Access Analyzer analisa a política de bucket do diretório, incluindo as instruções de condição em uma política, que permite que uma entidade externa acesse um bucket do diretório.
Para analisadores de acesso interno, o IAM Access Analyzer gera uma descoberta quando uma entidade principal (usuário ou perfil) da sua organização ou conta tem acesso a um bucket do diretório do Amazon S3 específico.
Os buckets de diretório do Amazon S3 também oferecem suporte a pontos de acesso, que impõem permissões e controles de rede distintos para todas as solicitações feitas ao bucket de diretórios por meio do ponto de acesso. Cada ponto de acesso pode ter uma política de ponto de acesso personalizada que funciona em conjunto com a política de bucket anexada ao bucket subjacente. Com pontos de acesso para buckets de diretório, você pode restringir o acesso a prefixos específicos, ações de API ou uma nuvem privada virtual (VPC).
nota
O IAM Access Analyzer não analisa a política de ponto de acesso vinculada aos pontos de acesso entre contas porque o ponto de acesso e a política estão fora da conta do analisador. O IAM Access Analyzer gera uma descoberta pública quando um bucket delega acesso a um ponto de acesso entre contas e o Bloqueio de Acesso Público não está habilitado no bucket ou na conta. Quando você habilita o Bloqueio de Acesso Público, a descoberta pública é resolvida e o IAM Access Analyzer gera uma descoberta entre contas para o ponto de acesso entre contas.
Para obter mais informações sobre os buckets de diretório do Amazon S3, consulte Trabalhar com buckets de diretório no Guia do usuário do Amazon Simple Storage Service.
Funções do AWS Identity and Access Management
Para perfis do IAM, o IAM Access Analyzer analisa políticas de confiança. Em uma política de confiança da função, você define as entidades principais em que confia para assumir a função. Uma política de confiança da função é uma política com base em recurso necessária anexada a uma função no IAM. O IAM Access Analyzer gera descobertas para funções dentro da zona de confiança que podem ser acessadas por uma entidade externa que esteja fora da sua zona de confiança.
nota
Uma função do IAM é um recurso global. Se uma política de confiança da função conceder acesso a uma entidade externa, o IAM Access Analyzer gerará uma descoberta em cada região habilitada.
Chaves do AWS Key Management Service
Para AWS KMS keys, o IAM Access Analyzer analisa as políticas de chaves e as concessões aplicadas a uma chave. O IAM Access Analyzer gerará uma descoberta se uma política de chaves ou uma concessão permitir que uma entidade externa acesse a chave. Por exemplo, se você usar a chave de condição kms:CallerAccount em uma instrução de política para permitir o acesso de todos os usuários a uma conta da AWS específica, e especificar uma conta diferente da conta atual (a zona de confiança do analisador atual), o IAM Access Analyzer gerará uma descoberta. Para saber mais sobre as chaves de condições do AWS KMS em instruções de política do IAM, consulte Chaves de condições do AWS KMS.
Quando o IAM Access Analyzer analisa uma chave do KMS, ele lê os metadados da chave, como a política de chaves e a lista de concessões. Se a política de chaves não permitir que a função do IAM Access Analyzer leia os metadados da chave, uma descoberta de erro de Acesso negado será gerada. Por exemplo, se o seguinte exemplo de instrução de política for a única política aplicada a uma chave, isso resultará em uma descoberta de erro de acesso negado no IAM Access Analyzer.
{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Admin" }, "Action": "kms:*", "Resource": "*" }
Como essa instrução permite que somente a função chamada Admin da conta da AWS 111122223333 acesse a chave, uma descoberta de erro de acesso negado será gerada, pois o IAM Access Analyzer não conseguirá analisar a chave completamente. Uma descoberta de erro será exibida em texto vermelho na tabela Findings (Descobertas). A descoberta é semelhante à seguinte:
{ "error": "ACCESS_DENIED", "id": "12345678-1234-abcd-dcba-111122223333", "analyzedAt": "2019-09-16T14:24:33.352Z", "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a", "resourceType": "AWS::KMS::Key", "status": "ACTIVE", "updatedAt": "2019-09-16T14:24:33.352Z" }
Ao criar uma chave do KMS, as permissões concedidas para acessar a chave dependem de como ela foi criada. Se você receber uma descoberta de erro de acesso negado para um recurso de chave, aplique a instrução de política a seguir ao recurso de chave para conceder ao IAM Access Analyzer permissão para acessar a chave.
{ "Sid": "Allow IAM Access Analyzer access to key metadata", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer" }, "Action": [ "kms:DescribeKey", "kms:GetKeyPolicy", "kms:List*" ], "Resource": "*" },
Após receber uma descoberta de Acesso negado para um recurso de chave do KMS e resolver a descoberta atualizando a política de chaves, a descoberta será atualizada para um status de Resolved (Resolvida). Se houver instruções de política ou concessões de chave que concedam permissão à chave para uma entidade externa, você poderá ver descobertas adicionais para o recurso de chave.
Funções e camadas do AWS Lambda
Para funções do AWS Lambda, o IAM Access Analyzer analisa políticas, incluindo instruções de condição em uma política, que concedem acesso à função para uma entidade externa. Com o Lambda, você pode anexar políticas exclusivas baseadas em recursos a funções, versões, aliases e camadas. O IAM Access Analyzer relata o acesso externo segundo políticas baseadas em recursos anexadas a funções e camadas. O IAM Access Analyzer não relata o acesso externo segundo políticas baseadas em recursos anexadas a aliases e versões específicas invocadas com um ARN qualificado.
Para obter mais informações, consulte Using resource-based policies for Lambda e Using versions no Guia do desenvolvedor do AWS Lambda.
Filas do Amazon Simple Queue Service
Para filas do Amazon SQS, o IAM Access Analyzer analisa políticas, incluindo instruções de condição em uma política que permitem que uma entidade externa acesse uma fila.
segredos do AWS Secrets Manager
Para segredos do AWS Secrets Manager, o IAM Access Analyzer analisa políticas, incluindo instruções de condição em uma política, que permitem que uma entidade externa acesse um segredo.
Tópicos do Amazon Simple Notification Service
O IAM Access Analyzer analisa políticas baseadas em recursos vinculadas aos tópicos do Amazon SNS, incluindo instruções de condições nas políticas que permitem acesso externo a um tópico. É possível permitir que contas externas realizem ações do Amazon SNS, como assinar e publicar tópicos por meio de uma política baseada em recursos. Um tópico do Amazon SNS será acessível externamente se as entidades principais de uma conta fora da sua zona de confiança puderem realizar operações no tópico. Ao escolher Everyone em sua política ao criar um tópico do Amazon SNS, você torna o tópico acessível ao público. AddPermission é outra forma de adicionar uma política baseada em recursos a um tópico do Amazon SNS que permite acesso externo.
Snapshots de volume do Amazon Elastic Block Store
Os snapshots de volume do Amazon Elastic Block Store não têm políticas baseadas em recursos. Um snapshot é compartilhado por meio das permissões de compartilhamento do Amazon EBS. Para snapshots de volume do Amazon EBS, o IAM Access Analyzer analisa listas de controle de acesso que permitem que uma entidade externa acesse um snapshot. Um snapshot de volume do Amazon EBS pode ser compartilhado com contas externas quando criptografado. Um snapshot de volume não criptografado pode ser compartilhado com contas externas e conceder acesso público. As configurações de compartilhamento estão no atributo CreateVolumePermissions do snapshot. Quando os clientes visualizam o acesso externo de um snapshot do Amazon EBS, eles podem especificar a chave de criptografia como um indicador de que o snapshot está criptografado, da mesma forma como a versão prévia do IAM Access Analyzer trata os segredos do Secrets Manager.
Snapshots de banco de dados do Amazon Relational Database Service
Os snapshots de banco de dados do Amazon RDS não têm políticas baseadas em recursos. Um snapshot de banco de dados é compartilhado por meio de permissões de banco de dados do Amazon RDS, e somente snapshots de banco de dados manuais podem ser compartilhados. Para analisadores de acesso externo, o IAM Access Analyzer analisa listas de controle de acesso que permitem que uma entidade externa acesse um snapshot do banco de dados do Amazon RDS. Os snapshots de banco de dados não criptografados podem ser públicos. Os snapshots de banco de dados criptografados não podem ser compartilhados publicamente, mas podem ser compartilhados com até 20 outras contas. Para obter mais informações, consulte Criar um snapshot de banco de dados. O IAM Access Analyzer considera a capacidade de exportar um snapshot manual de banco de dados (por exemplo, para um bucket do Amazon S3) como acesso confiável.
Para analisadores de acesso interno, o IAM Access Analyzer gera uma descoberta quando uma entidade principal (usuário ou perfil) da sua organização ou conta tem acesso a um snapshot do banco de dados do Amazon RDS especificado.
nota
O IAM Access Analyzer não identifica o acesso público ou entre contas configurado diretamente no próprio banco de dados. O IAM Access Analyzer identifica apenas descobertas para acesso público ou entre contas configurado no snapshot de banco de dados do Amazon RDS.
Snapshots de cluster de banco de dados do Amazon Relational Database Service
Os snapshots de cluster de banco de dados do Amazon RDS não têm políticas baseadas em recursos. Um snapshot é compartilhado por meio das permissões de cluster de banco de dados do Amazon RDS. Para analisadores de acesso externo, o IAM Access Analyzer analisa listas de controle de acesso que permitem que uma entidade externa acesse um snapshot do cluster de bancos de dados do Amazon RDS. Os snapshots de cluster não criptografados podem ser públicos. Os snapshots de cluster criptografados não podem ser compartilhados publicamente. Os snapshots de cluster não criptografados e criptografados podem ser compartilhados com até 20 outras contas. Para obter mais informações, consulte Criar um snapshot de cluster de banco de dados. O IAM Access Analyzer considera a capacidade de exportar um snapshot de cluster de banco de dados (por exemplo, para um bucket do Amazon S3) como acesso confiável.
Para analisadores de acesso interno, o IAM Access Analyzer gera uma descoberta quando uma entidade principal (usuário ou perfil) da sua organização ou conta tem acesso a um snapshot do cluster de bancos de dados do Amazon RDS especificado.
nota
As descobertas do IAM Access Analyzer não incluem o monitoramento de qualquer compartilhamento de clones e clusters de banco de dados do Amazon RDS com outra Conta da AWS ou organização usando o AWS Resource Access Manager. O IAM Access Analyzer identifica apenas descobertas para acesso público ou entre contas configurado no snapshot de cluster de banco de dados do Amazon RDS.
Repositórios do Amazon Elastic Container Registry
Para repositórios do Amazon ECR, o IAM Access Analyzer analisa políticas baseadas em recursos, incluindo instruções de condição em uma política que concede a uma entidade externa acesso a um repositório (semelhante a outros tipos de recursos, como tópicos do Amazon SNS e sistemas de arquivos do Amazon EFS). Para repositórios do Amazon ECR, uma entidade principal deve ter permissão para ecr:GetAuthorizationToken por meio de uma política baseada em identidade para ser considerada disponível externamente.
Sistemas de arquivos do Amazon Elastic File System
Para sistemas de arquivos do Amazon EFS, o IAM Access Analyzer analisa políticas, incluindo instruções de condição em uma política que permitem que uma entidade externa acesse um sistema de arquivos. Um sistema de arquivos do Amazon EFS será acessível externamente se as entidades principais de uma conta fora da sua zona de confiança puderem realizar operações no sistema de arquivos. O acesso é definido por uma política de sistema de arquivos que usa o IAM e pela forma como o sistema de arquivos é montado. Por exemplo, montar seu sistema de arquivos Amazon EFS em outra conta é considerado acessível externamente, a menos que essa conta esteja em sua organização e você tenha definido a organização como sua zona de confiança. Se você estiver montando o sistema de arquivos em uma nuvem privada virtual com uma sub-rede pública, o sistema de arquivos estará acessível externamente. Quando você usar o Amazon EFS com o AWS Transfer Family, as solicitações de acesso ao sistema de arquivos recebidas de um servidor do Transfer Family que pertence a uma conta diferente do sistema de arquivos serão bloqueadas se o sistema de arquivos permitir o acesso público.
Amazon DynamoDB Streams
Para analisadores de acesso externo, o IAM Access Analyzer gera uma descoberta se uma política do DynamoDB permitir pelo menos uma ação entre contas que conceda a uma entidade externa acesso a um fluxo do DynamoDB. Para obter mais informações sobre as ações entre contas aceitas pelo DynamoDB, consulte Ações do IAM compatíveis com políticas baseadas em recursos no Guia do desenvolvedor do Amazon DynamoDB.
Para analisadores de acesso interno, o IAM Access Analyzer gera uma descoberta quando uma entidade principal (usuário ou perfil) da sua organização ou conta tem acesso a um fluxo do DynamoDB especificado.
Tabelas do Amazon DynamoDB
Para analisadores de acesso externo, o IAM Access Analyzer gera uma descoberta para uma tabela do DynamoDB se uma política do DynamoDB permitir pelo menos uma ação entre contas que conceda a uma entidade externa acesso a uma tabela ou a um índice do DynamoDB. Para obter mais informações sobre as ações entre contas aceitas pelo DynamoDB, consulte Ações do IAM compatíveis com políticas baseadas em recursos no Guia do desenvolvedor do Amazon DynamoDB.
Para analisadores de acesso interno, o IAM Access Analyzer gera uma descoberta quando uma entidade principal (usuário ou perfil) da sua organização ou conta tem acesso a uma tabela do DynamoDB especificada.
