As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Entendendo as descobertas de acesso não utilizadas no Security Hub
O Security Hub usa o IAM Access Analyzer para identificar permissões, funções, chaves de acesso e senhas do IAM não utilizadas em sua conta. Essas descobertas ajudam você a implementar a melhor prática de segurança de acesso com privilégios mínimos, destacando os princípios e permissões do IAM que não estão sendo usados ativamente. Esse recurso é fornecido a todos os clientes do Security Hub sem custo adicional.
Como funciona a análise de acesso não utilizado
Quando você ativa o Security Hub, o serviço cria automaticamente um IAM Access Analyzer vinculado ao serviço em sua conta. Esse analisador avalia todos os diretores do IAM (funções e usuários) em relação aos dados da AWS CloudTrail atividade para determinar quais diretores e permissões não foram usados em um período de análise de 90 dias. O período de retrospectiva não é configurável.
O IAM Access Analyzer reavalia todas as descobertas ativas a cada 24 horas. Quando um principal ou uma permissão anteriormente não utilizada se torna ativa, a descoberta correspondente é resolvida automaticamente.
O analisador de acesso não utilizado é executado no Leste dos EUA (Norte da Virgínia) porque o IAM é um serviço global. O Security Hub replica as descobertas em todas as regiões em que você ativou o Security Hub. Você não precisa habilitar o Security Hub no Leste dos EUA (Norte da Virgínia) para que o analisador seja executado.
Tipos de busca de acesso não utilizados
O Security Hub gera quatro tipos de descobertas de acesso não utilizadas:
| Tipo de descoberta | Description | Recurso avaliado |
|---|---|---|
AMRole não utilizado |
Uma função do IAM que não foi assumida dentro do período de retrospectiva de 90 dias. |
Perfil do IAM |
UnusedIAMUserAccessKey |
Uma chave de acesso do usuário do IAM que não foi usada para assinar solicitações de API dentro do período de análise de 90 dias. |
IAM user (Usuário do IAM) |
UnusedIAMUserPassword |
Uma senha de usuário do IAM que não foi usada para login no console dentro do período de retrospectiva de 90 dias. |
IAM user (Usuário do IAM) |
UnusedPermission |
Ações específicas do IAM que são concedidas a uma função ou usuário, mas não foram invocadas dentro do período de retrospectiva de 90 dias. |
Função do IAM ou usuário do IAM |
Service-linked analisador
O IAM Access Analyzer criado pelo Security Hub é um analisador vinculado a serviços. Você pode visualizá-lo no console do IAM Access Analyzer, mas não pode modificá-lo ou excluí-lo enquanto o Security Hub estiver ativado.
Quando você desativa o Security Hub em todas as regiões, o analisador vinculado ao serviço é excluído automaticamente. Se a exclusão automática falhar, você poderá excluir o analisador chamando a operação da API IAM Access AnalyzerDeleteServiceLinkedAnalyzer. Essa operação só será bem-sucedida depois que o Security Hub for totalmente desativado para sua conta.
O analisador vinculado ao serviço é separado de qualquer analisador gerenciado pelo cliente que você possa ter criado de forma independente no IAM Access Analyzer. Criar ou excluir analisadores gerenciados pelo cliente não afeta o analisador vinculado ao serviço e vice-versa.
Visualizando descobertas de acesso não utilizadas
As descobertas de acesso não utilizadas aparecem no console do Security Hub junto com outras descobertas do Security Hub. Você pode filtrar as descobertas por tipo para ver somente as descobertas de acesso não utilizadas. As descobertas de acesso não utilizadas são formatadas no Open Cybersecurity Schema Framework (OCSF), o mesmo formato usado por todas as descobertas do Security Hub.
Para UnusedPermission descobertas, se você remover algumas permissões não utilizadas da política excessivamente permissiva, mas não todas, o Security Hub fechará a descoberta existente e criará uma nova descoberta para a política revisada se ela ainda for excessivamente permissiva.
As descobertas de acesso não utilizadas também podem ser acessadas no console do IAM Access Analyzer. As descobertas de acesso não utilizadas no console do IAM Access Analyzer são somente para leitura e são visíveis somente na região Leste dos EUA (Norte da Virgínia).
Acesso não utilizado nas descobertas de exposição
As informações de acesso não utilizadas podem aparecer como características contextuais nas descobertas de exposição do Security Hub. Quando uma função do IAM anexada a um recurso tem permissões não utilizadas, a descoberta da exposição inclui isso como contexto suplementar. Isso ajuda você a entender o potencial raio de explosão de uma vulnerabilidade — um recurso com uma função de IAM superprivilegiada apresenta um risco maior do que um com permissões de privilégios mínimos.
Os seguintes tipos de recursos podem exibir características contextuais de acesso não utilizadas em suas descobertas de exposição:
Instâncias do Amazon Elastic Compute Cloud
AWS Lambda funções
Serviços Amazon Elastic Container Service
Clusters do Amazon Elastic Kubernetes Service
Usuários do IAM (diretamente)
Para obter mais informações sobre os resultados da exposição, consulteDescobertas de exposição no Security Hub.
Recomendações de políticas para permissões não utilizadas
Para descobrir UnusedPermission , o Security Hub pode gerar recomendações de políticas de privilégios mínimos. Essas recomendações mostram uma política de substituição com escopo reduzido que retém somente as permissões que seu diretor realmente usa. Para obter mais informações, consulte Gerando recomendações de políticas para descobertas de acesso não utilizado.
Preços
O IAM Access Analyzer vinculado ao serviço é fornecido a todos os clientes do Security Hub sem custo adicional. Você não é cobrado separadamente pelo analisador ou pelas descobertas de acesso não utilizadas.
