As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Gerando recomendações de políticas para descobertas de acesso não utilizado
Para descobertas de permissões não utilizadas, o Security Hub pode gerar recomendações de políticas de privilégios mínimos que mostram uma política de substituição com escopo reduzido. A recomendação avalia cada política anexada ao diretor do IAM e gera uma substituição que retém somente as permissões que o diretor realmente usou. Esse recurso é fornecido a todos os clientes do Security Hub sem custo adicional.
Como as recomendações de políticas funcionam
A geração de recomendações de políticas é uma operação assíncrona. Para gerar e recuperar uma recomendação:
-
Recupere as permissões não utilizadas encontradas no Security Hub usando a operação da
GetFindingsV2API. Anote ometadata.uidcampo da descoberta. -
Ligue
GenerateRecommendedPolicyV2com as descobertasmetadata.uid. Isso inicia a geração da recomendação, que normalmente é concluída em 20 segundos. -
Faça uma pesquisa
GetRecommendedPolicyV2com o mesmometadata.uidaté que ostatuscampo retorneSUCCEEDED. -
A resposta contém uma ou mais etapas de recomendação. Cada etapa especifica uma
recommendedActiondeCREATE_POLICY(criar e anexar uma política de substituição com escopo reduzido) ouDETACH_POLICY(desanexar a política original com privilégios excessivos). ParaCREATE_POLICYas etapas, a resposta inclui oexistingPolicyJSON e orecommendedPolicyJSON para que você possa compará-las.
Você deve ligar GenerateRecommendedPolicyV2 antes de ligar GetRecommendedPolicyV2 se uma recomendação não tiver sido gerada anteriormente para essa descoberta.
Quem pode gerar recomendações
Tanto o proprietário da conta quanto os administradores delegados podem chamar essas operações de API:
-
Os proprietários da conta podem gerar e visualizar recomendações para descobertas de permissões não utilizadas em suas próprias contas.
-
Os administradores delegados podem gerar e visualizar recomendações para as descobertas de permissões não utilizadas de qualquer conta de membro em sua organização.
Se você não for um administrador delegado e a descoberta pertencer a uma conta diferente, a operação da API retornará um AccessDeniedException erro.
Ciclo de vida da recomendação
-
As recomendações são armazenadas em cache por 90 dias e permanecem disponíveis enquanto a descoberta estiver ativa (não fechada). No entanto, ligar
GenerateRecommendedPolicyV2várias vezes invalidará o cache e iniciará um novo trabalho que substituirá a política em cache. É recomendável que você ligue apenasGenerateRecommendedPolicyV2uma vez por descoberta. -
A recomendação segue um padrão de desanexar e conectar. Ele não modifica suas políticas atuais do IAM. Você revisa a política recomendada e a aplica manualmente no console do IAM ou por meio da API do IAM.
-
Se a descoberta for resolvida (por exemplo, porque as permissões anteriormente não usadas agora estão sendo usadas), a recomendação não estará mais disponível.
Casos de erro
As operações da API retornam erros nas seguintes situações:
-
A descoberta foi resolvida —
InvalidInputException(HTTP 400). -
A descoberta não é uma descoberta de permissões não utilizadas —
InvalidInputException(HTTP 400). -
O diretor do IAM foi criado por meio do conjunto de permissões do IAM Identity Center. As políticas para os principais conjuntos de permissões não podem ser modificadas diretamente. A recomendação retorna um
FAILEDstatus com uma explicação. -
O chamador não é um administrador delegado e a descoberta pertence a uma conta diferente —
AccessDeniedException(HTTP 403). -
Nenhuma recomendação foi gerada ainda e você liga
GetRecommendedPolicyV2sem primeiro ligarGenerateRecommendedPolicyV2—ResourceNotFoundException(HTTP 404).
Utilizar o console
No console do Security Hub, você pode gerar uma recomendação de política visualizando uma descoberta de permissões não utilizadas e escolhendo a guia Remediação. O console exibe um botão giratório de carregamento enquanto a recomendação está sendo criada. Quando a recomendação estiver pronta, você poderá escolher Visualizar para ver uma comparação lado a lado entre sua política atual e a substituição recomendada pelo menor privilégio. Você pode copiar a política recomendada no formato JSON.
Referência de API
-
GenerateRecommendedPolicyV2— inicia a geração assíncrona de uma recomendação de política de privilégios mínimos para uma descoberta de permissões não utilizadas. Toma a descoberta
metadata.uidcomo entrada. Retorna HTTP 200 com um corpo vazio em caso de sucesso. -
GetRecommendedPolicyV2— Recupera a recomendação de política gerada. Toma a descoberta
metadata.uidcomo entrada. Suporta paginação commaxResults(1—100) e parâmetros.nextTokenRetorna o status da recomendação (IN_PROGRESSSUCCEEDED,, ouFAILED), as etapas da recomendação, o ARN do recurso e quaisquer erros.
Para obter a documentação detalhada da API, consulte a Referência da API do Security Hub.