View a markdown version of this page

Gerando recomendações de políticas para descobertas de acesso não utilizado - AWS Security Hub

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Gerando recomendações de políticas para descobertas de acesso não utilizado

Para descobertas de permissões não utilizadas, o Security Hub pode gerar recomendações de políticas de privilégios mínimos que mostram uma política de substituição com escopo reduzido. A recomendação avalia cada política anexada ao diretor do IAM e gera uma substituição que retém somente as permissões que o diretor realmente usou. Esse recurso é fornecido a todos os clientes do Security Hub sem custo adicional.

Como as recomendações de políticas funcionam

A geração de recomendações de políticas é uma operação assíncrona. Para gerar e recuperar uma recomendação:

  1. Recupere as permissões não utilizadas encontradas no Security Hub usando a operação da GetFindingsV2 API. Anote o metadata.uid campo da descoberta.

  2. Ligue GenerateRecommendedPolicyV2 com as descobertasmetadata.uid. Isso inicia a geração da recomendação, que normalmente é concluída em 20 segundos.

  3. Faça uma pesquisa GetRecommendedPolicyV2 com o mesmo metadata.uid até que o status campo retorneSUCCEEDED.

  4. A resposta contém uma ou mais etapas de recomendação. Cada etapa especifica uma recommendedAction de CREATE_POLICY (criar e anexar uma política de substituição com escopo reduzido) ou DETACH_POLICY (desanexar a política original com privilégios excessivos). Para CREATE_POLICY as etapas, a resposta inclui o existingPolicy JSON e o recommendedPolicy JSON para que você possa compará-las.

Você deve ligar GenerateRecommendedPolicyV2 antes de ligar GetRecommendedPolicyV2 se uma recomendação não tiver sido gerada anteriormente para essa descoberta.

Quem pode gerar recomendações

Tanto o proprietário da conta quanto os administradores delegados podem chamar essas operações de API:

  • Os proprietários da conta podem gerar e visualizar recomendações para descobertas de permissões não utilizadas em suas próprias contas.

  • Os administradores delegados podem gerar e visualizar recomendações para as descobertas de permissões não utilizadas de qualquer conta de membro em sua organização.

Se você não for um administrador delegado e a descoberta pertencer a uma conta diferente, a operação da API retornará um AccessDeniedException erro.

Ciclo de vida da recomendação

  • As recomendações são armazenadas em cache por 90 dias e permanecem disponíveis enquanto a descoberta estiver ativa (não fechada). No entanto, ligar GenerateRecommendedPolicyV2 várias vezes invalidará o cache e iniciará um novo trabalho que substituirá a política em cache. É recomendável que você ligue apenas GenerateRecommendedPolicyV2 uma vez por descoberta.

  • A recomendação segue um padrão de desanexar e conectar. Ele não modifica suas políticas atuais do IAM. Você revisa a política recomendada e a aplica manualmente no console do IAM ou por meio da API do IAM.

  • Se a descoberta for resolvida (por exemplo, porque as permissões anteriormente não usadas agora estão sendo usadas), a recomendação não estará mais disponível.

Casos de erro

As operações da API retornam erros nas seguintes situações:

  • A descoberta foi resolvida — InvalidInputException (HTTP 400).

  • A descoberta não é uma descoberta de permissões não utilizadas — InvalidInputException (HTTP 400).

  • O diretor do IAM foi criado por meio do conjunto de permissões do IAM Identity Center. As políticas para os principais conjuntos de permissões não podem ser modificadas diretamente. A recomendação retorna um FAILED status com uma explicação.

  • O chamador não é um administrador delegado e a descoberta pertence a uma conta diferente — AccessDeniedException (HTTP 403).

  • Nenhuma recomendação foi gerada ainda e você liga GetRecommendedPolicyV2 sem primeiro ligar GenerateRecommendedPolicyV2ResourceNotFoundException (HTTP 404).

Utilizar o console

No console do Security Hub, você pode gerar uma recomendação de política visualizando uma descoberta de permissões não utilizadas e escolhendo a guia Remediação. O console exibe um botão giratório de carregamento enquanto a recomendação está sendo criada. Quando a recomendação estiver pronta, você poderá escolher Visualizar para ver uma comparação lado a lado entre sua política atual e a substituição recomendada pelo menor privilégio. Você pode copiar a política recomendada no formato JSON.

Referência de API

  • GenerateRecommendedPolicyV2— inicia a geração assíncrona de uma recomendação de política de privilégios mínimos para uma descoberta de permissões não utilizadas. Toma a descoberta metadata.uid como entrada. Retorna HTTP 200 com um corpo vazio em caso de sucesso.

  • GetRecommendedPolicyV2— Recupera a recomendação de política gerada. Toma a descoberta metadata.uid como entrada. Suporta paginação com maxResults (1—100) e parâmetros. nextToken Retorna o status da recomendação (IN_PROGRESSSUCCEEDED,, ouFAILED), as etapas da recomendação, o ARN do recurso e quaisquer erros.

Para obter a documentação detalhada da API, consulte a Referência da API do Security Hub.