Bucket Amazon S3 Ember direktori Amazon S3 IAMperan KMSkunci Fungsi Lambda SQSAntrian Amazon Rahasia Secrets Manager SNSTopik Amazon Cuplikan EBS volume Amazon Cuplikan Amazon RDS DB Cuplikan kluster Amazon RDS DB ECRRepositori Amazon Sistem EFS file Amazon Aliran DynamoDB Tabel DynamoDB

IAMAkses jenis sumber daya Analyzer untuk akses eksternal

Untuk penganalisis akses eksternal, IAM Access Analyzer menganalisis kebijakan berbasis sumber daya yang diterapkan ke sumber AWS daya di Wilayah tempat Anda mengaktifkan Access Analyzer. IAM Ini hanya menganalisis kebijakan berbasis sumber daya. Tinjau informasi tentang setiap sumber daya untuk detail tentang bagaimana IAM Access Analyzer menghasilkan temuan untuk setiap jenis sumber daya.

catatan

Jenis sumber daya yang didukung yang tercantum adalah untuk penganalisis akses eksternal. Penganalisis akses yang tidak digunakan hanya mendukung IAM pengguna dan peran. Untuk informasi selengkapnya, lihat Memahami cara kerja temuan IAM Access Analyzer.

Jenis sumber daya yang didukung untuk akses eksternal:

Bucket Amazon Simple Storage Service
Ember direktori Layanan Penyimpanan Sederhana Amazon
AWS Identity and Access Management peran
AWS Key Management Service kunci
AWS Lambda fungsi dan lapisan
Antrean Amazon Simple Queue Service
AWS Secrets Manager rahasia
Topik Amazon Simple Notification Service
Cuplikan volume Amazon Elastic Block Store
Cuplikan DB Layanan Amazon Relational Database Service
Cuplikan cluster DB Layanan Relational Database Service Amazon
Repositori Registri Wadah Elastis Amazon
Sistem file Amazon Elastic File System
Aliran Amazon DynamoDB
Tabel Amazon DynamoDB

Bucket Amazon Simple Storage Service

Saat IAM Access Analyzer menganalisis bucket Amazon S3, maka akan menghasilkan temuan saat kebijakan bucket Amazon S3, atau titik aksesACL, termasuk titik akses Multi-wilayah, diterapkan ke bucket memberikan akses ke entitas eksternal. Entitas eksternal adalah penanggung jawab atau entitas lain yang dapat Anda gunakan untuk buat filter yang tidak berada dalam zona kepercayaan Anda. Misalnya, jika kebijakan bucket memberikan akses ke akun lain atau mengizinkan akses publik, IAM Access Analyzer akan menghasilkan temuan. Namun, jika Anda mengaktifkan Blokir Akses Publik di bucket, Anda dapat memblokir akses di tingkat akun atau tingkat bucket.

catatan

IAMAccess Analyzer tidak menganalisis kebijakan titik akses yang dilampirkan ke titik akses lintas akun karena titik akses dan kebijakannya berada di luar akun penganalisis. IAMAccess Analyzer menghasilkan temuan publik saat bucket mendelegasikan akses ke titik akses lintas akun dan Blokir Akses Publik tidak diaktifkan di bucket atau akun. Saat Anda mengaktifkan Blokir Akses Publik, temuan publik diselesaikan dan IAM Access Analyzer menghasilkan temuan lintas akun untuk titik akses lintas akun.

Setelan Amazon S3 Blokir Akses Publik mengesampingkan kebijakan bucket yang diterapkan ke bucket. Pengaturan tersebut juga membatalkan kebijakan titik akses yang berlaku pada titik akses bucket. IAMAccess Analyzer menganalisis setelan Blokir Akses Publik di tingkat bucket setiap kali kebijakan berubah. Namun, ini mengevaluasi pengaturan Blokir Akses Publik di tingkat akun hanya sekali setiap 6 jam. Ini berarti IAM Access Analyzer mungkin tidak menghasilkan atau menyelesaikan temuan untuk akses publik ke bucket hingga 6 jam. Misalnya, jika Anda memiliki kebijakan bucket yang memungkinkan akses publik, IAM Access Analyzer akan menghasilkan temuan untuk akses tersebut. Jika Anda kemudian mengaktifkan Blokir Akses Publik untuk memblokir semua akses publik ke bucket di tingkat akun, IAM Access Analyzer tidak menyelesaikan temuan kebijakan bucket hingga 6 jam, meskipun semua akses publik ke bucket diblokir. Resolusi temuan publik untuk jalur akses lintas akun juga dapat memakan waktu hingga 6 jam setelah Anda mengaktifkan Blokir Akses Publik di tingkat akun.

Untuk jalur akses Multi-wilayah, IAM Access Analyzer menggunakan kebijakan yang ditetapkan untuk menghasilkan temuan. IAMAccess Analyzer mengevaluasi perubahan pada titik akses Multi-region setiap 6 jam sekali. Ini berarti IAM Access Analyzer tidak menghasilkan atau menyelesaikan temuan hingga 6 jam, meskipun Anda membuat atau menghapus jalur akses Multi-wilayah, atau memperbarui kebijakan untuk itu.

Ember direktori Layanan Penyimpanan Sederhana Amazon

Bucket direktori Amazon S3 menggunakan kelas penyimpanan Amazon S3 Express One, yang direkomendasikan untuk beban kerja atau aplikasi yang kritis terhadap kinerja. Untuk bucket direktori Amazon S3, IAM Access Analyzer menganalisis kebijakan bucket direktori, termasuk pernyataan kondisi dalam kebijakan, yang memungkinkan entitas eksternal mengakses bucket direktori. Untuk informasi selengkapnya tentang bucket direktori Amazon S3, lihat Bucket direktori di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

AWS Identity and Access Management peran

Untuk IAM peran, IAM Access Analyzer menganalisis kebijakan kepercayaan. Dalam kebijakan kepercayaan peran, Anda menetapkan penanggung jawab yang Anda percayai untuk mengasumsikan peran tersebut. Kebijakan kepercayaan peran adalah kebijakan berbasis sumber daya wajib yang melekat pada peran di dalamnya. IAM IAMAccess Analyzer menghasilkan temuan untuk peran dalam zona kepercayaan yang dapat diakses oleh entitas eksternal yang berada di luar zona kepercayaan Anda.

catatan

IAMPeran adalah sumber daya global. Jika kebijakan kepercayaan peran memberikan akses ke entitas eksternal, IAM Access Analyzer akan menghasilkan temuan di setiap Wilayah yang diaktifkan.

AWS Key Management Service kunci

Untuk AWS KMS keys, IAM Access Analyzer menganalisis kebijakan utama dan hibah yang diterapkan pada kunci. IAMAccess Analyzer menghasilkan temuan jika kebijakan atau hibah kunci memungkinkan entitas eksternal untuk mengakses kunci. Misalnya, jika Anda menggunakan kunci CallerAccount kondisi kms: dalam pernyataan kebijakan untuk mengizinkan akses ke semua pengguna di AWS akun tertentu, dan Anda menentukan akun selain akun saat ini (zona kepercayaan untuk penganalisis saat ini), IAM Access Analyzer menghasilkan temuan. Untuk mempelajari selengkapnya tentang kunci AWS KMS kondisi dalam pernyataan IAM kebijakan, lihat Kunci AWS KMS Kondisi.

Ketika IAM Access Analyzer menganalisis kunci, KMS kunci akan membaca metadata kunci, seperti kebijakan kunci dan daftar hibah. Jika kebijakan kunci tidak mengizinkan peran IAM Access Analyzer membaca metadata kunci, pencarian error Access Denied akan dihasilkan. Misalnya, jika pernyataan kebijakan contoh berikut adalah satu-satunya kebijakan yang diterapkan pada kunci, itu menghasilkan pencarian kesalahan Access ditolak di IAM Access Analyzer.


{
    "Sid": "Allow access for Key Administrators",
    "Effect": "Allow",
    "Principal": {
       "AWS": "arn:aws:iam::111122223333:role/Admin"
    },
    "Action": "kms:*",
    "Resource": "*"
}

Karena pernyataan ini hanya mengizinkan peran bernama Admin dari AWS akun 111122223333 untuk mengakses kunci, pencarian kesalahan Access Denied dihasilkan karena IAM Access Analyzer tidak dapat sepenuhnya menganalisis kunci. Temuan kesalahan ditampilkan dalam teks merah di tabel Temuan. Temuan ini terlihat mirip dengan yang berikut ini.


{
    "error": "ACCESS_DENIED",
    "id": "12345678-1234-abcd-dcba-111122223333",
    "analyzedAt": "2019-09-16T14:24:33.352Z",
    "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a",
    "resourceType": "AWS::KMS::Key",
    "status": "ACTIVE",
    "updatedAt": "2019-09-16T14:24:33.352Z"
}

Saat Anda membuat KMS kunci, izin yang diberikan untuk mengakses kunci bergantung pada cara Anda membuat kunci. Jika Anda menerima pencarian kesalahan Access Denied untuk sumber daya kunci, terapkan pernyataan kebijakan berikut ke sumber daya kunci untuk memberikan izin IAM Access Analyzer untuk mengakses kunci.


{
    "Sid": "Allow IAM Access Analyzer access to key metadata",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer"
        },
    "Action": [
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:List*"
    ],
    "Resource": "*"
},

Setelah Anda menerima temuan Akses Ditolak untuk sumber daya KMS utama, dan kemudian menyelesaikan temuan dengan memperbarui kebijakan kunci, temuan akan diperbarui ke status Terselesaikan. Jika ada pernyataan kebijakan atau kunci izin yang mengizinkan kunci ke entitas eksternal, Anda mungkin melihat temuan tambahan untuk sumber daya kunci.

AWS Lambda fungsi dan lapisan

Untuk AWS Lambda fungsi, IAM Access Analyzer menganalisis kebijakan, termasuk pernyataan kondisi dalam kebijakan, yang memberikan akses ke fungsi ke entitas eksternal. Dengan Lambda, Anda dapat melampirkan kebijakan berbasis sumber daya unik ke fungsi, versi, alias, dan lapisan. IAMAccess Analyzer melaporkan akses eksternal berdasarkan kebijakan berbasis sumber daya yang dilampirkan pada fungsi dan lapisan. IAMAccess Analyzer tidak melaporkan akses eksternal berdasarkan kebijakan berbasis sumber daya yang dilampirkan ke alias dan versi tertentu yang dipanggil menggunakan kualifikasi. ARN

Untuk informasi selengkapnya, lihat Menggunakan kebijakan berbasis sumber daya untuk Lambda dan Menggunakan versi di Panduan Pengembang. AWS Lambda

Antrean Amazon Simple Queue Service

Untuk SQS antrian Amazon, IAM Access Analyzer menganalisis kebijakan, termasuk pernyataan kondisi dalam kebijakan, yang memungkinkan entitas eksternal mengakses antrian.

AWS Secrets Manager rahasia

Untuk AWS Secrets Manager rahasia, IAM Access Analyzer menganalisis kebijakan, termasuk pernyataan kondisi dalam kebijakan, yang memungkinkan entitas eksternal mengakses rahasia.

Topik Amazon Simple Notification Service

IAMAccess Analyzer menganalisis kebijakan berbasis sumber daya yang dilampirkan pada topik SNS Amazon, termasuk pernyataan kondisi dalam kebijakan yang memungkinkan akses eksternal ke topik. Anda dapat mengizinkan akun eksternal untuk melakukan SNS tindakan Amazon seperti berlangganan dan menerbitkan topik melalui kebijakan berbasis sumber daya. SNSTopik Amazon dapat diakses secara eksternal jika kepala sekolah dari akun di luar zona kepercayaan Anda dapat melakukan operasi pada topik tersebut. Ketika Anda memilih Everyone dalam kebijakan Anda saat membuat SNS topik Amazon, Anda membuat topik dapat diakses oleh publik. AddPermissionadalah cara lain untuk menambahkan kebijakan berbasis sumber daya ke SNS topik Amazon yang memungkinkan akses eksternal.

Cuplikan volume Amazon Elastic Block Store

Snapshot volume Amazon Elastic Block Store tidak memiliki kebijakan berbasis sumber daya. Snapshot dibagikan melalui izin EBS berbagi Amazon. Untuk snapshot EBS volume Amazon, IAM Access Analyzer menganalisis daftar kontrol akses yang memungkinkan entitas eksternal mengakses snapshot. Snapshot EBS volume Amazon dapat dibagikan dengan akun eksternal saat dienkripsi. Snapshot volume yang tidak terenkripsi dapat dibagikan dengan akun eksternal dan memberikan akses publik. Pengaturan berbagi ada di CreateVolumePermissions atribut snapshot. Saat pelanggan melihat pratinjau akses eksternal EBS snapshot Amazon, mereka dapat menentukan kunci enkripsi sebagai indikator bahwa snapshot dienkripsi, mirip dengan cara pratinjau IAM Access Analyzer menangani rahasia Secrets Manager.

Cuplikan DB Layanan Amazon Relational Database Service

Snapshot Amazon RDS DB tidak memiliki kebijakan berbasis sumber daya. Snapshot DB dibagikan melalui izin RDS database Amazon, dan hanya snapshot DB manual yang dapat dibagikan. Untuk snapshot Amazon RDS DB, IAM Access Analyzer menganalisis daftar kontrol akses yang memungkinkan entitas eksternal mengakses snapshot. Snapshot DB yang tidak terenkripsi dapat bersifat publik. Snapshot DB terenkripsi tidak dapat dibagikan secara publik, tetapi dapat dibagikan dengan hingga 20 akun lainnya. Untuk informasi selengkapnya, lihat Membuat snapshot DB. IAMAccess Analyzer menganggap kemampuan untuk mengekspor snapshot manual database (misalnya, ke bucket Amazon S3) sebagai akses tepercaya.

catatan

IAMAccess Analyzer tidak mengidentifikasi akses publik atau lintas akun yang dikonfigurasi langsung pada database itu sendiri. IAMAccess Analyzer hanya mengidentifikasi temuan untuk akses publik atau lintas akun yang dikonfigurasi pada snapshot Amazon RDS DB.

Cuplikan cluster DB Layanan Relational Database Service Amazon

Snapshot kluster Amazon RDS DB tidak memiliki kebijakan berbasis sumber daya. Snapshot dibagikan melalui izin cluster Amazon RDS DB. Untuk snapshot kluster Amazon RDS DB, IAM Access Analyzer menganalisis daftar kontrol akses yang memungkinkan entitas eksternal mengakses snapshot. Snapshot cluster yang tidak terenkripsi dapat bersifat publik. Snapshot kluster terenkripsi tidak dapat dibagikan secara publik. Snapshot cluster yang tidak terenkripsi dan terenkripsi dapat dibagikan dengan hingga 20 akun lainnya. Untuk informasi selengkapnya, lihat Membuat snapshot cluster DB. IAMAccess Analyzer menganggap kemampuan untuk mengekspor snapshot cluster DB (misalnya, ke bucket Amazon S3) sebagai akses tepercaya.

catatan

IAMTemuan Access Analyzer tidak termasuk pemantauan bagian cluster Amazon RDS DB dan klon dengan yang lain Akun AWS atau organisasi yang menggunakan. AWS Resource Access Manager IAMAccess Analyzer hanya mengidentifikasi temuan untuk akses publik atau lintas akun yang dikonfigurasi pada snapshot klaster Amazon RDS DB.

Repositori Registri Wadah Elastis Amazon

Untuk ECR repositori Amazon, IAM Access Analyzer menganalisis kebijakan berbasis sumber daya, termasuk pernyataan kondisi dalam kebijakan, yang memungkinkan entitas eksternal mengakses repositori (mirip dengan jenis sumber daya lain seperti topik Amazon dan sistem file Amazon). SNS EFS Untuk ECR repositori Amazon, kepala sekolah harus memiliki izin untuk ecr:GetAuthorizationToken melalui kebijakan berbasis identitas agar dianggap tersedia secara eksternal.

Sistem file Amazon Elastic File System

Untuk sistem EFS file Amazon, IAM Access Analyzer menganalisis kebijakan, termasuk pernyataan kondisi dalam kebijakan, yang memungkinkan entitas eksternal mengakses ke sistem file. Sistem EFS file Amazon dapat diakses secara eksternal jika prinsipal dari akun di luar zona kepercayaan Anda dapat melakukan operasi pada sistem file tersebut. Akses didefinisikan oleh kebijakan sistem file yang menggunakanIAM, dan oleh bagaimana sistem file dipasang. Misalnya, memasang sistem EFS file Amazon Anda di akun lain dianggap dapat diakses secara eksternal, kecuali akun tersebut ada di organisasi Anda dan Anda telah mendefinisikan organisasi sebagai zona kepercayaan Anda. Jika Anda memasang sistem file dari cloud pribadi virtual dengan subnet publik, sistem file dapat diakses secara eksternal. Ketika Anda menggunakan Amazon EFS dengan AWS Transfer Family, permintaan akses sistem file yang diterima dari server Transfer Family yang dimiliki oleh akun yang berbeda dari sistem file diblokir jika sistem file memungkinkan akses publik.

Aliran Amazon DynamoDB

IAMAccess Analyzer menghasilkan temuan jika kebijakan DynamoDB mengizinkan setidaknya satu tindakan lintas akun yang memungkinkan entitas eksternal mengakses aliran DynamoDB. Untuk informasi selengkapnya tentang tindakan lintas akun yang didukung untuk DynamoDB, IAMlihat tindakan yang didukung oleh kebijakan berbasis sumber daya di Panduan Pengembang Amazon DynamoDB.

Tabel Amazon DynamoDB

IAMAccess Analyzer menghasilkan temuan untuk tabel DynamoDB jika kebijakan DynamoDB mengizinkan setidaknya satu tindakan lintas akun yang memungkinkan entitas eksternal mengakses tabel atau indeks DynamoDB. Untuk informasi selengkapnya tentang tindakan lintas akun yang didukung untuk DynamoDB, IAMlihat tindakan yang didukung oleh kebijakan berbasis sumber daya di Panduan Pengembang Amazon DynamoDB.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Selesaikan temuan

Administrator yang didelegasikan