Rilevamenti degli errori di IAM Access Analyzer - AWS Identity and Access Management
Rilevamenti di errori di accesso esternoRilevamenti di errori di accesso interniRisoluzione dei rilevamenti di errori

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rilevamenti degli errori di IAM Access Analyzer

Quando IAM Access Analyzer analizza le risorse, in genere genera risultati che mostrano chi ha accesso alle tue risorse. Tuttavia, in alcuni casi, l'analizzatore potrebbe riscontrare problemi che gli impediscono di completare l'analisi. In queste situazioni, IAM Access Analyzer genera invece risultati di errore.

I risultati degli errori indicano che IAM Access Analyzer non è riuscito a completare l'analisi per una risorsa specifica o per una specifica coppia principale-risorsa. Questi risultati aiutano a identificare le risorse che potrebbero richiedere attenzione per garantire un'analisi corretta.

Rilevamenti di errori di accesso esterno

Gli analizzatori di accesso esterni, che identificano le risorse condivise all'esterno dell'account o dell'organizzazione, possono generare due tipi di rilevazioni degli errori:

  • INTERNAL_ERROR — Indica che IAM Access Analyzer ha riscontrato un problema interno durante l'analisi della risorsa. Ciò potrebbe essere dovuto a limitazioni del servizio o a problemi temporanei.

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR",
	"createdAt": "2022-07-14T01:31:43.085000+00:00",
	"resourceType": "AWS::IAM::Role",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
}

  • ACCESS_DENIED: indica che IAM Access Analyzer non dispone delle autorizzazioni necessarie per analizzare la risorsa. Ciò accade in genere quando al ruolo collegato al servizio (SLR) per IAM Access Analyzer viene negato l'accesso alla risorsa.

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
	"status": "ACTIVE",
	"error": "ACCESS_DENIED",
	"createdAt": "2022-07-14T01:31:43.104000+00:00",
	"resourceType": "AWS::KMS::Key",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
}

Rilevamenti di errori di accesso interni

Gli analizzatori di accesso interni, che identificano l'accesso all'interno dell'account o dell'organizzazione, possono generare quattro tipi di rilevazioni di errori:

  • PRINCIPAL_LIMIT_EXCEEDED: generato quando più di 3.000 principali hanno accesso a una risorsa critica. Questo errore consente di identificare le risorse con un accesso troppo ampio che potrebbe essere necessario limitare.

    Se si apportano modifiche alla risorsa o ai principali dell'ambiente che portano il numero di principali al di sotto del limite, l'analizzatore genererà risultati normali durante la scansione successiva e la ricerca dell'errore verrà contrassegnata come risolta.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • Errori a livello di risorsa (INTERNAL_ERROR o ACCESS_DENIED): simili agli errori di accesso esterno, indicano che l'analizzatore non è riuscito ad analizzare una risorsa specifica a causa di problemi interni o problemi di autorizzazione. Quando si verifica un errore a livello di risorsa, l'analizzatore genera una singola ricerca di errore per la risorsa anziché i risultati normali.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • Errori a livello principale (INTERNAL_ERROR o ACCESS_DENIED): indica che l'analizzatore non è riuscito ad analizzare l'accesso di un principale specifico a una risorsa specifica. A differenza degli errori a livello di risorsa, una risorsa può avere risultati normali per alcuni principali e risultati di errore per altri principali.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess", 
	"findingDetails": [
		{
			"internalAccessDetails": {
				"principal": {
					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
				},
				"principalOwnerAccount": "111122223333",
				"principalType": "IAM_ROLE",
				"accessType": "INTRA_ACCOUNT"
			}
		}
	]
}

  • PRINCIPAL_ERRORS_LIMIT_EXCEEDED — Generato quando vengono rilevati troppi errori a livello principale per una singola risorsa. Si tratta di una ricerca di errore a livello di risorsa che può comparire insieme ai risultati normali per la stessa risorsa.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Risoluzione dei rilevamenti di errori

Se risolvi il problema che ha impedito a Sistema di analisi degli accessi IAM di analizzare la risorsa, il risultato dell'errore verrà rimosso completamente invece di passare a un risultato risolto.

Per risolvere le rilevazioni degli errori, considerate i seguenti approcci in base al tipo di errore:

  • Per gli errori ACCESS_DENIED, verifica che il ruolo collegato al servizio IAM Access Analyzer disponga delle autorizzazioni necessarie per accedere alla risorsa.

  • Per gli errori PRINCIPAL_LIMIT_EXCEEDED, esamina le politiche di accesso della risorsa e valuta la possibilità di limitare l'accesso a un numero inferiore di principali.

  • Per i risultati di INTERNAL_ERROR, potrebbe essere necessario attendere un ciclo di analisi successivo o contattare l'assistenza se il problema persiste. AWS

  • Per PRINCIPAL_ERRORS_LIMIT_EXCEEDED, rivedi e potenzialmente semplifica i modelli di accesso per la risorsa interessata.

Dopo aver apportato modifiche per risolvere i problemi sottostanti, IAM Access Analyzer tenterà di analizzare nuovamente le risorse durante il ciclo di scansione successivo.