Rivedere i risultati di Sistema di analisi degli accessi - AWS Identity and Access Management
Risultati dell'accesso esternoRisultati degli accessi inutilizzati

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Rivedere i risultati di Sistema di analisi degli accessi

Dopo aver abilitato Sistema di analisi degli accessi IAM, il passaggio successivo consiste nell'esaminare i risultati per determinare se l'accesso identificato nel risultato è intenzionale o meno. Puoi inoltre esaminare i risultati per determinare i risultati simili per l'accesso intenzionale e quindi creare una regola di archiviazione per archiviare tali risultati automaticamente. Puoi esaminare i risultati archiviati e risolti.

Devi esaminare tutti i risultati del tuo account per determinare se l'accesso esterno o inutilizzato è previsto e approvato. Se l'accesso esterno o inutilizzato identificata nel risultato è previsto, è possibile archiviare il risultato. Quando si archivia un risultato, lo stato viene modificato in Archiviato e il risultato viene rimosso dall'elenco dei risultati attivi. Il risultato non viene eliminato. Puoi visualizzare i risultati archiviati in qualsiasi momento. Elabora tutti i risultati nel tuo account fino a quando non hai più risultati attivi. Quando non hai più risultati, sai che eventuali nuovi risultati Attivi generati provengono da una modifica recente dell'ambiente.

Per esaminare i risultati

  1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Scegliere Access Analyzer.

  3. Viene visualizzata la dashboard dei risultati. Seleziona i risultati attivi per l'analizzatore degli accessi esterni o inutilizzati.

    Per ulteriori informazioni sulla visualizzazione della dashboard dei risultati, consulta Visualizzare il pannello di controllo dei risultati di Sistema di analisi degli accessi IAM.

Nota

I risultati vengono visualizzati solo se si dispone dell'autorizzazione per visualizzare i risultati per l'analizzatore.

Tutti i risultati vengono visualizzati per l'analizzatore. Per visualizzare altri risultati generati dall'analizzatore, scegli il tipo di risultati dal menu a discesa Stato:

  • Scegliere Active (Attivo) per visualizzare tutti i risultati attivi generati dall'analizzatore.

  • Scegliere Archived (Archiviato) per visualizzare solo i risultati generati dall'analizzatore che sono stati archiviati. Per ulteriori informazioni, consulta Archiviare i risultati di Sistema di analisi degli accessi IAM.

  • Scegliere Resolved (Risolto) per visualizzare solo i risultati generati dall'analizzatore che sono stati risolti. Quando si risolve il problema che ha generato il risultato, lo stato del risultato viene modificato in Risolto.

    Importante

    I risultati risolti vengono eliminati 90 giorni dopo l'ultimo aggiornamento del risultato. I risultati attivi e archiviati non vengono eliminati a meno che non si elimini l'analizzatore che li ha generati.

  • Scegliere All (Tutto) per visualizzare tutti i risultati con qualsiasi stato che sono stati generati dall'analizzatore.

Risultati dell'accesso esterno

Scegli Accesso esterno, quindi seleziona l'analizzatore degli accessi esterni dal menu a discesa Visualizza analizzatore. Nella pagina Risultati per gli analizzatori degli accessi esterni vengono visualizzati i seguenti dettagli sull'istruzione della policy e della risorsa condivisa che ha generato il risultato:

ID risultato

L'ID univoco assegnato al risultato. Scegliere l'ID risultato per visualizzare ulteriori dettagli sull'istruzione della policy e della risorsa che ha generato il risultato.

Risorsa

Il tipo e il nome parziale della risorsa a cui è applicata una policy che consente l'accesso a un'entità esterna non all'interno della zona di attendibilità.

Account proprietario della risorsa

Questa colonna viene visualizzata solo se si utilizza un'organizzazione come zona di attendibilità. L'account dell'organizzazione proprietaria della risorsa riportata nel risultato.

External principal (Entità principale esterna)

L'entità principale, non all'interno della zona di attendibilità, a cui la policy analizzata concede l'accesso. I valori validi includono:

  • Account AWS— Tutti i responsabili elencati Account AWS con le autorizzazioni dell'amministratore di quell'account possono accedere alla risorsa.

  • Qualsiasi principale: tutti i principali in qualsiasi Account AWS che soddisfino le condizioni incluse nella colonna Condizioni dispongono dell'autorizzazione per accedere alla risorsa. Ad esempio, se un VPC è elencato, significa che può accedere alla risorsa qualsiasi entità principale in qualsiasi account che dispone dell'autorizzazione per accedere al VPC elencato.

  • Utente canonico: tutti i principali nell' Account AWS con l'ID utente canonico elencato dispongono dell'autorizzazione per accedere alla risorsa.

  • Ruolo IAM: il ruolo IAM elencato dispone dell'autorizzazione per accedere alla risorsa.

  • Utente IAM: l'utente IAM elencato dispone dell'autorizzazione per accedere alla risorsa.

Condition

La condizione dell'istruzione della policy che concede l'accesso. Ad esempio, se il campo Condition (Condizione) include Source VPC (VPC di origine), significa che la risorsa viene condivisa con un'entità che ha accesso al VPC elencato. Le condizioni possono essere globali o specifiche del servizio. Le chiavi di condizione globali hanno il prefisso aws:.

Shared through (Condiviso tramite)

Il campo Shared through (Condiviso tramite) indica come viene concesso l'accesso che ha generato il risultato. I valori validi includono:

  • Policy del bucket: la policy del bucket collegata al bucket Amazon S3.

  • Lista di controllo accessi: la lista di controllo accessi (ACL) collegata al bucket Amazon S3.

  • Punto di accesso: un punto di accesso o un punto di accesso multi-regione associato al bucket Amazon S3. L'ARN dell'access point viene visualizzato nei dettagli dei risultati.

Livello di accesso

Livello di accesso concesso all'entità esterna dalle operazioni nella policy basata sulle risorse. Visualizza i dettagli del risultato per ulteriori informazioni. I valori del livello di accesso includono quanto segue:

  • Elenco: l'autorizzazione a elencare le risorse all'interno del servizio per determinare l'esistenza di un oggetto. Le operazioni con questo livello di accesso possono elencare gli oggetti, ma consentono di visualizzare i contenuti di una risorsa.

  • Lettura: l'autorizzazione a leggere ma non a modificare i contenuti e gli attributi delle risorse del servizio.

  • Scrittura: l'autorizzazione a creare, eliminare o modificare le risorse del servizio.

  • Autorizzazioni: l'autorizzazione a concedere o modificare le autorizzazioni a livello di risorsa nel servizio.

  • Aggiunta di tag: l'autorizzazione per eseguire operazioni che modificano solo lo stato dei tag delle risorse.

Restrizione della politica di controllo delle risorse (RCP)

L'impatto che una policy di controllo delle risorse (RCP) di Organizations ha sul risultato. I valori di limitazione della policy di controllo delle risorse sono:

  • Errore: si è verificato un errore durante la valutazione dell'RCP.

  • Non applicabile: nessuna RCP limita questa risorsa o il principale. Ciò include anche le risorse che non RCPs sono ancora supportate.

  • Applicabile: l'amministratore dell'organizzazione ha impostato delle limitazioni tramite una RCP che influiscono sulla risorsa o sul tipo di risorsa. Contatta l'amministratore dell'organizzazione per maggiori dettagli.

Ultimo aggiornamento

Un timestamp per l'aggiornamento più recente dello stato del risultato o l'ora e la data in cui il risultato è stato generato se non sono stati apportati aggiornamenti.

Nota

Dopo la modifica di una policy, perché Sistema di analisi degli accessi IAM possa analizzare la risorsa e aggiornare il risultato degli accessi esterni, potrebbero essere necessari fino a 30 minuti. Le modifiche a una policy di controllo delle risorse (RCP) non attivano una nuova scansione della risorsa segnalata nel risultato. In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva che avviene entro 24 ore.

Stato

Lo stato del risultato: Active (Attivo), Archived (Archiviato) o Resolved (Risolto).

Risultati degli accessi inutilizzati

Sistema di analisi degli accessi AWS IAM addebita i costi per l'analisi degli accessi inutilizzati in base al numero di ruoli e utenti IAM analizzati ogni mese. Per maggiori dettagli sui prezzi, consulta i prezzi di Sistema di analisi degli accessi AWS IAM.

Scegli Accesso inutilizzato, quindi seleziona l'analizzatore degli accessi inutilizzati dal menu a discesa Visualizza analizzatore. Nella pagina Risultati per gli analizzatori degli accessi inutilizzati vengono visualizzati i seguenti dettagli sull'entità IAM che ha generato il risultato:

ID risultato

L'ID univoco assegnato al risultato. Scegli l'ID risultato per visualizzare ulteriori dettagli sull'entità IAM che ha generato il risultato.

Tipo di risultato

Il tipo di risultato di accesso inutilizzato: chiave di accesso inutilizzata, password inutilizzata, autorizzazione inutilizzata o ruolo inutilizzato.

Entità IAM

L'entità IAM riportata nel risultato. Può trattarsi di un utente o di un ruolo IAM.

Account AWS ID

Questa colonna viene visualizzata solo se si imposta l'analizzatore per tutti gli Account AWS dell'organizzazione. Account AWS Nell'organizzazione proprietaria dell'entità IAM riportata nella scoperta.

Ultimo aggiornamento

L'ultima volta che l'entità IAM riportata nel risultato è stata aggiornata o, se non sono stati eseguiti aggiornamenti, quando l'entità è stata creata.

Stato

Lo stato del risultato (Attivo, Archiviato o Risolto).