Risultati di Sistema di analisi degli accessi IAM

IAM Access Analyzer genera risultati per l'accesso esterno, l'accesso interno e l'accesso non utilizzato all'interno dell'organizzazione Account AWS .

Per gli accessi esterni, Sistema di analisi degli accessi IAM genera un risultato per ogni istanza di una policy basata sulle risorse che concede l'accesso a una risorsa nella zona di attendibilità a un principale esterno a tale zona. Quando crei un analizzatore di accessi esterno, scegli un'organizzazione o Account AWS un'analisi. Qualsiasi entità principale nell'organizzazione o nell'account scelto per l'analizzatore viene considerata attendibile. Poiché le entità principali nella stessa organizzazione o account sono attendibili, le risorse e le entità principali all'interno dell'organizzazione o dell'account rappresentano la zona di attendibilità per l'analizzatore. Qualsiasi condivisione all'interno della zona di attendibilità è considerata sicura, quindi Sistema di analisi degli accessi IAM non genera alcun risultato. Ad esempio, se si seleziona un'organizzazione come zona di attendibilità per un analizzatore, tutte le risorse e le entità principali dell'organizzazione si trovano all'interno della zona di attendibilità. Se concedi le autorizzazioni per un bucket Amazon S3 in uno degli account membri dell'organizzazione a un principale in un altro account membro dell'organizzazione, Sistema di analisi degli accessi IAM non genera un risultato. Invece, se concedi l'autorizzazione a un principale in un account che non è membro dell'organizzazione, Sistema di analisi degli accessi IAM genera un risultato.

Per quanto riguarda l'accesso interno, IAM Access Analyzer genera risultati quando esiste un possibile percorso di accesso tra un ruolo o un utente IAM all'interno dell'organizzazione e le risorse specificate. Analogamente all'analisi degli accessi esterni, l'ambito scelto (organizzazione o account) determina ciò che viene considerato interno. Se si seleziona un'organizzazione come ambito, IAM Access Analyzer genererà risultati per i percorsi di accesso tra i responsabili e le risorse all'interno dell'organizzazione. Se si seleziona un account, verranno generati i risultati per i percorsi di accesso all'interno di quell'account specifico. IAM Access Analyzer utilizza il ragionamento automatico per valutare tutte le policy IAM e monitorare chi ha accesso alle tue risorse.

La combinazione di risultati di accesso esterni e interni con la stessa zona di fiducia fornisce un'analisi completa di tutti i possibili accessi a una particolare risorsa, sia dall'interno che dall'esterno del limite di fiducia definito.

Per gli accessi non utilizzati, IAM Access Analyzer genera i risultati degli accessi non utilizzati concessi all'organizzazione e agli account. AWS Quando crei un analizzatore di accessi inutilizzato, IAM Access Analyzer monitora continuamente tutti i ruoli e gli utenti IAM nell' AWS organizzazione e negli account e genera risultati per gli accessi non utilizzati. Sistema di analisi degli accessi IAM genera i seguenti tipi di risultati per gli accessi inutilizzati:

• Ruoli inutilizzati: ruoli senza attività di accesso all'interno della finestra di utilizzo specificata.

• Chiavi e password di accesso utente IAM non utilizzate: credenziali appartenenti a utenti IAM che non sono state utilizzate per accedere a te nella finestra di utilizzo specificata. Account AWS

• Autorizzazioni inutilizzate: autorizzazioni a livello di servizio e a livello di operazione che non sono state utilizzate da un ruolo all'interno della finestra di utilizzo specificata. Sistema di analisi degli accessi IAM utilizza policy basate sull'identità associate ai ruoli per determinare i servizi e le operazioni a cui tali ruoli possono accedere. Sistema di analisi degli accessi IAM supporta la revisione delle autorizzazioni inutilizzate per tutte le autorizzazioni a livello di servizio. Per un elenco completo delle autorizzazioni a livello di operazione supportate per i risultati di accesso inutilizzati, consulta Servizi e operazioni per le informazioni relative all'ultimo accesso a un'operazione IAM.

Nota

IAM Access Analyzer offre risultati di accesso esterno gratuiti. I risultati di accesso non utilizzati sono a pagamento in base al numero di ruoli e utenti IAM analizzati per analizzatore al mese. Sono previsti anche costi per i risultati degli accessi interni basati sul numero di AWS risorse monitorate mensilmente per analizzatore. Per maggiori dettagli sui prezzi, consulta i prezzi di Sistema di analisi degli accessi AWS IAM.

Argomenti

• Come funzionano i risultati di Sistema di analisi degli accessi IAM

• Nozioni di base su AWS Identity and Access Management Access Analyzer

• Visualizzare il pannello di controllo dei risultati di Sistema di analisi degli accessi IAM

• Rivedere i risultati di Sistema di analisi degli accessi

• Filtrare i risultati di Sistema di analisi degli accessi IAM

• Archiviare i risultati di Sistema di analisi degli accessi IAM

• Risolvere i risultati di Sistema di analisi degli accessi IAM

• Rilevamenti degli errori di IAM Access Analyzer

• Tipi di risorse supportati da IAM Access Analyzer per l'accesso esterno e interno

• Amministratore delegato per Sistema di analisi degli accessi IAM.

• Regole di archiviazione

• Monitoraggio AWS Identity and Access Management Access Analyzer con Amazon EventBridge

• Integrazione di Sistema di analisi degli accessi IAM con AWS Security Hub

• Registrazione delle chiamate API IAM Access Analyzer con AWS CloudTrail

• Chiavi di filtro di Sistema di analisi degli accessi IAM

• Utilizzo di ruoli collegati ai servizi per AWS Identity and Access Management Access Analyzer