Usando AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer offre le seguenti funzionalità:

• Gli analizzatori degli accessi esterni di Sistema di analisi degli accessi AWS IAM consente di identificare le risorse nell'organizzazione e negli account che sono condivise con un'entità esterna.

• Gli analizzatori di accessi inutilizzati di Sistema di analisi degli accessi AWS IAM aiutano a identificare gli accessi inutilizzati nell'organizzazione e negli account.

• IAM Access Analyzer convalida le policy IAM in base alla grammatica e AWS alle best practice delle policy.

• I controlli delle policy personalizzati di Sistema di analisi degli accessi AWS IAM a convalidare le policy IAM rispetto agli standard di sicurezza specificati.

• IAM Access Analyzer genera policy IAM basate sull'attività di accesso nei log. AWS CloudTrail

Identificazione delle risorse condivise con un'entità esterna

Sistema di analisi degli accessi AWS IAM consente di identificare le risorse nell'organizzazione e negli account, ad esempio bucket Amazon S3 o ruoli IAM, condivise con un'entità esterna. In questo modo puoi identificare l'accesso non intenzionale alle risorse e ai dati, che rappresenta un rischio per la sicurezza. IAM Access Analyzer identifica le risorse condivise con responsabili esterni utilizzando il ragionamento basato sulla logica per analizzare le politiche basate sulle risorse nel tuo ambiente. AWS Per ogni istanza di una risorsa condivisa al di fuori dell'account, Sistema di analisi degli accessi AWS IAM genera un risultato. I risultati comprendono informazioni sull'accesso e sull'entità esterna a cui è concesso. Puoi rivedere i risultati per determinare se l'accesso è intenzionale e sicuro o se è involontario e rappresenta un rischio per la sicurezza. Oltre a facilitare l'identificazione delle risorse condivise con un'entità esterna, puoi utilizzare i risultati di Sistema di analisi degli accessi AWS IAM per visualizzare in anteprima il modo in cui le policy influiscono sull'accesso multi-account e pubblico sulla risorsa prima di implementare le autorizzazioni delle risorse. I risultati sono organizzati in una dashboard visiva riassuntiva. La dashboard evidenzia la suddivisione tra risultati relativi all'accesso multi-account e pubblico e differenzia i risultati per tipo di risorsa. Per ulteriori informazioni sulle dashboard, consulta Visualizzazione della dashboard dei risultati di Sistema di analisi degli accessi AWS IAM.

Nota

Un'entità esterna può essere un altro AWS account, un utente root, un utente o ruolo IAM, un utente federato, un utente anonimo o un'altra entità che puoi utilizzare per creare un filtro. For more information, see Elementi della policy JSON di AWS : entità principale.

Quando abiliti Sistema di analisi degli accessi AWS IAM, crei un analizzatore per l'intera organizzazione o per il tuo account. L'organizzazione o l'account scelto è noto come zona di attendibilità per l'analizzatore. L'analizzatore monitora tutte le risorse supportate all'interno della zona di attendibilità. È considerato attendibile qualsiasi accesso alle risorse da parte delle entità principali che si trovano all'interno della zona di attendibilità. Una volta abilitato, Sistema di analisi degli accessi AWS IAM analizza le policy applicate a tutte le risorse supportate nella zona di attendibilità. Dopo la prima analisi, Sistema di analisi degli accessi AWS IAM analizza queste policy periodicamente. Se aggiungi una nuova policy o ne modifichi una esistente, Sistema di analisi degli accessi AWS IAM analizza la policy nuova o aggiornata entro circa 30 minuti.

Durante l'analisi delle policy, se Sistema di analisi degli accessi AWS IAM ne identifica una che concede l'accesso a un principale esterno che non rientra nella zona di attendibilità, viene generato un risultato. Ogni risultato include i dettagli sulla risorsa, sull'entità esterna che ha accesso e sulle autorizzazioni concesse in modo da poter intraprendere le azioni appropriate. Puoi visualizzare i dettagli inclusi nel risultato per determinare se l'accesso alla risorsa è intenzionale o un potenziale rischio da risolvere. Quando aggiungi una policy a una risorsa o aggiorni una policy esistente, per prima cosa Sistema di analisi degli accessi AWS IAM la analizza. Sistema di analisi degli accessi AWS IAM inoltre analizza periodicamente tutte le policy basate sulle risorse.

In rare occasioni, in determinate condizioni, IAM Access Analyzer non riceve la notifica di una policy aggiunta o aggiornata, il che può causare ritardi nella generazione dei risultati. IAM Access Analyzer può impiegare fino a 6 ore per generare o risolvere i risultati se crei o elimini un punto di accesso multiregionale associato a un bucket Amazon S3 o aggiorni la policy per il punto di accesso multiregionale. Inoltre, se si verifica un problema di consegna con la consegna dei AWS CloudTrail log, la modifica della politica non comporta una nuova scansione della risorsa riportata nel risultato. In questo caso, Sistema di analisi degli accessi AWS IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva, che avviene entro 24 ore. Se desideri confermare che una modifica apportata a una policy risolve un problema di accesso segnalato in un risultato, puoi eseguire nuovamente la scansione della risorsa segnalata in un risultato utilizzando il collegamento Rescan (Nuova scansione) nella pagina dei dettagli Findings (Risultati) o utilizzando l'operazione StartResourceScan dell'API di Sistema di analisi degli accessi AWS IAM. Per ulteriori informazioni, consulta Risoluzione dei risultati.

Importante

IAM Access Analyzer analizza solo le politiche applicate alle risorse nella stessa AWS regione in cui è abilitato. Per monitorare tutte le risorse del tuo AWS ambiente, devi creare un analizzatore per abilitare IAM Access Analyzer in ogni regione in cui utilizzi risorse supportate. AWS

Sistema di analisi degli accessi AWS IAM analizza i seguenti tipi di risorse:

• Bucket Amazon Simple Storage Service

• Bucket di directory di Amazon Simple Storage Service

• AWS Identity and Access Management ruoli

• AWS Key Management Service chiavi

• AWS Lambda funzioni e livelli

• Code Amazon Simple Queue Service

• AWS Secrets Manager segreti

• Argomenti su Amazon Simple Notification Service

• Volumi e snapshot di Amazon Elastic Block Store

• Amazon Relational Database Service

• Snapshot di cluster di database di Amazon Relational Database Service

• Repository di Amazon Elastic Container Registry

• File system di Amazon Elastic File System

• Flussi Amazon DynamoDB

• Tabelle Amazon DynamoDB

Identificazione dell'accesso inutilizzato concesso a utenti e ruoli IAM

IAM Access Analyzer ti aiuta a identificare e rivedere gli accessi non utilizzati nella tua organizzazione e nei tuoi AWS account. Sistema di analisi degli accessi AWS IAM monitora continuamente tutti i ruoli e gli utenti IAM dell'organizzazione e degli account AWS e genera risultati per gli accessi inutilizzati. I risultati evidenziano ruoli inutilizzati, chiavi di accesso inutilizzate per gli utenti IAM e password inutilizzate per gli utenti IAM. Per i ruoli e gli utenti IAM attivi, i risultati forniscono visibilità su servizi e operazioni inutilizzati.

I risultati relativi agli analizzatori degli accessi esterni e di quelli inutilizzati sono organizzati in una dashboard visiva riassuntiva. La dashboard evidenzia i risultati Account AWS che hanno ottenuto il maggior numero di risultati e fornisce una suddivisione dei risultati per tipo. Per ulteriori informazioni sulle pagine del pannello di controllo, consulta Visualizzazione della dashboard dei risultati di Sistema di analisi degli accessi AWS IAM.

IAM Access Analyzer esamina le ultime informazioni a cui si accede per tutti i ruoli AWS dell'organizzazione e gli account per aiutarti a identificare gli accessi non utilizzati. Le ultime informazioni a cui si è effettuato l'accesso per le operazioni IAM aiutano a identificare le azioni inutilizzate per i ruoli all'interno degli Account AWS. Per ulteriori informazioni, consulta Perfezionamento delle autorizzazioni per AWS l'utilizzo delle informazioni dell'ultimo accesso.

Convalida delle policy rispetto alle best practices AWS

È possibile convalidare le policy in rapporto alla sintassi della policy IAM e alle best practice AWS utilizzando i controlli delle policy di base forniti dalla convalida delle policy di Sistema di analisi degli accessi AWS IAM. Puoi creare o modificare una policy utilizzando l' AWS API o AWS CLI l'editor di policy JSON nella console IAM. È possibile visualizzare i risultati del controllo della convalida delle policy che includono avvisi di sicurezza, errori, avvisi generali e suggerimenti per la policy. Questi risultati forniscono consigli pratici che ti aiutano a creare policy funzionali e conformi alle migliori pratiche. AWS Per ulteriori informazioni sulla convalida delle policy tramite l'apposito procedimento, consulta Convalida delle policy di Sistema di analisi degli accessi AWS IAM.

Convalida delle policy rispetto agli standard di sicurezza specificati

È possibile convalidare le policy rispetto agli standard di sicurezza specificati utilizzando i controlli delle policy personalizzati di Sistema di analisi degli accessi AWS IAM. Puoi creare o modificare una policy utilizzando l' AWS API o AWS CLI l'editor di policy JSON nella console IAM. Tramite la console, puoi verificare se la policy aggiornata concede un nuovo accesso rispetto alla versione esistente. AWS CLI Tramite un' AWS API, puoi anche verificare che azioni IAM specifiche che ritieni critiche non siano consentite da una policy. Questi controlli evidenziano un'istruzione di policy che concede nuovi accessi. È possibile aggiornare l'istruzione di policy ed eseguire nuovamente i controlli finché la policy non sarà conforme allo standard di sicurezza. Per ulteriori informazioni sulla convalida delle policy tramite i controlli delle policy personalizzati, consulta Controlli delle policy personalizzati di Sistema di analisi degli accessi AWS IAM.

Generazione delle policy

IAM Access Analyzer analizza AWS CloudTrail i log per identificare le azioni e i servizi che sono stati utilizzati da un'entità IAM (utente o ruolo) entro l'intervallo di date specificato. Viene quindi generata una policy IAM basata su tale attività di accesso. È possibile utilizzare la policy generata per perfezionare le autorizzazioni di un'entità collegandola a un utente o ruolo IAM. Per ulteriori informazioni sulla generazione di policy tramite Sistema di analisi degli accessi AWS IAM, consulta Generazione di policy per Sistema di analisi degli accessi AWS IAM.

Prezzi per Sistema di analisi degli accessi AWS IAM

Sistema di analisi degli accessi AWS IAM addebita i costi per l'analisi degli accessi inutilizzati in base al numero di ruoli e utenti IAM analizzati ogni mese da ogni analizzatore.

• Verrà addebitato il rispettivo costo per ogni analizzatore degli accessi creato.

• La creazione di analizzatori degli accessi inutilizzati in più regioni comporterà un addebito per ogni analizzatore.

• I ruoli collegati a servizi non vengono analizzati per attività di accesso non utilizzate e non sono inclusi nel numero totale di ruoli IAM analizzati.

Sistema di analisi degli accessi AWS IAM addebita i costi per i controlli delle policy personalizzati in base al numero di richieste API ricevute per verificare la presenza di nuovi accessi.

Per un elenco completo delle tariffe e dei prezzi specifici per Sistema di analisi degli accessi AWS IAM, consulta la pagina dedicata.

Per vedere la tua fattura, vai sul Pannello di controllo di gestione dei costi e della fatturazione nella console AWS Billing and Cost Management. La fattura contiene collegamenti per passare ai report di utilizzo, che consentono di visualizzare i dettagli della fattura. Per ulteriori informazioni sulla Account AWS fatturazione, consulta la Guida per l'utente AWS Billing

Se hai domande sulla AWS fatturazione, sugli account e sugli eventi, contatta. AWS Support