Analisi delle policy IAM - AWS Key Management Service
Analisi delle policy IAM con il simulatore di policy IAMAnalisi delle policy IAM con l'API IAM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Analisi delle policy IAM

Oltre alla policy delle chiavi e alle concessioni, puoi anche utilizzare le policy IAM per consentire l'accesso a una chiave KMS. Per ulteriori informazioni sull'utilizzo congiunto delle policy IAM e delle policy chiave, consulta Risoluzione dei problemi di accesso alla chiave.

Per determinare quali principali hanno attualmente accesso a una chiave KMS tramite le policy IAM, puoi utilizzare lo strumento Simulatore di policy IAM basato su browser o puoi effettuare richieste all'API IAM.

Analisi delle policy IAM con il simulatore di policy IAM

Il simulatore di policy IAM può aiutarti a scoprire i principali che possono accedere a una chiave KMS tramite una policy IAM.

Per utilizzare il simulatore di policy IAM per determinare l'accesso a una chiave KMS

  1. Accedere alla AWS Management Console, quindi aprire il simulatore di policy IAM all'indirizzo https://policysim.aws.amazon.com/.

  2. Nel riquadro Users, Groups, and Roles (Utenti, gruppi e ruoli), scegliere l'utente, il gruppo o il ruolo del quale si intende simulare le policy.

  3. (Opzionale) Deseleziona la casella di controllo accanto a qualsiasi policy che desideri omettere dalla simulazione. Per simulare tutte le policy, lascia tutte le policy selezionate.

  4. Nel riquadro Policy Simulator (Simulatore di policy), seguire la procedura riportata di seguito:

    1. Per Select service (Seleziona servizio), scegliere Key Management Service.

    2. Per simulare delle specifiche operazioni AWS KMS per Select actions (Seleziona operazioni), scegliere le operazioni da simulare. Per simulare tutte le operazioni AWS KMS, scegliere Select All (Seleziona tutto).

  5. (Opzionale) Il simulatore di policy simula l'accesso a tutte le chiavi KMS per impostazione predefinita. Per simulare l'accesso a una determinata chiave KMS, scegli Impostazioni di simulazione, quindi digita l'Amazon Resource Name (ARN) della chiave KMS da simulare.

  6. Scegliere Run Simulation (Esegui simulazione).

È possibile visualizzare i risultati della simulazione nella sezione Results (Risultati). Ripeti le fasi da 2 a 6 per ogni utente, gruppo e ruolo nell'Account AWS.

Analisi delle policy IAM con l'API IAM

È possibile utilizzare l'API IAM per esaminare le policy IAM a livello di codice. Le seguenti fasi forniscono una panoramica generale su come eseguire questa operazione:

  1. Per ogni account Account AWS elencato come principale nella policy chiave (ovvero, ogni AWSaccount principal specificato in questo formato:"Principal": {"AWS": "arn:aws:iam::111122223333:root"}), utilizza ListRolesle operazioni ListUsersand nell'API IAM per inserire tutti gli utenti e i ruoli nell'account.

  2. Per ogni utente e ruolo nell'elenco, utilizza l'SimulatePrincipalPolicyoperazione nell'API IAM, passando i seguenti parametri:

    • Per PolicySourceArnspecificare il nome ARN (Amazon Resource Name) di un utente o un ruolo dal tuo elenco. Puoi specificare un solo PolicySourceArn per ogni richiesta SimulatePrincipalPolicy, pertanto è necessario chiamare questa operazione più volte, una volta per ogni utente e ruolo nell'elenco.

    • Per l'elenco ActionNames, specificare ogni operazione API AWS KMS da simulare. Per simulare tutte le operazioni API AWS KMS utilizzare kms:*. Per testare singole operazioni API AWS KMS, precedere ciascuna operazione API da "kms:", ad esempio, "kms:ListKeys". Per un elenco completo delle operazioni API AWS KMS, consulta Azioni nella Documentazione di riferimento dell'API AWS Key Management Service.

    • (Opzionale) Per determinare se gli utenti o i ruoli possono accedere a KMS specifiche, utilizza il parametro ResourceArns per specificare un elenco di nomi delle risorse Amazon (ARN) delle chiavi KMS. Per determinare se gli utenti o i ruoli possono accedere a una chiave KMS, ometti il parametro ResourceArns.

IAM risponde a ogni richiesta SimulatePrincipalPolicy con una valutazione: allowed, explicitDeny o implicitDeny. Per ogni tipo di risposta che contiene una valutazione allowed, la risposta include il nome dell'operazione API AWS KMS specifica consentita Eventualmente, include l'ARN della chiave KMS usata nella valutazione.