Como o Access Analyzer funciona - AWS Identity and Access Management

Como o Access Analyzer funciona

Este tópico descreve os conceitos e os termos usados no Access Analyzer para ajudar você a se familiarizar com a maneira como o Access Analyzer monitora o acesso aos seus recursos da AWS.

O AWS IAM Access Analyzer foi desenvolvido com base no Zelkova, que converte políticas do IAM em instruções lógicas equivalentes e executa um conjunto de solucionadores lógicos especializados e de uso geral (teorias do módulo da satisfatibilidade) com relação ao problema. O Access Analyzer aplica o Zelkova repetidamente a uma política com consultas cada vez mais específicas para caracterizar classes de comportamentos que a política permite, com base no conteúdo da política. Para saber mais sobre as teorias do módulo da satisfatibilidade, consulte Satisfiability Modulo Theories.

O Access Analyzer não examina os logs de acesso para determinar se uma entidade externa acessou um recurso dentro da zona de confiança. Ele gera uma descoberta quando uma política baseada em recursos permite o acesso a um recurso, mesmo que o recurso não tenha sido acessado pela entidade externa. O Access Analyzer também não considera o estado de quaisquer contas externas ao fazer sua determinação. Ou seja, se ele indicar que a conta 11112222333 pode acessar seu bucket do S3, ele não sabe nada sobre o estado dos usuários, sobre as funções, sobre as Políticas de controle de serviço (SCP) nem sobre outras configurações relevantes dessa conta. Isto é para a privacidade do cliente, o Access Analyzer não considera quem é o proprietário da outra conta. Isso também é para segurança, se a conta não for de propriedade do cliente do Access Analyzer, ainda será importante saber que uma entidade externa poderá obter acesso aos seus recursos, mesmo que, no momento, não haja entidades principais na conta que possam acessar os recursos.

O Access Analyzer considera apenas determinadas chaves de condição do IAM que os usuários externos não podem influenciar diretamente ou que, de outra forma, causariam impacto na autorização. Para obter exemplos de chaves de condição que o Access Analyzer considera, consulte Acessar chaves de filtro do Analyzer.

No momento, o Access Analyzer não relata descobertas de entidades principais de serviço da AWS ou de contas de serviço internas. Em casos raros em que o Access Analyzer não é capaz de determinar completamente se uma instrução de política concede acesso a uma entidade externa, ele erra ao declarar uma descoberta falsa positiva. O Access Analyzer foi projetado para fornecer uma visão abrangente do compartilhamento de recursos na conta e faz o possível para minimizar a ocorrência de falsos negativos.