Funcionamento das descobertas do IAM Access Analyzer

Este tópico descreve os conceitos e os termos usados no IAM Access Analyzer para ajudar você a se familiarizar com a maneira como o IAM Access Analyzer monitora o acesso aos seus recursos da AWS.

O AWS Identity and Access Management Access Analyzer foi desenvolvido com base no Zelkova, que converte políticas do IAM em instruções lógicas equivalentes e executa um conjunto de solucionadores lógicos especializados e de uso geral (teorias do módulo da satisfatibilidade) em relação ao problema. O IAM Access Analyzer aplica o Zelkova repetidamente a uma política com consultas cada vez mais específicas para caracterizar classes de comportamentos que a política permite, com base no conteúdo da política. Para saber mais sobre as teorias do módulo da satisfatibilidade, consulte Satisfiability Modulo Theories.

O IAM Access Analyzer não examina os logs de acesso para determinar se uma entidade externa acessou um recurso dentro da zona de confiança. Ele gera uma descoberta quando uma política baseada em recursos permite o acesso a um recurso, mesmo que o recurso não tenha sido acessado pela entidade externa. O IAM Access Analyzer também não considera o estado de quaisquer contas externas ao fazer sua determinação. Ou seja, se ele indicar que a conta 11112222333 pode acessar seu bucket do S3, ele não sabe nada sobre o estado dos usuários, sobre as funções, sobre as Políticas de controle de serviço (SCP) nem sobre outras configurações relevantes dessa conta. Isto é para a privacidade do cliente, o IAM Access Analyzer não considera quem é o proprietário da outra conta. Isso também é para segurança, se a conta não for de propriedade do cliente do IAM Access Analyzer, ainda será importante saber que uma entidade externa poderá obter acesso aos seus recursos, mesmo que, no momento, não haja entidades principais na conta que possam acessar os recursos.

O IAM Access Analyzer considera apenas determinadas chaves de condição do IAM que os usuários externos não podem influenciar diretamente ou que, de outra forma, causariam impacto na autorização. Para obter exemplos de chaves de condição que o IAM Access Analyzer considera, consulte Acessar chaves de filtro do Analyzer.

No momento, o IAM Access Analyzer não relata descobertas de entidades principais de serviço da AWS ou de contas de serviço internas. Em casos raros em que o IAM Access Analyzer não é capaz de determinar completamente se uma instrução de política concede acesso a uma entidade externa, ele erra ao declarar uma descoberta falsa positiva. O IAM Access Analyzer foi projetado para fornecer uma visão abrangente do compartilhamento de recursos na conta e faz o possível para minimizar a ocorrência de falsos negativos.