Como as descobertas do IAM Access Analyzer funcionam
Este tópico descreve os conceitos e os termos usados no IAM Access Analyzer para ajudar você a se familiarizar com a maneira como o IAM Access Analyzer monitora o acesso aos seus recursos da AWS.
Descobertas de acessos externos
As descobertas de acesso externo são geradas somente uma vez para cada instância de um recurso compartilhado fora da sua zona de confiança. Sempre que uma política baseada em recursos é modificada, o IAM Access Analyzer analisa a política. Se a política atualizada compartilhar um recurso já identificado em uma descoberta, mas com permissões ou condições diferentes, será gerada outra descoberta para essa instância do compartilhamento de recursos. Se o acesso na primeira descoberta for removido, essa descoberta será atualizada para um status de Resolvida.
O status de todas as descobertas permanece como Ativa até que sejam arquivadas ou até que o acesso que gerou a descoberta seja removido. Ao remover o acesso, o status da descoberta é atualizado para Resolvida.
nota
Pode levar até 30 minutos depois que uma política é modificada para que o IAM Access Analyzer analise o recurso e atualize a descoberta de acesso externo.
Como o IAM Access Analyzer gera descobertas para acessos externos
O AWS Identity and Access Management Access Analyzer usa uma tecnologia chamada Zelkova
O Zelkova converte políticas do IAM em declarações lógicas equivalentes e as executa por meio de um conjunto de solucionadores lógicos especializados e de uso geral (teorias do módulo da satisfatibilidade). O IAM Access Analyzer aplica o Zelkova repetidamente a uma política, usando consultas cada vez mais específicas para caracterizar os tipos de acesso que a política permite com base em seu conteúdo. Para obter mais informações sobre as teorias do módulo da satisfatibilidade, consulte Satisfiability Modulo Theories
Para analisadores de acessos externos, o IAM Access Analyzer não examina os logs de acesso para determinar se uma entidade externa realmente acessou um recurso dentro da sua zona de confiança. Em vez disso, ele gera uma descoberta quando uma política baseada em recursos permite o acesso a um recurso, independentemente de o recurso ter sido acessado pela entidade externa.
Além disso, o IAM Access Analyzer não considera o estado de nenhuma conta externa ao fazer suas determinações. Se ele indicar que a conta 111122223333 pode acessar o seu bucket do Amazon S3, ele não terá nenhuma informação sobre os usuários, funções, políticas de controle de serviços (SCP) ou outras configurações relevantes nessa conta. Isso é para a privacidade do cliente, pois o IAM Access Analyzer não sabe quem é o proprietário da outra conta. Isso também é para fins de segurança, pois é importante conhecer o possível acesso externo, mesmo que atualmente não haja entidades principais ativas que possam usá-lo.
O IAM Access Analyzer considera apenas determinadas chaves de condição do IAM que os usuários externos não podem influenciar diretamente ou que, de outra forma, têm impacto na autorização. Para obter exemplos de chaves de condição que o IAM Access Analyzer considera, consulte Chaves de filtro do IAM Access Analyzer.
Atualmente, o IAM Access Analyzer não relata descobertas de entidades principais de AWS service (Serviço da AWS) ou contas de serviço interno. Nos raros casos em que não é possível determinar totalmente se uma declaração de política concede acesso a uma entidade externa, ele erra ao declarar uma descoberta falso positiva. Isso ocorre porque o IAM Access Analyzer foi projetado para fornecer uma visão abrangente do compartilhamento de recursos em sua conta e para minimizar os falsos negativos.
Descobertas de acessos não utilizados
As descobertas de acessos não utilizados são geradas para entidades do IAM na conta ou organização selecionada com base no número de dias especificado durante a criação do analisador. Uma nova descoberta será gerada na próxima vez que o analisador examinar as entidades se uma das seguintes condições for atendida:
-
Uma função fica inativa durante o número especificado de dias.
-
Uma permissão não utilizada, uma senha de usuário não utilizada ou uma chave de acesso de usuário não utilizada ultrapassam o número especificado de dias.
nota
As descobertas de acesso não utilizadas só estão disponíveis usando a ação da API ListFindingsV2.
Como o IAM Access Analyzer gera descobertas para acessos não utilizados
Para analisar o acesso não utilizado, você deve criar um analisador separado para descobertas de acessos não utilizados para seus perfis, mesmo que já tenha criado um analisador para gerar descobertas de acessos externos para seus recursos.
Depois de criar o analisador de acessos não utilizados, o IAM Access Analyzer revisa a atividade de acesso para identificar acessos não utilizados. O IAM Access Analyzer examina as últimas informações acessadas para todos os perfis, chaves de acesso e senhas de usuário em toda a organização e em todas as suas contas da AWS. Isso ajuda você a identificar o acesso não utilizado.
Para perfis e usuários ativos do IAM, o IAM Access Analyzer usa as últimas informações acessadas para serviços e ações do IAM para identificar permissões não utilizadas. Isso permite que você escale seu processo de revisão para todas as organizações e contas da AWS. Também é possível usar as informações do último acesso da ação para realizar uma investigação mais profunda dos perfis individuais. Isso fornece informações mais granulares sobre quais permissões específicas não estão sendo utilizadas.
Ao criar um analisador dedicado ao acesso não utilizado, você pode analisar e identificar de forma abrangente o acesso não utilizado em seu ambiente da AWS, complementando as descobertas geradas pelo seu analisador de acesso externo existente.
