Revisar descobertas - AWS Identity and Access Management

Revisar descobertas

Depois de habilitar o Access Analyzer, a próxima etapa é revisar todas as descobertas para determinar se o acesso identificado na descoberta é intencional ou não. Também é possível revisar as descobertas a fim de determinar descobertas comuns para o acesso pretendido e criar uma regra de arquivamento para arquivar essas descobertas automaticamente. Também é possível revisar descobertas resolvidas e arquivadas.

Como revisar descobertas

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Selecione Access analyzer (Analisador de acesso).

nota

As descobertas serão exibidas somente se você tiver permissão para visualizá-las para o analisador.

Todas as descobertas com status Active (Ativa) são exibidas para o analisador. Para visualizar outras descobertas geradas pelo analisador, selecione a guia apropriada:

  • Selecione Active (Ativa) para visualizar todas as descobertas ativas geradas pelo analisador.

  • Selecione Archived (Arquivada) para visualizar somente as descobertas geradas pelo analisador que foram arquivadas. Para saber mais, consulte Arquivar descobertas.

  • Selecione Resolved (Resolvida) para visualizar somente descobertas geradas pelo analisador que foram resolvidas. Ao corrigir o problema que gerou a descoberta, o status da descoberta é alterado para Resolved (Resolvida).

    Importante

    As descobertas resolvidas são excluídas 90 dias após a última atualização da descoberta. As descobertas ativas e arquivadas não são excluídas, a menos que você exclua o analisador que as gerou.

  • Selecione All (Tudo) para visualizar todas as descobertas com qualquer status gerado pelo analisador.

A página Findings (Descobertas) exibe os seguintes detalhes sobre o recurso compartilhado e a instrução de política que gerou a descoberta:

ID da descoberta

O ID exclusivo atribuído à descoberta. Selecione o ID da descoberta para exibir detalhes adicionais sobre o recurso e sobre a instrução de política que gerou a descoberta.

Recurso

O tipo e o nome parcial do recurso com uma política aplicada a ele que concede acesso a uma entidade externa que não está na sua zona de confiança.

Resource owner account (Conta de proprietário do recurso)

Essa coluna será exibida somente se você estiver usando uma organização como zona de confiança. A conta na organização que possui o recurso relatado na descoberta.

External principal (Principal externo)

O principal, que não está dentro da sua zona de confiança, ao qual a política analisada concede acesso. Os valores válidos são:

  • AWS account (Conta da AWS): todas as entidades na conta da AWS listada com permissões do administrador dessa conta podem acessar o recurso.

  • Any principal (Qualquer entidade): todas as entidades principais em qualquer conta da AWS que atenda às condições incluídas na coluna Conditions (Condições) têm permissão para acessar o recurso. Por exemplo, se uma VPC estiver listada, isso significa que qualquer entidade principal em qualquer conta com permissão para acessar a VPC listada pode acessar o recurso.

  • Canonical user (Usuário canônico): todas as entidades principais na conta da AWS com o ID de usuário canônico listado têm permissão para acessar o recurso.

  • IAM role (Função do IAM): a função do IAM listada tem permissão para acessar o recurso.

  • IAM user (Usuário do IAM) o usuário do IAM listado tem permissão para acessar o recurso.

Condição

A condição da instrução de política que concede o acesso. Por exemplo, se o campo Condition (Condição) incluir Source VPC (VPC de origem), isso significa que o recurso é compartilhado com um principal que tem acesso à VPC listada. As condições podem ser globais ou específicas do serviço. As chaves de condição globais têm o prefixo aws:.

Shared through (Compartilhado por)

O campo Shared through (Compartilhado por) indica como o acesso que gerou a descoberta é concedido. Os valores válidos são:

  • Bucket policy (Política de bucket): a política do bucket anexada ao bucket do Amazon S3.

  • Access control list (Lista de controle de acesso): a lista de controle de acesso (ACL) que está anexada ao bucket do Amazon S3.

  • Access point (Ponto de acesso): um ponto de acesso ou ponto de acesso multirregiões associado ao bucket do Amazon S3. O ARN do ponto de acesso é exibido nos detalhes de Findings (Descobertas).

Nível de acesso

O nível de acesso concedido à entidade externa pelas ações da política baseada em recursos. Visualize os detalhes da descoberta para obter mais informações. Os valores do nível de acesso incluem o seguinte:

  • List (Listar): permissão para listar recursos dentro do serviço a fim de determinar se um objeto existe. Ações com esse nível de acesso podem listar objetos, mas não podem ver os conteúdos de um recurso.

  • Read (Ler): permissão para ler, mas não para editar os conteúdos e os atributos de recursos no serviço.

  • Write (Gravar): permissão para criar, excluir ou modificar recursos no serviço.

  • Permissions (Permissões): permissão para conceder ou modificar permissões de recursos no serviço.

  • Tagging (Marcar): permissão para executar ações que apenas alteram o estado de tags do recurso.

Atualizado

Um carimbo de data/hora para a atualização mais recente no status da descoberta, ou a hora e a data em que a descoberta foi gerada se nenhuma atualização tiver sido feita.

nota

Pode levar até 30 minutos depois que uma política é modificada para que o Access Analyzer analise novamente o recurso e atualize a descoberta.

Status

O status da descoberta, que pode ser Active (Ativa), Archived (Arquivada) ou Resolved (Resolvida).