Conceitos básicos do AWS IAM Access Analyzer - AWS Identity and Access Management

Conceitos básicos do AWS IAM Access Analyzer

Use as informações deste tópico para saber mais sobre os requisitos necessários para usar e gerenciar o AWS IAM Access Analyzer, além de como habilitar o Access Analyzer. Para saber mais sobre a função vinculada ao serviço para o Access Analyzer, consulte Usar funções vinculadas ao serviço do AWS IAM Access Analyzer.

Permissões necessárias para usar o Access Analyzer

Para configurar e usar o Access Analyzer com êxito, a conta usada deve receber as permissões necessárias.

Políticas gerenciadas pela AWS para o Access Analyzer

O AWS IAM Access Analyzer fornece políticas gerenciadas pela AWS para ajudar você a começar rapidamente.

  • IAMAccessAnalyzerFullAccess: permite acesso total dos administradores ao Access Analyzer. Esta política também permite criar as funções vinculadas ao serviço que são necessárias para permitir que o Access Analyzer analise recursos em sua conta ou organização da AWS.

  • IAMAccessAnalyzerReadOnlyAccess: permite acesso somente leitura ao Access Analyzer. Você deve adicionar políticas adicionais às suas identidades do IAM (usuários, grupos de usuários ou funções) para permitir que elas visualizem suas descobertas.

Recursos definidos pelo AWS IAM Access Analyzer

Para visualizar os recursos definidos pelo Access Analyzer, consulte Tipos de recursos definidos pelo AWS IAM Access Analyzer na Referência de autorização do serviço.

Permissões necessárias do serviço Access Analyzer

O Access Analyzer usa uma função vinculada ao serviço chamada AWSServiceRoleForAccessAnalyzer para conceder ao serviço acesso somente leitura a fim de analisar recursos da AWS com políticas baseadas em recursos em seu nome. Quando você cria um analisador com sua conta como zona de confiança, o serviço cria a função na conta. Para mais informações, consulte Usar funções vinculadas ao serviço do AWS IAM Access Analyzer.

nota

O Access Analyzer é regional. É necessário habilitar o Access Analyzer em cada região de maneira independente.

Em alguns casos, depois de habilitar o Access Analyzer, a página Findings (Descobertas) será carregada sem descobertas. Isso pode ocorrer devido a um atraso no console para preencher as descobertas. É necessário atualizar manualmente o navegador para visualizar as descobertas. Se ainda não for exibida nenhuma descoberta, é porque você não tem recursos compatíveis na conta que possam ser acessados por uma entidade externa. Se uma política que concede acesso a uma entidade externa for aplicada a um recurso, o Access Analyzer gerará uma descoberta.

nota

Pode levar até 30 minutos depois que uma política é modificada para que o Access Analyzer analise o recurso e gere outra descoberta ou atualize uma descoberta existente para o acesso ao recurso.

Habilitar o Access Analyzer

Para habilitar o Access Analyzer em uma região, é necessário criar uma analisador nessa região. É necessário criar um analisador em cada região onde deseja monitorar o acesso aos recursos.

Como criar um analisador com a conta como zona de confiança

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Selecione Access analyzer (Analisador de acesso).

  3. Selecione Create analyzer (Criar analisador).

  4. Na página Create analyzer (Criar analisador), verifique se a região exibida é a região onde deseja habilitar o Access Analyzer.

  5. Insira um nome para o analisador.

  6. Escolha a conta como a zona de confiança para o analisador.

    nota

    Se sua conta não for a conta de gerenciamento do AWS Organizations ou uma conta de administrador substituto, você pode criar apenas um analisador com sua conta como a zona de confiança.

  7. Opcional. Adicione as tags que deseja aplicar ao analisador.

  8. Selecione Create Analyzer (Criar analisador).

Ao criar um analisador para habilitar o Access Analyzer, uma função vinculada ao serviço chamada AWSServiceRoleForAccessAnalyzer será criada em sua conta.

Como criar um analisador com a organização como zona de confiança

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Selecione Access analyzer (Analisador de acesso).

  3. Selecione Create analyzer (Criar analisador).

  4. Na página Create analyzer (Criar analisador), verifique se a região exibida é a região onde deseja habilitar o Access Analyzer.

  5. Insira um nome para o analisador.

  6. Escolha sua organização como a zona de confiança para o analisador.

  7. Opcional. Adicione as tags que deseja aplicar ao analisador.

  8. Selecione Create Analyzer (Criar analisador).

Quando você cria um analisador com a organização como a zona de confiança, uma função vinculada ao serviço chamada AWSServiceRoleForAccessAnalyzer é criada em cada conta da organização.

Status do Access Analyzer

Para visualizar o status dos analisadores, selecione Analyzers (Analisadores). Os analisadores criados para uma organização ou uma conta podem ter os seguintes status:

Status Descrição

Ativo

O analisador está monitorando ativamente os recursos dentro de sua zona de confiança. O analisador gera ativamente novas descobertas e atualiza as descobertas existentes.

Creating (Criando)

A criação do analisador ainda está em andamento. O analisador fica ativo quando a criação é concluída.

Desabilitado

O analisador é desabilitado devido a uma ação executada pelo administrador do AWS Organizations. Por exemplo, remover a conta do analisador como administrador substituto do Access Analyzer. Quando o analisador está em um estado desabilitado, ele não gera novas descobertas nem atualiza as descobertas existentes.

Reprovada

A criação do analisador falhou devido a um problema de configuração. O analisador não gerará nenhuma descoberta. Exclua o analisador e crie outro analisador.

Cotas do Access Analyzer

O Access Analyzer tem as seguintes cotas:

Recurso Cota padrão Cota máxima

O máximo de analisadores na zona de confiança de uma conta

1

1

Máximo de analisadores com uma zona de confiança da organização

5

20¹

O máximo de regras de arquivamento por analisador

100

Cada regra de arquivamento pode ter até 20 valores por critério.

1.000¹

Número máximo de pré-visualizações de acesso por analisador por hora

1.000

1.000

Arquivos de log do AWS CloudTrail processados por gerações de política

100.000

100.000

Gerações simultâneas de política

1

1

Tamanho dos dados de geração de política do AWS CloudTrail

25 GB

25 GB

Intervalo de tempo de geração de política do AWS CloudTrail

90 dias

90 dias

Gerações de políticas por dia

África (Cidade do Cabo): 5

Ásia-Pacífico (Hong Kong):5

Europa (Milão): 5

Oriente Médio (Bahrein): 5

Todas as outras regiões com suporte: 50

nota

As solicitações de geração de política canceladas se aplicam à cota diária.

África (Cidade do Cabo): 5

Ásia-Pacífico (Hong Kong):5

Europa (Milão): 5

Oriente Médio (Bahrein): 5

Todas as outras regiões com suporte: 50

¹Algumas cotas podem ser configuradas pelo cliente usando o Service Quotas.