Pré-visualização de acesso com APIs do Access Analyzer - AWS Identity and Access Management

Pré-visualização de acesso com APIs do Access Analyzer

Você pode usar APIs do Access Analyzer para pré-visualizar o acesso público e entre contas para seus buckets do Amazon S3, chaves do AWS KMS, funções do IAM, filas do Amazon SQS e segredos do Secrets Manager. Você pode pré-visualizar o acesso fornecendo permissões propostas para um recurso existente que você possui ou um novo recurso que deseja implantar.

Para pré-visualizar o acesso externo ao seu recurso, você deve ter um analisador de conta ativo para a conta e a região do recurso. Você também deve ter as permissões necessárias para usar o Access Analyzer e pré-visualizar o acesso. Para obter mais informações sobre como habilitar o Access Analyzer e as permissões necessárias, consulte Habilitar o Access Analyzer.

Para pré-visualizar o acesso de um recurso, você pode usar a operação CreateAccessPreview e fornecer o ARN do analisador e a configuração de controle de acesso do recurso. O serviço retorna o ID exclusivo para a pré-visualização de acesso, que você pode usar para conferir o status da pré-visualização de acesso com a operação GetAccessPreview. Quando o status for Completed, você poderá usar a operação ListAccessPreviewFindings para recuperar as descobertas geradas para a pré-visualização de acesso. As operações GetAccessPreview e ListAccessPreviewFindings recuperarão pré-visualizações de acesso e descobertas criadas em cerca de 24 horas.

Cada descoberta recuperada contém detalhes da descoberta descrevendo o acesso. Um status de pré-visualização da descoberta que descreve se a descoberta seria Active, Archived ou Resolved após a implantação de permissões e um changeType. O changeType fornece contexto sobre como a descoberta da pré-visualização de acesso se compara ao acesso existente identificado no Access Analyzer:

  • New (Novo): a descoberta é de um acesso recém-introduzido.

  • Unchanged (Inalterado): a descoberta de pré-visualização é uma descoberta existente que permanecerá inalterada.

  • Changed (Alterado): a descoberta de pré-visualização é uma descoberta existente com uma alteração no status.

O status e o changeType ajudam a entender como a configuração do recurso mudará o acesso ao recurso existente. Se o changeType for Unchanged (Inalterado) ou Changed (Alterado), a descoberta também conterá o ID existente e o status da descoberta no Access Analyzer. Por exemplo, uma descoberta Changed com status de pré-visualização Resolved e status Active existente indica que a descoberta Active existente do recurso se tornaria Resolved como resultado da alteração de permissões propostas.

Você pode usar a operação ListAccessPreviews para recuperar uma lista de pré-visualizações de acesso para o analisador especificado. Essa operação recuperará informações sobre a pré-visualização de acesso criada em cerca de uma hora.

Em geral, se a pré-visualização de acesso for para um recurso existente e você deixar uma opção de configuração não especificada, a pré-visualização de acesso usará a configuração de recurso existente por padrão. Se a pré-visualização de acesso for para um novo recurso e você deixar uma opção de configuração não especificada, a pré-visualização de acesso usará o valor padrão dependendo do tipo de recurso. Para casos de configuração para cada tipo de recurso, consulte abaixo.

Pré-visualizar o acesso ao bucket do Amazon S3

Para criar uma pré-visualização de acesso para um novo bucket do Amazon S3 ou um bucket existente do Amazon S3 que você possui, você pode propor uma configuração de bucket especificando a política de bucket do Amazon S3, ACLs de bucket, configurações de BPA de bucket e pontos de acesso do Amazon S3, incluindo pontos de acesso multirregiões, anexados ao bucket.

nota

Antes de tentar criar uma pré-visualização de acesso para um novo bucket, recomendamos que você chame a operação HeadBucket do Amazon S3 para conferir se o bucket nomeado já existe. Essa operação é útil para determinar se existe um bucket e se você tem permissão para acessá-lo.

Bucket policy (Política de bucket): se a configuração for para um bucket existente do Amazon S3 e você não especificar a política de bucket do Amazon S3, a pré-visualização de acesso usará a política existente anexada ao bucket. Se a visualização de acesso for para um novo recurso e você não especificar a política de bucket do Amazon S3, a pré-visualização de acesso assumirá um bucket sem uma política. Para propor a exclusão de uma política de bucket existente, você pode especificar uma string vazia. Para obter mais informações sobre limites de política de bucket com suporte, consulte Exemplos de políticas de bucket.

Bucket ACL grants (Concessões da ACL do bucket): você pode propor até 100 concessões de ACL por bucket. Se a configuração de concessão proposta for para um bucket existente, a pré-visualização de acesso usará a lista proposta de configurações de concessão no lugar das concessões existentes. Caso contrário, a pré-visualização de acesso usará as concessões existentes para o bucket.

Bucket access points (Pontos de acesso do bucket): a análise dá suporte para até 100 pontos de acesso, incluindo pontos de acesso multirregiões, por bucket, incluindo até dez novos pontos de acesso que você pode propor por bucket. Se a configuração de ponto de acesso proposta do Amazon S3 for para um bucket existente, a pré-visualização de acesso usará a configuração de ponto de acesso proposta no lugar dos pontos de acesso existentes. Para propor um ponto de acesso sem uma política, você pode fornecer uma string vazia como a política de ponto de acesso. Para obter mais informações sobre limites de política de ponto de acesso, consulte Restrições e limitações de pontos de acesso.

Block public access configuration (Configuração de bloqueio de acesso público): se a configuração proposta for para um bucket existente do Amazon S3 e você não especificar a configuração, a pré-visualização de acesso usará a configuração existente. Se a configuração proposta for para um novo bucket e você não especificar a configuração de BPA do bucket, a pré-visualização de acesso usará false. Se a configuração proposta for para um novo ponto de acesso ou ponto de acesso multirregiões e você não especificar a configuração de BPA do ponto de acesso, a pré-visualização de acesso usará true.

Pré-visualizar o acesso à chave do AWS KMS

Para criar uma pré-visualização de acesso para uma nova chave do AWS KMS ou uma chave existente do AWS KMS que você possui, você pode propor uma configuração de chave do AWS KMS especificando a política de chave e a configuração de concessão do AWS KMS.

AWS KMS key policy (Política de chave do AWS KMS): se a configuração for para uma chave existente e você não especificar a política de chave, a pré-visualização de acesso usará a política existente para a chave. Se a pré-visualização de acesso for para um novo recurso e você não especificar a política de chave, a pré-visualização de acesso usará a política de chave padrão. A política de chave proposta não pode ser uma string vazia.

AWS KMS grants (Concessões do KMS): a análise dá suporte para até 100 concessões do KMS por configuração*.* Se a configuração de concessão proposta for para uma chave existente, a pré-visualização de acesso usará a lista proposta de configurações de concessão no lugar das concessões existentes. Caso contrário, a pré-visualização de acesso usará as concessões existentes para a chave.

Pré-visualizar o acesso à função do IAM

Para criar uma pré-visualização de acesso para uma nova função do IAM ou uma função existente do IAM de sua propriedade, você pode propor uma configuração de função do IAM especificando a política de confiança.

Role trust policy (Política de confiança da função): se a configuração for para uma nova função do IAM, será necessário especificar a política de confiança. Se a configuração for para uma função do IAM existente que você possui e você não propuser a política de confiança, a pré-visualização de acesso usará a política de confiança existente para a função. A política de confiança proposta não pode ser uma string vazia.

Pré-visualizar o acesso à sua fila do Amazon SQS

Para criar uma pré-visualização de acesso para uma nova fila do Amazon SQS ou uma fila existente do Amazon SQS que você possui, você pode propor uma configuração de fila do Amazon SQS especificando a política do Amazon SQS para a fila.

Amazon SQS queue policy (Política de fila do Amazon SQS): se a configuração for para uma fila existente do Amazon SQS e você não especificar a política do Amazon SQS, a pré-visualização de acesso usará a política existente do Amazon SQS para a fila. Se a pré-visualização de acesso for para um novo recurso e você não especificar a política, a pré-visualização de acesso assumirá uma fila do Amazon SQS sem uma política. Para propor a exclusão de uma política de fila existente do Amazon SQS, você pode especificar uma string vazia para a política do Amazon SQS.

Pré-visualizar o acesso ao segredo do Secrets Manager

Para criar uma pré-visualização de acesso para um novo segredo do Secrets Manager ou um segredo existente do Secrets Manager que você possui, você pode propor uma configuração de segredo do Secrets Manager especificando a política de segredo e uma chave de criptografia opcional do AWS KMS.

Secret policy (Política de segredo): se a configuração for para um segredo existente e você não especificar a política de segredo, a pré-visualização de acesso usará a política existente para o segredo. Se a pré-visualização de acesso for para um novo recurso e você não especificar a política, a pré-visualização de acesso assumirá um segredo sem uma política. Para propor a exclusão de uma política existente, você pode especificar uma string vazia.

AWS KMS encryption key (Chave de criptografia do AWS KMS): se a configuração proposta for para um novo segredo e você não especificar o ID da chave do AWS KMS, a pré-visualização de acesso usará a chave do KMS padrão da conta da AWS. Se você especificar uma string vazia para o ID da chave do AWS KMS, a pré-visualização de acesso usará a chave do KMS padrão da conta do AWS.