Tipos de recursos do IAM Access Analyzer para acessos externos - AWS Identity and Access Management
Buckets do Amazon S3Buckets do diretório do Amazon S3Perfis do IAMChaves do KMSFunções do LambdaFilas do Amazon SQSSegredos do Secrets ManagerTópicos do Amazon SNSSnapshots de volume do Amazon EBSSnapshots de banco de dados do Amazon RDSSnapshots de cluster de banco de dados do Amazon RDSRepositórios do Amazon ECRSistemas de arquivos do Amazon EFSFluxos do DynamoDBTabelas do DynamoDB

Tipos de recursos do IAM Access Analyzer para acessos externos

Para analisadores de acessos externos, o IAM Access Analyzer analisa as políticas baseadas em recurso que são aplicadas aos recursos da AWS na região na qual você habilitou o IAM Access Analyzer. Somente analisa as políticas baseadas em recursos. Revise as informações sobre cada recurso para ver os detalhes sobre como o IAM Access Analyzer gera descobertas para cada tipo de recurso.

nota

Os tipos de recursos suportados listados são para analisadores de acessos externos. Os analisadores de acessos não utilizados oferecem suporte apenas a perfis e usuários do IAM. Para ter mais informações, consulte Como trabalhar com descobertas.

Buckets do Amazon Simple Storage Service

Quando o IAM Access Analyzer analisa buckets do Amazon S3, ele gera uma descoberta quando uma política de bucket do Amazon S3, uma ACL ou um ponto de acesso, incluindo um ponto de acesso de várias regiões, aplicado a um bucket concede acesso a uma entidade externa. Uma entidade externa é um principal ou outra entidade que pode ser usada para criar um filtro que não esteja em sua zona de confiança. Por exemplo, se uma política de bucket conceder acesso a outra conta ou permitir o acesso público, o IAM Access Analyzer gerará uma descoberta. No entanto, se você habilitar Bloqueio de Acesso Público no bucket, será possível bloquear o acesso no nível da conta ou no nível do bucket.

nota

O IAM Access Analyzer não analisa a política de ponto de acesso vinculada aos pontos de acesso entre contas porque o ponto de acesso e a política estão fora da conta do analisador. O IAM Access Analyzer gera uma descoberta pública quando um bucket delega acesso a um ponto de acesso entre contas e o Bloqueio de Acesso Público não está habilitado no bucket ou na conta. Quando você habilita o Bloqueio de Acesso Público, a descoberta pública é resolvida e o IAM Access Analyzer gera uma descoberta entre contas para o ponto de acesso entre contas.

As configurações de Bloqueio de Acesso Público do Amazon S3 substituem as políticas de bucket aplicadas ao bucket. As configurações também substituem as políticas do ponto de acesso aplicadas aos pontos de acesso do bucket. O IAM Access Analyzer analisa as configurações do Bloqueio de Acesso Público no nível do bucket sempre que uma política é alterada. No entanto, ele avalia as configurações do Bloqueio de Acesso Público no nível da conta uma vez a cada seis horas. Isso significa que o IAM Access Analyzer pode não gerar ou resolver uma descoberta para acesso público a um bucket por até seis horas. Por exemplo, se você tem uma política de bucket que permite acesso público, o IAM Access Analyzer gera uma descoberta para esse acesso. Se você habilitar o Bloqueio de Acesso Público para bloquear todo o acesso público ao bucket no nível da conta, o IAM Access Analyzer não resolverá a descoberta para a política de bucket por até seis horas, mesmo que todo o acesso público ao bucket esteja bloqueado. A resolução de descobertas públicas para pontos de acesso entre contas também pode levar até seis horas, depois que você habilitar o Bloqueio de Acesso Público no nível da conta.

Para um ponto de acesso de várias regiões, o IAM Access Analyzer usa uma política estabelecida para gerar descobertas. O IAM Access Analyzer avalia as alterações em pontos de acesso de várias regiões uma vez a cada seis horas. Isso significa que o IAM Access Analyzer não gera nem resolve uma descoberta por até seis horas, mesmo que você crie ou exclua um ponto de acesso de várias regiões ou atualize a política para ele.

Buckets de diretório do Amazon Simple Storage Service

Os buckets de diretório do Amazon S3 usam a classe de armazenamento Amazon S3 Express One, que é recomendada para cargas de trabalho ou aplicativos de desempenho crítico. Para diretório bucket do Amazon S3, o IAM Access Analyzer analisa as políticas de diretório bucket, incluindo declarações de condição em uma política, que permitem que uma entidade externa acesse um diretório bucket. Para mais informações sobre os buckets do diretório do Amazon S3, consulte Directory buckets no Guia do usuário do Amazon Simple Storage Service.

Funções do AWS Identity and Access Management

Para perfis do IAM, o IAM Access Analyzer analisa políticas de confiança. Em uma política de confiança da função, você define as entidades principais em que confia para assumir a função. Uma política de confiança da função é uma política com base em recurso necessária anexada a uma função no IAM. O IAM Access Analyzer gera descobertas para funções dentro da zona de confiança que podem ser acessadas por uma entidade externa que esteja fora da sua zona de confiança.

nota

Uma função do IAM é um recurso global. Se uma política de confiança da função conceder acesso a uma entidade externa, o IAM Access Analyzer gerará uma descoberta em cada região habilitada.

Chaves do AWS Key Management Service

Para AWS KMS keys, o IAM Access Analyzer analisa as políticas de chaves e as concessões aplicadas a uma chave. O IAM Access Analyzer gerará uma descoberta se uma política de chaves ou uma concessão permitir que uma entidade externa acesse a chave. Por exemplo, se você usar a chave de condição kms:CallerAccount em uma instrução de política para permitir o acesso de todos os usuários a uma conta da AWS específica, e especificar uma conta diferente da conta atual (a zona de confiança do analisador atual), o IAM Access Analyzer gerará uma descoberta. Para saber mais sobre as chaves de condições do AWS KMS em instruções de política do IAM, consulte Chaves de condições do AWS KMS.

Quando o IAM Access Analyzer analisa uma chave do KMS, ele lê os metadados da chave, como a política de chaves e a lista de concessões. Se a política de chaves não permitir que a função do IAM Access Analyzer leia os metadados da chave, uma descoberta de erro de Acesso negado será gerada. Por exemplo, se o seguinte exemplo de instrução de política for a única política aplicada a uma chave, isso resultará em uma descoberta de erro de acesso negado no IAM Access Analyzer.

{
    "Sid": "Allow access for Key Administrators",
    "Effect": "Allow",
    "Principal": {
       "AWS": "arn:aws:iam::111122223333:role/Admin"
    },
    "Action": "kms:*",
    "Resource": "*"
}

Como essa instrução permite que somente a função chamada Admin da conta da AWS 111122223333 acesse a chave, uma descoberta de erro de acesso negado será gerada, pois o IAM Access Analyzer não conseguirá analisar a chave completamente. Uma descoberta de erro será exibida em texto vermelho na tabela Findings (Descobertas). A descoberta é semelhante à seguinte:

{
    "error": "ACCESS_DENIED",
    "id": "12345678-1234-abcd-dcba-111122223333",
    "analyzedAt": "2019-09-16T14:24:33.352Z",
    "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a",
    "resourceType": "AWS::KMS::Key",
    "status": "ACTIVE",
    "updatedAt": "2019-09-16T14:24:33.352Z"
}

Ao criar uma chave do KMS, as permissões concedidas para acessar a chave dependem de como ela foi criada. Se você receber uma descoberta de erro de acesso negado para um recurso de chave, aplique a instrução de política a seguir ao recurso de chave para conceder ao IAM Access Analyzer permissão para acessar a chave.

{
    "Sid": "Allow IAM Access Analyzer access to key metadata",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer"
        },
    "Action": [
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:List*"
    ],
    "Resource": "*"
},

Após receber uma descoberta de Acesso negado para um recurso de chave do KMS e resolver a descoberta atualizando a política de chaves, a descoberta será atualizada para um status de Resolved (Resolvida). Se houver instruções de política ou concessões de chave que concedam permissão à chave para uma entidade externa, você poderá ver descobertas adicionais para o recurso de chave.

Funções e camadas do AWS Lambda

Para funções do AWS Lambda, o IAM Access Analyzer analisa políticas, incluindo instruções de condição em uma política, que concedem acesso à função para uma entidade externa. O IAM Access Analyzer também analisa permissões concedidas ao usar a operação AddPermission da API do AWS Lambda com um EventSourceToken.

Filas do Amazon Simple Queue Service

Para filas do Amazon SQS, o IAM Access Analyzer analisa políticas, incluindo instruções de condição em uma política que permitem que uma entidade externa acesse uma fila.

segredos do AWS Secrets Manager

Para segredos do AWS Secrets Manager, o IAM Access Analyzer analisa políticas, incluindo instruções de condição em uma política, que permitem que uma entidade externa acesse um segredo.

Tópicos do Amazon Simple Notification Service

O IAM Access Analyzer analisa políticas baseadas em recursos vinculadas aos tópicos do Amazon SNS, incluindo instruções de condições nas políticas que permitem acesso externo a um tópico. Você pode permitir que contas externas realizem ações do Amazon SNS, como assinar e publicar tópicos por meio de uma política baseada em recursos. Um tópico do Amazon SNS será acessível externamente se as entidades principais de uma conta fora da sua zona de confiança puderem realizar operações no tópico. Ao escolher Everyone em sua política ao criar um tópico do Amazon SNS, você torna o tópico acessível ao público. AddPermission é outra forma de adicionar uma política baseada em recursos a um tópico do Amazon SNS que permite acesso externo.

Snapshots de volume do Amazon Elastic Block Store

Os snapshots de volume do Amazon Elastic Block Store não têm políticas baseadas em recursos. Um snapshot é compartilhado por meio das permissões de compartilhamento do Amazon EBS. Para snapshots de volume do Amazon EBS, o IAM Access Analyzer analisa listas de controle de acesso que permitem que uma entidade externa acesse um snapshot. Um snapshot de volume do Amazon EBS pode ser compartilhado com contas externas quando criptografado. Um snapshot de volume não criptografado pode ser compartilhado com contas externas e conceder acesso público. As configurações de compartilhamento estão no atributo CreateVolumePermissions do snapshot. Quando os clientes visualizam o acesso externo de um snapshot do Amazon EBS, eles podem especificar a chave de criptografia como um indicador de que o snapshot está criptografado, da mesma forma como a versão prévia do IAM Access Analyzer trata os segredos do Secrets Manager.

Snapshots de banco de dados do Amazon Relational Database Service

Os snapshots de banco de dados do Amazon RDS não têm políticas baseadas em recursos. Um snapshot de banco de dados é compartilhado por meio de permissões de banco de dados do Amazon RDS, e somente snapshots de banco de dados manuais podem ser compartilhados. Para snapshots de banco de dados do Amazon EBS, o IAM Access Analyzer analisa listas de controle de acesso que permitem que uma entidade externa acesse um snapshot. Os snapshots de banco de dados não criptografados podem ser públicos. Os snapshots de banco de dados criptografados não podem ser compartilhados publicamente, mas podem ser compartilhados com até 20 outras contas. Para obter mais informações, consulte Criar um snapshot de banco de dados. O IAM Access Analyzer considera a capacidade de exportar um snapshot manual de banco de dados (por exemplo, para um bucket do Amazon S3) como acesso confiável.

nota

O IAM Access Analyzer não identifica o acesso público ou entre contas configurado diretamente no próprio banco de dados. O IAM Access Analyzer identifica apenas descobertas para acesso público ou entre contas configurado no snapshot de banco de dados do Amazon RDS.

Snapshots de cluster de banco de dados do Amazon Relational Database Service

Os snapshots de cluster de banco de dados do Amazon RDS não têm políticas baseadas em recursos. Um snapshot é compartilhado por meio das permissões de cluster de banco de dados do Amazon RDS. Para snapshots de cluster de banco de dados do Amazon RDS, o IAM Access Analyzer analisa listas de controle de acesso que permitem que uma entidade externa acesse um snapshot. Os snapshots de cluster não criptografados podem ser públicos. Os snapshots de cluster criptografados não podem ser compartilhados publicamente. Os snapshots de cluster não criptografados e criptografados podem ser compartilhados com até 20 outras contas. Para obter mais informações, consulte Criar um snapshot de cluster de banco de dados. O IAM Access Analyzer considera a capacidade de exportar um snapshot de cluster de banco de dados (por exemplo, para um bucket do Amazon S3) como acesso confiável.

nota

As descobertas do IAM Access Analyzer não incluem o monitoramento de qualquer compartilhamento de clones e clusters de banco de dados do Amazon RDS com outra Conta da AWS ou organização usando o AWS Resource Access Manager. O IAM Access Analyzer identifica apenas descobertas para acesso público ou entre contas configurado no snapshot de cluster de banco de dados do Amazon RDS.

Repositórios do Amazon Elastic Container Registry

Para repositórios do Amazon ECR, o IAM Access Analyzer analisa políticas baseadas em recursos, incluindo instruções de condição em uma política que concede a uma entidade externa acesso a um repositório (semelhante a outros tipos de recursos, como tópicos do Amazon SNS e sistemas de arquivos do Amazon EFS). Para repositórios do Amazon ECR, uma entidade principal deve ter permissão para ecr:GetAuthorizationToken por meio de uma política baseada em identidade para ser considerada disponível externamente.

Sistemas de arquivos do Amazon Elastic File System

Para sistemas de arquivos do Amazon EFS, o IAM Access Analyzer analisa políticas, incluindo instruções de condição em uma política que permitem que uma entidade externa acesse um sistema de arquivos. Um sistema de arquivos do Amazon EFS será acessível externamente se as entidades principais de uma conta fora da sua zona de confiança puderem realizar operações no sistema de arquivos. O acesso é definido por uma política de sistema de arquivos que usa o IAM e pela forma como o sistema de arquivos é montado. Por exemplo, montar seu sistema de arquivos Amazon EFS em outra conta é considerado acessível externamente, a menos que essa conta esteja em sua organização e você tenha definido a organização como sua zona de confiança. Se você estiver montando o sistema de arquivos em uma nuvem privada virtual com uma sub-rede pública, o sistema de arquivos estará acessível externamente. Quando você usar o Amazon EFS com o AWS Transfer Family, as solicitações de acesso ao sistema de arquivos recebidas de um servidor do Transfer Family que pertence a uma conta diferente do sistema de arquivos serão bloqueadas se o sistema de arquivos permitir o acesso público.

Amazon DynamoDB Streams

O IAM Access Analyzer gerará uma descoberta se uma política do DynamoDB permitir pelo menos uma ação entre contas que conceda a uma entidade externa acesso a um fluxo do DynamoDB. Para obter mais informações sobre as ações entre contas aceitas pelo DynamoDB, consulte Ações do IAM compatíveis com políticas baseadas em recursos no Guia do desenvolvedor do Amazon DynamoDB.

Tabelas do Amazon DynamoDB

O IAM Access Analyzer gerará uma descoberta para uma tabela do DynamoDB se uma política do DynamoDB permitir pelo menos uma ação entre contas que conceda a uma entidade externa acesso a uma tabela ou a um índice do DynamoDB. Para obter mais informações sobre as ações entre contas aceitas pelo DynamoDB, consulte Ações do IAM compatíveis com políticas baseadas em recursos no Guia do desenvolvedor do Amazon DynamoDB.