Tipos de recursos do Access Analyzer - AWS Identity and Access Management

Tipos de recursos do Access Analyzer

O Access Analyzer analisa as políticas baseadas em recurso que são aplicadas aos recursos da AWS na região onde você habilitou o Access Analyzer. Somente as políticas baseadas em recursos são analisadas. Revise as informações sobre cada recurso para ver os detalhes sobre como o Access Analyzer gera descobertas para cada tipo de recurso.

Buckets do Amazon Simple Storage Service

Quando o Access Analyzer analisa os buckets do Amazon S3, ele gera uma descoberta quando uma política de bucket do Amazon S3, uma ACL ou um ponto de acesso, incluindo um ponto de acesso multirregiões, aplicado a um bucket concede acesso a uma entidade externa. Uma entidade externa é uma entidade de segurança ou outra entidade que pode ser usada para criar um filtro que não esteja em sua zona de confiança. Por exemplo, se uma política de bucket conceder acesso a outra conta ou permitir o acesso público, o Access Analyzer gerará uma descoberta. No entanto, se você ativar o bloqueio de acesso público no bucket, será possível bloquear o acesso no nível da conta ou no nível do bucket.

As configurações de bloqueio de acesso público do Amazon S3 substituem as políticas de bucket aplicadas ao bucket. As configurações também substituem as políticas do ponto de acesso aplicadas aos pontos de acesso do bucket. O Access Analyzer analisa as configurações de bloqueio de acesso público no nível do bucket sempre que uma política é alterada. No entanto, ele avalia as configurações do bloqueio de acesso público no nível da conta uma vez a cada seis horas. Isso significa que o Access Analyzer pode não gerar ou resolver uma descoberta para acesso público a um bucket por até seis horas. Por exemplo, se você tem uma política de bucket que permite acesso público, o Access Analyzer gera uma descoberta para esse acesso. Se você habilitar o bloqueio de acesso público para bloquear todo o acesso público ao bucket no nível da conta, o Access Analyzer não resolverá a descoberta para a política de bucket por até seis horas, mesmo que todo o acesso público ao bucket esteja bloqueado.

Para um ponto de acesso multirregiões, o Access Analyzer usa uma política estabelecida para gerar descobertas. O Access Analyzer avalia as alterações em pontos de acesso multirregiões uma vez a cada seis horas. Isso significa que o Access Analyzer não gera nem resolve uma descoberta por até seis horas, mesmo que você crie ou exclua um ponto de acesso multirregiões ou atualize a política para ele.

Funções do AWS Identity and Access Management

Para funções do IAM, o Access Analyzer analisa políticas de confiança. Em uma política de confiança da função, você define as entidades principais em que confia para assumir a função. Uma política de confiança da função é uma política com base em recurso necessária anexada a uma função no IAM. O Access Analyzer gera descobertas para funções dentro da zona de confiança que podem ser acessadas por uma entidade externa que esteja fora da sua zona de confiança.

nota

Uma função do IAM é um recurso global. Se uma política de confiança da função conceder acesso a uma entidade externa, o Access Analyzer gerará uma descoberta em cada região habilitada.

Chaves do AWS Key Management Service

Para AWS KMS keys, o Access Analyzer analisa as políticas de chaves e as concessões aplicadas a uma chave. O Access Analyzer gerará uma descoberta se uma política de chaves ou uma concessão permitir que uma entidade externa acesse a chave. Por exemplo, se você usar a chave de condição kms:CallerAccount em uma instrução de política para permitir o acesso de todos os usuários a uma conta da AWS específica, e especificar uma conta diferente da conta atual (a zona de confiança do analisador atual), o Access Analyzer gerará uma descoberta. Para saber mais sobre as chaves de condições do AWS KMS em instruções de política do IAM, consulte Chaves de condições do AWS KMS.

Quando o Access Analyzer analisa uma chave do KMS, ele lê os metadados da chave, como a política de chaves e a lista de concessões. Se a política de chaves não permitir que a função do Access Analyzer leia os metadados da chave, uma descoberta de erro de Acesso negado será gerada. Por exemplo, se o seguinte exemplo de instrução de política for a única política aplicada a uma chave, isso resultará em uma descoberta de erro de acesso negado no Access Analyzer:

{ "Sid": "Allow access for Key Administrators", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/Admin" }, "Action": "kms:*", "Resource": "*" }

Como essa instrução permite que somente a função chamada Admin da conta da AWS 111122223333 acesse a chave, uma descoberta de erro de acesso negado será gerada, pois o Access Analyzer não conseguirá analisar a chave completamente. Uma descoberta de erro será exibida em texto vermelho na tabela Findings (Descobertas). A descoberta é semelhante à seguinte:

{ "error": "ACCESS_DENIED", "id": "12345678-1234-abcd-dcba-111122223333", "analyzedAt": "2019-09-16T14:24:33.352Z", "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a", "resourceType": "AWS::KMS::Key", "status": "ACTIVE", "updatedAt": "2019-09-16T14:24:33.352Z" }

Ao criar uma chave do KMS, as permissões concedidas para acessar a chave dependem de como ela foi criada. Se você receber uma descoberta de erro de acesso negado para um recurso de chave, aplique a instrução de política a seguir ao recurso de chave para conceder ao Access Analyzer permissão para acessar a chave.

{ "Sid": "Allow Access Analyzer access to key metadata", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer" }, "Action": [ "kms:DescribeKey", "kms:GetKeyPolicy", "kms:List*" ], "Resource": "*" },

Após receber uma descoberta de Acesso negado para um recurso de chave do KMS e resolver a descoberta atualizando a política de chaves, a descoberta será atualizada para um status de Resolved (Resolvida). Se houver instruções de política ou concessões de chave que concedam permissão à chave para uma entidade externa, você poderá ver descobertas adicionais para o recurso de chave.

Funções e camadas do AWS Lambda

Para funções do AWS Lambda, o Access Analyzer analisa políticas, incluindo instruções de condição em uma política, que concedem acesso à função para uma entidade externa. O Access Analyzer também analisa permissões concedidas ao usar a operação AddPermission da API do AWS Lambda com um EventSourceToken.

Filas do Amazon Simple Queue Service

Para filas do Amazon SQS, o Access Analyzer analisa políticas, incluindo instruções de condição em uma política que permitem que uma entidade externa acesse uma fila.

segredos do AWS Secrets Manager

Para segredos do AWS Secrets Manager, o Access Analyzer analisa políticas, incluindo instruções de condição em uma política, que permitem que uma entidade externa acesse um segredo.