Refinar permissões na AWS usando as informações do último acesso - AWS Identity and Access Management

Refinar permissões na AWS usando as informações do último acesso

Como administrador, você pode conceder permissões a entidades (usuários ou funções) além do que elas exigem. O IAM fornece as informações do último acesso para ajudar você a identificar as permissões não utilizadas para que você possa removê-las. Você pode usar essas informações para refinar suas políticas e permitir o acesso somente aos serviços e ações que as entidades usam. Isso ajuda você a melhor seguir as práticas recomendadas de privilégio mínimo. Você pode visualizar as informações do último acesso de entidades ou políticas existentes no IAM ou no AWS Organizations.

Tipos de informações do último acesso do IAM

Você pode visualizar dois tipos de informações do último acesso de entidades do IAM: informações permitidas do produto da AWS e informações permitidas de ação. As informações incluem a data e a hora em que a tentativa foi feita. As informações do último acesso da ação estão disponíveis para ações de gerenciamento do Amazon EC2, do IAM, do Lambda e do Amazon S3. As ações de gerenciamento incluem ações de criação, exclusão e modificação. Para saber mais sobre como visualizar as informações do último acesso do IAM, consulte Visualização das informações do último acesso do IAM.

Para obter cenários de exemplo de uso das informações do último acesso para tomar decisões sobre as permissões concedidas às entidades do IAM, consulte Cenários de exemplo para uso de informações acessadas por último.

Para saber mais sobre como as informações para ações de gerenciamento são fornecidas, consulte Coisas para saber sobre as informações acessadas por último.

Informações acessadas por último do AWS Organizations

Se você fizer login usando as credenciais da conta de gerenciamento, poderá visualizar as informações do último acesso ao serviço para uma entidade ou política do AWS Organizations em sua organização. As entidades do AWS Organizations incluem a raiz da organização, unidades organizacionais (OUs) ou contas. As informações acessadas por último para o AWS Organizations incluem informações sobre serviços que são permitidos por uma política de controle de serviço (SCP). As informações indicam quais principais de uma organização ou conta tentaram acessar o serviço pela última vez e quando. Para saber mais sobre o relatório e como visualizar as informações acessadas por último para o AWS Organizations, consulte Visualização das informações de último acesso do Organizations.

Para obter cenários de exemplo de uso das informações do último acesso para tomar decisões sobre as permissões que você concede às suas entidades do Organizations, consulte Cenários de exemplo para uso de informações acessadas por último.

Coisas para saber sobre as informações acessadas por último

Para usar as informações do último acesso em um relatório para alterar as permissões de uma entidade do IAM ou do Organizations, analise os detalhes a seguir sobre as informações.

  • Tracking period (Período de rastreamento): a atividade recente geralmente aparece no console do IAM em quatro horas. O período de rastreamento para informações de serviço são os últimos 400 dias. O período de rastreamento das informações de ações do Amazon S3 começou em 12 de abril de 2020. O período de rastreamento das ações do Amazon EC2, do IAM e do Lambda começou em 7 de abril de 2021. Para obter mais informações, consulte Onde a AWS rastreia informações acessadas por último.

  • Attempts reported (Tentativas de acesso relatadas): Os dados do último acesso ao serviço incluem todas as tentativas de acesso a uma API da AWS, não somente as tentativas bem-sucedidas. Isso inclui todas as tentativas de acesso que foram feitas usando o AWS Management Console, a API da AWS por meio de qualquer um dos SDKs ou qualquer uma das ferramentas da linha de comando. Uma entrada inesperada nos dados de últimos serviços acessados não significa que sua conta foi comprometida, pois a solicitação pode ter sido negada. Consulte os logs do CloudTrail como a fonte segura para obter informações sobre todas as chamadas de API e se elas foram bem-sucedidas ou tiveram acesso negado.

  • PassRole: a ação iam:PassRole não é rastreada e não está incluída nas informações de último acesso da ação do IAM.

  • Informações de último acesso da ação: as informações de último acesso da ação estão disponíveis para ações de gerenciamento do Amazon EC2, do IAM, do Lambda e do Amazon S3 acessadas por entidades do IAM. O IAM fornece informações de ação para eventos de gerenciamento do Amazon EC2, do IAM, do Lambda e do Amazon S3 registrados pelo CloudTrail. Às vezes, eventos de gerenciamento do CloudTrail também são chamados de operações do ambiente de gerenciamento ou eventos do ambiente de gerenciamento. Os eventos de gerenciamento fornecem visibilidade nas operações de gerenciamento executadas em recursos na sua conta da AWS. Para saber mais sobre eventos de gerenciamento no CloudTrail, consulte Registrar em log eventos de gerenciamento com o Cloudtrail.

  • Report owner (Proprietário do relatório): somente a entidade de segurança que gera um relatório pode visualizar os detalhes do relatório. Isso significa que, quando você visualizar as informações no AWS Management Console, talvez precisará esperar que elas sejam geradas e carregadas. Se você usar a AWS CLI ou a API da AWS para obter detalhes do relatório, suas credenciais deverão corresponder às credenciais do principal que gerou o relatório. Se você usar credenciais temporárias para uma função ou um usuário federado, será necessário gerar e recuperar o relatório durante a mesma sessão. Para obter mais informações sobre os principais de sessão de função assumida, consulte Elementos da política JSON da AWS:Principal.

  • Entidades do IAM:as informações do IAM incluem entidades do IAM (usuários ou funções) em sua conta. As informações do Organizations incluem entidades de segurança (usuários do IAM, funções do IAM ou usuário raiz da Conta da AWS) na entidade especificada do Organizations. As informações não incluem tentativas não autenticadas.

  • IAM policy types (Tipos de política do IAM): as informações do IAM incluem serviços permitidos por políticas de uma entidade do IAM. Essas são as políticas anexadas a uma função ou a um usuário diretamente ou por meio de um grupo. O acesso permitido por outros tipos de política não está incluído no relatório. Os tipos de política excluídos incluem políticas baseadas em recurso, listas de controle de acesso, SCPs do AWS Organizations, limites de permissões do IAM e políticas de sessão. As permissões fornecidas por funções vinculadas ao serviço são definidas pelo serviço ao qual estão vinculadas e não podem ser modificadas no IAM. Para saber mais sobre funções vinculadas ao serviço, consulte Uso de funções vinculadas a serviço Para saber como os diferentes tipos de política são avaliados para permitir ou negar acesso, consulte Lógica da avaliação de política.

  • Organizations policy types (Tipos de política do Organizations): as informações do AWS Organizations incluem somente os serviços permitidos pelas políticas de controle de serviço (SCPs) herdadas de uma entidade do Organizations. SCPs são políticas anexadas a uma raiz, UO ou conta. O acesso permitido por outros tipos de política não está incluído no relatório. Os tipos de política excluídos incluem políticas baseadas em identidade, políticas baseadas em recurso, listas de controle de acesso, limites de permissões do IAM e políticas de sessão. Para saber como os tipos de política diferentes são avaliados para permitir ou negar acesso, consulte Lógica da avaliação de política.

  • Specifying a policy ID (Especificar um ID de política): ao usar a AWS CLI ou a API da AWS para gerar um relatório das informações do último acesso do Organizations, você também pode especificar um ID de política. O relatório resultante inclui informações dos serviços permitidos somente por essa política. As informações incluem as atividades de conta mais recentes na entidade do Organizations especificada ou nos filhos da entidade. Para obter mais informações, consulte aws iam generate-organizations-access-report ou GenerateOrganizationsAccessReport.

  • Organizations management account (Conta de gerenciamento do Organizations): você deve fazer login na conta de gerenciamento da sua organização para visualizar as informações do último acesso ao serviço. Você pode escolher visualizar informações da conta de gerenciamento usando o console do IAM, a AWS CLI, ou a API da AWS. O relatório resultante lista todos os produtos da AWS, porque a conta de gerenciamento não é limitada pelas SCPs. Se você especificar um ID de política na CLI ou API, a política será ignorada. Para cada serviço, o relatório inclui informações somente da conta de gerenciamento. No entanto, os relatórios e outras entidades do Organizations não retornam informações de atividades na conta de gerenciamento.

  • Organizations settings (Configurações do Organizations): um administrador deve habilitar as SCPs na raiz de sua organização para que você possa gerar dados do Organizations.

Permissões obrigatórias

Para visualizar as informações acessadas por último no AWS Management Console, você deve ter uma política que conceda as permissões necessárias.

Permissões para visualizar informações do IAM

Para usar o console do IAM para visualizar as informações do último acesso de um usuário, uma função ou uma política do IAM, você deve ter uma política que inclua as seguintes ações:

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

Essas permissões permitem que um usuário veja o seguinte:

  • Quais usuários, grupos ou funções são anexados a uma política gerenciada

  • Quais serviços um usuário ou uma função pode acessar

  • A última vez em que acessaram o serviço

  • A última vez que tentaram usar uma ação específica do Amazon EC2, IAM, Lambda ou Amazon S3

Para usar a AWS CLI ou a API da AWS para visualizar as informações do último acesso do IAM, você deve ter permissões correspondentes à operação que deseja usar:

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

Este exemplo mostra como você pode criar uma política do IAM que permite visualizar as informações do último acesso do IAM. Além disso, permite o acesso somente leitura a todo o IAM. Esta política define permissões para acesso programático e do console.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }

Permissões para informações do AWS Organizations

Para usar o console do IAM para visualizar um relatório de entidades raiz, UO ou da conta no Organizations, você deve ter uma política que inclua as seguintes ações:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Para usar a AWS CLI ou a API da AWS para visualizar informações do último acesso ao serviço para o Organizations, você deve ter uma política que inclua as seguintes ações:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Este exemplo mostra como você pode criar uma política do IAM que permite visualizar as informações do último acesso do serviço para o Organizations. Além disso, permite o acesso somente leitura a todo o Organizations. Esta política define permissões para acesso programático e do console.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }

Você também pode usar a chave de condição iam:OrganizationsPolicyId para permitir a geração de um relatório apenas de uma determinada política do Organizations. Para ver um exemplo de política, consulte IAM: visualizar as informações do último acesso ao serviço para uma política do Organizations.

Atividade de solução de problemas para entidades do IAM e do Organizations

Em alguns casos, a tabela de informações acessadas por último do AWS Management Console pode estar vazia. Ou talvez sua solicitação da AWS CLI ou da API da AWS retorne um conjunto vazio de informações ou um campo nulo. Nesses casos, analise os seguintes problemas:

  • Para informações de ação acessadas por último, uma ação que você está esperando ver pode não ser retornada na lista. Isso pode acontecer porque a entidade do IAM não tem permissões para a ação ou a AWS ainda não rastreia a ação quanto a informações do último acesso.

  • Para um usuário do IAM, verifique se o usuário tem pelo menos uma política gerenciada ou em linha anexada, diretamente ou por meio de associações de grupo.

  • Para um grupo do IAM, verifique se o grupo tem pelo menos uma política em linha ou gerenciada anexada.

  • Para um grupo do IAM, o relatório só retorna as informações do último acesso ao serviço de membros que usaram as políticas do grupo para acessar um serviço. Para saber se um membro usou outras políticas, revise as informações acessadas por último desse usuário.

  • Para uma função do IAM, verifique se a função tem pelo menos uma política em linha ou gerenciada anexada.

  • Para uma entidade do IAM (usuário ou função), revise outros tipos de política que possam afetar as permissões dessa entidade. Entre eles estão políticas baseadas em recurso, listas de controle de acesso, políticas do AWS Organizations, limites de permissões do IAM ou políticas de sessão. Para obter mais informações, consulte Tipos de políticas ou Avaliação de políticas em uma única conta.

  • Para uma política do IAM, verifique se a política gerenciada especificada está anexada a pelo menos um usuário, grupo com membros ou função.

  • Para uma entidade (raiz, UO ou conta) do Organizations, certifique-se de que você esteja conectado usando as credenciais da conta de gerenciamento do Organizations.

  • Verifique se as SCPs estão habilitadas na raiz da sua organização .

  • As informações do último acesso da ação estão disponíveis apenas para algumas ações do Amazon EC2, do IAM, do Lambda e do Amazon S3.

Ao fazer alterações, aguarde pelo menos quatro horas para que a atividade seja exibida no relatório do console do IAM. Se usar a AWS CLI ou a API da AWS, você deverá gerar um novo relatório para visualizar as informações atualizadas.

Onde a AWS rastreia informações acessadas por último

A AWS coleta informações de último acesso das regiões padrão da AWS. Quando a AWS adiciona mais regiões, essas regiões são adicionas à seguinte tabela, incluindo a data em que a AWS começou a rastrear informações em cada região.

  • Informações de serviço: o período de rastreamento dos serviços é dos últimos 400 dias, ou menos, se a sua região começou a oferecer suporte a esse recurso no último ano.

  • Informações de ações: o período de rastreamento das ações de gerenciamento do Amazon S3 teve início em 12 de abril de 2020. O período de rastreamento para ações de gerenciamento do Amazon EC2, do IAM e do Lambda começou em 7 de abril de 2021. Se a região começou a oferecer suporte a uma ação em uma data posterior, essa data também será a data de início do rastreamento da ação para a região.

Nome da região Região Data de início do rastreamento
Leste dos EUA (Ohio) us-east-2 27 de outubro de 2017
Leste dos EUA (Norte da Virgínia) us-east-1 1 de outubro de 2015
US West (N. California) us-west-1 1 de outubro de 2015
Oeste dos EUA (Oregon) us-west-2 1 de outubro de 2015
Asia Pacific (Hong Kong) ap-east-1 24 de abril de 2019
Asia Pacific (Mumbai) ap-south-1 27 de junho de 2016
Ásia-Pacífico (Seul) ap-northeast-2 6 de janeiro de 2016
Ásia-Pacífico (Singapura) ap-southeast-1 1 de outubro de 2015
Ásia-Pacífico (Sydney) ap-southeast-2 1 de outubro de 2015
Ásia-Pacífico (Tóquio) ap-northeast-1 1 de outubro de 2015
Canada (Central) ca-central-1 28 de outubro de 2017
Europa (Frankfurt) eu-central-1 1 de outubro de 2015
Europe (Stockholm) eu-north-1 12 de dezembro de 2018
Europa (Irlanda) eu-west-1 1 de outubro de 2015
Europe (London) eu-west-2 28 de outubro de 2017
Europe (Milan) eu-south-1 28 de abril de 2020
Europe (Paris) eu-west-3 18 de dezembro de 2017
Oriente Médio (Bahrein) me-south-1 29 de julho de 2019
Africa (Cape Town) af-south-1 22 de abril de 2020
América do Sul (São Paulo) sa-east-1 11 de dezembro de 2015

Se uma região não estiver listada na tabela anterior, essa região ainda não fornece informações acessadas por último.

Uma região da AWS é uma coleção de recursos da AWS em uma área geográfica. As regiões são agrupadas em partições. As regiões padrão são aquelas que pertencem à partição aws. Para obter mais informações sobre as diferentes partições, consulte Formato de nomes de recursos da Amazon (ARNs) na Referêcia geral da AWS. Para obter mais informações sobre regiões, consulte Sobre as regiões da AWS também na Referência geral da AWS.