Visualizar as últimas informações acessadas do IAM - AWS Identity and Access Management

Visualizar as últimas informações acessadas do IAM

Você pode visualizar informações acessadas pela última vez para o IAM usando o AWS Management Console, a AWS CLI ou a API da AWS. Veja a lista de serviços e suas ações para as quais as últimas informações acessadas são exibidas. Para obter mais informações sobre as informações acessadas pela última vez, consulte Refinar permissões na AWS usando informações do último acesso.

É possível visualizar as informações para os tipos de recurso a seguir no IAM. Em cada caso, as informações abrangem serviços permitidos para o período de geração de relatórios indicado:

  • Usuário: visualize a última vez em que o usuário tentou acessar cada serviço permitido.

  • Grupo de usuários: visualize informações sobre a última vez em que um membro do grupo de usuários tentou acessar cada serviço permitido. Esse relatório também inclui o número total de membros que tentou acessar.

  • Função: visualize a última vez em que alguém usou a função em uma tentativa de acessar cada serviço permitido.

  • Política: visualize informações sobre a última vez em que um usuário ou uma função tentou acessar cada serviço permitido. Esse relatório também inclui o número total de entidades que tentou acessar.

nota

Para visualizar as informações de acesso de um recurso no IAM, compreenda o período de geração de relatórios, as entidades relatadas e os tipos de política avaliados para as informações. Para obter mais detalhes, consulte Coisas para saber sobre as informações acessadas por último.

Visualização de informações do IAM (console)

Você pode visualizar as informações do último acesso do IAM na guia Access Advisor (Consultor de acesso) no console do IAM.

Para visualizar informações do IAM (console)
  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação, escolha User groups (Grupos de usuários), Users (USuários), Roles (Funções) ou Policies (Políticas).

  3. Escolha qualquer nome de usuário, grupo de usuários, função ou política para abrir a página Summary (Resumo) e escolha a guia Access Advisor (Consultor de acesso). Exiba as seguintes informações com base no recurso escolhido:

    • User group (Grupo de usuários): exibe a lista de serviços que os membros do grupo de usuários podem acessar. Você também pode visualizar quando um membro acessou o serviço pela última vez, quais políticas de grupo de usuário ele usou e qual membro do grupo de usuários fez a solicitação. Escolha o nome da política para saber se ela é uma política gerenciada ou uma política de grupo de usuários em linha. Escolha o nome do membro do grupo de usuários para ver todos os membros do grupo de usuários e quando eles acessaram o serviço mais recentemente.

    • User (Usuário): exibe a lista de serviços que o usuário pode acessar. Também é possível exibir quando ele acessou o serviço pela última vez e quais políticas estão associadas ao usuário no momento. Escolha o nome da política para saber se é uma política gerenciada, uma política de usuário em linha ou uma política em linha para o grupo.

    • Role (Função): exibe a lista de serviços que a função pode acessar, quando a função acessou o serviço mais recentemente e quais políticas foram usadas. Escolha o nome da política para saber se ela é uma política gerenciada ou uma política de função em linha.

    • Policy (Política): exibe a lista de serviços com ações permitidas na política. Você também pode exibir quando a política foi usada pela última vez para acessar o serviço e qual entidade (usuário ou função) usou a política. A data de Último acesso também inclui quando o acesso é concedido a essa política por meio de outra política. Escolha o nome da entidade para saber quais entidades têm essa política anexada e quando elas acessaram o serviço mais recentemente.

  4. Na coluna Serviço da tabela, escolha o nome de um dos serviços que inclui informações acessadas pela última vez pela ação para visualizar uma lista de ações de gerenciamento que as entidades do IAM tentaram acessar. É possível visualizar a Região da AWS e um carimbo de data/hora que mostre quando alguém tentou executar a ação pela última vez.

  5. A coluna Último acesso é exibida para serviços e ações de gerenciamento dos serviços que incluem informações acessadas pela última vez pela ação. Revise os seguintes resultados possíveis que são retornados nessa coluna. Esses resultados variam dependendo se um serviço ou ação é permitido, foi acessado e se ele é rastreado pela AWS quanto a informações acessadas por último.

    <number of> dias atrás

    O número de dias desde que o serviço ou a ação foi usado no período de rastreamento. O período de rastreamento dos serviços é para os últimos 400 dias. O período de rastreamento das ações do Amazon S3 começou em 12 de abril de 2020. O período de rastreamento das ações do Amazon EC2, do IAM e do Lambda começou em 7 de abril de 2021. O período de rastreamento para todos os outros serviços começou em 23 de maio de 2023. Para saber mais sobre as datas de início de rastreamento para cada Região da AWS, consulte Onde a AWS rastreia informações acessadas por último.

    Não acessado no período de rastreamento

    O serviço ou ação rastreado não foi usado por uma entidade no período de rastreamento.

    É possível que você tenha permissões para uma ação que não aparece na lista. Isso poderá acontecer se as informações de rastreamento da ação não tiverem sido incluídas pela AWS. Você não deve tomar decisões de permissões com base apenas na ausência de informações de rastreamento. Em vez disso, recomendamos que você use essas informações para informar e apoiar sua estratégia geral de concessão de privilégios mínimos. Verifique suas políticas para confirmar se o nível de acesso é apropriado.

Visualização de informações do IAM (AWS CLI)

Você pode usar a AWS CLI para recuperar informações sobre a última vez que um recurso do IAM foi usado para tentar acessar produtos da AWS e ações do Amazon S3, do Amazon EC2, do IAM e do Lambda. Um recurso do IAM pode ser um usuário, grupo de usuários, função ou política.

Para visualizar informações do IAM (AWS CLI)
  1. Gere um relatório. A solicitação deve incluir o ARN do recurso do IAM (usuário, grupo de usuários, função ou política) para o qual você deseja um relatório. Você pode especificar o nível de granularidade que deseja gerar no relatório para exibir detalhes de acesso para serviços ou serviços e ações. A solicitação retorna um job-id que você pode acabar usando nas operações get-service-last-accessed-details-with-entities e get-service-last-accessed-details para monitorar o job-status até o trabalho estar concluído.

  2. Recupere detalhes sobre o relatório usando o parâmetro job-id da etapa anterior.

    Essa operação retorna as seguintes informações, com base no tipo de recurso e nível de granularidade que você solicitou na operação generate-service-last-accessed-details:

    • Usuário: retorna uma lista de serviços que o usuário especificado pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa do usuário e o ARN do usuário.

    • Grupo de usuários:retorna uma lista de serviços que os membros do grupo de usuários especificado podem acessar usando políticas anexadas ao grupo de usuários. Para cada serviço, a operação retorna a data e a hora da última tentativa feita por qualquer membro do grupo de usuários. Ela também retorna o ARN do usuário e o número total de membros do grupode usuários que tentou acessar o serviço. Use a operação GetServiceLastAccessedDetailsWithEntities para recuperar uma lista de todos os membros.

    • Função: retorna uma lista de serviços que a função especificada pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa da função e o ARN da função.

    • Política: retorna uma lista de serviços para os quais a política especificada permite o acesso. Para cada serviço, a operação retorna a data e a hora em que uma entidade (usuário ou função) tentou acessar mais recentemente o serviço usando a política. Ele também retorna o ARN dessa entidade e o número total de entidades que tentou acessar.

  3. Saiba mais sobre as entidades que usaram permissões de grupo de usuários ou política em uma tentativa de acessar um serviço específico. Essa operação retorna uma lista de entidades com ARN, ID, nome, caminho, tipo (usuário ou função) de cada entidade e quando eles tentaram acessar o serviço mais recentemente. Você também pode usar essa operação para usuários e funções, mas ela só retorna informações sobre essa entidade.

  4. Saiba mais sobre as políticas baseadas em identidade que uma identidade (usuário, grupo de usuários ou função) usou em uma tentativa de acessar um serviço específico. Quando você especifica uma identidade e um serviço, essa operação retorna uma lista de políticas de permissões que a identidade pode usar para acessar o serviço especificado. Essa operação indica o estado atual de políticas e não depende do relatório gerado. Isso também não retorna outros tipos de política, como políticas baseadas em recurso, listas de controle de acesso, políticas do AWS Organizations, limites de permissões do IAM ou políticas de sessão. Para obter mais informações, consulte Tipos de políticas ou Avaliação de políticas em uma única conta.

Visualização de informações do IAM (API da AWS)

Você pode usar a API da AWS para recuperar informações sobre a última vez que um recurso do IAM foi usado para tentar acessar produtos da AWS e ações do Amazon S3, do Amazon EC2, do IAM e do Lambda. Um recurso do IAM pode ser um usuário, grupo de usuários, função ou política. Você pode especificar o nível de granularidade a ser gerado no relatório para exibir detalhes de serviços ou serviços e ações.

Para visualizar informações do IAM (API da AWS)
  1. Gere um relatório. A solicitação deve incluir o ARN do recurso do IAM (usuário, grupo de usuários, função ou política) para o qual você deseja um relatório. Ele retorna um JobId que você pode acabar usando nas operações GetServiceLastAccessedDetailsWithEntities e GetServiceLastAccessedDetails para monitorar o JobStatus até o trabalho estar concluído.

  2. Recupere detalhes sobre o relatório usando o parâmetro JobId da etapa anterior.

    Essa operação retorna as seguintes informações, com base no tipo de recurso e nível de granularidade que você solicitou na operação GenerateServiceLastAccessedDetails:

    • Usuário: retorna uma lista de serviços que o usuário especificado pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa do usuário e o ARN do usuário.

    • Grupo de usuários:retorna uma lista de serviços que os membros do grupo de usuários especificado podem acessar usando políticas anexadas ao grupo de usuários. Para cada serviço, a operação retorna a data e a hora da última tentativa feita por qualquer membro do grupo de usuários. Ela também retorna o ARN do usuário e o número total de membros do grupode usuários que tentou acessar o serviço. Use a operação GetServiceLastAccessedDetailsWithEntities para recuperar uma lista de todos os membros.

    • Função: retorna uma lista de serviços que a função especificada pode acessar. Para cada serviço, a operação retorna a data e a hora da última tentativa da função e o ARN da função.

    • Política: retorna uma lista de serviços para os quais a política especificada permite o acesso. Para cada serviço, a operação retorna a data e a hora em que uma entidade (usuário ou função) tentou acessar mais recentemente o serviço usando a política. Ele também retorna o ARN dessa entidade e o número total de entidades que tentou acessar.

  3. Saiba mais sobre as entidades que usaram permissões de grupo de usuários ou política em uma tentativa de acessar um serviço específico. Essa operação retorna uma lista de entidades com ARN, ID, nome, caminho, tipo (usuário ou função) de cada entidade e quando eles tentaram acessar o serviço mais recentemente. Você também pode usar essa operação para usuários e funções, mas ela só retorna informações sobre essa entidade.

  4. Saiba mais sobre as políticas baseadas em identidade que uma identidade (usuário, grupo de usuários ou função) usou em uma tentativa de acessar um serviço específico. Quando você especifica uma identidade e um serviço, essa operação retorna uma lista de políticas de permissões que a identidade pode usar para acessar o serviço especificado. Essa operação indica o estado atual de políticas e não depende do relatório gerado. Isso também não retorna outros tipos de política, como políticas baseadas em recurso, listas de controle de acesso, políticas do AWS Organizations, limites de permissões do IAM ou políticas de sessão. Para obter mais informações, consulte Tipos de políticas ou Avaliação de políticas em uma única conta.