Refinar permissões na AWS usando informações do último acesso
Como administrador, é possível conceder permissões a recursos do IAM (perfis, usuários, grupos de usuários ou políticas) além do que é exigido. O IAM fornece as informações do último acesso para ajudar você a identificar as permissões não utilizadas para que você possa removê-las. É possível usar essas informações para refinar suas políticas e permitir o acesso somente aos serviços e ações usados por suas identidades e políticas do IAM. Isso ajuda você a melhor seguir as práticas recomendadas de privilégio mínimo. É possível visualizar as informações de acesso mais recente de identidades ou políticas existentes no IAM ou no AWS Organizations.
É possível monitorar continuamente as informações do último acesso com analisadores de acessos não utilizados. Para obter mais informações, consulte Findings for external and unused access.
Tópicos
- Tipos de informações do último acesso do IAM
- Informações acessadas por último do AWS Organizations
- Coisas para saber sobre as informações acessadas por último
- Permissões obrigatórias
- Atividades de solução de problemas para entidades do IAM e do Organizations
- Onde a AWS rastreia informações acessadas por último
- Visualizar as últimas informações acessadas do IAM
- Visualizar as últimas informações acessadas do Organizations
- Cenários de exemplo para uso de informações acessadas por último
- Serviços e ações para os quais a ação do IAM acessou informações pela última vez
Tipos de informações do último acesso do IAM
É possível visualizar dois tipos de informações de acesso mais recente de identidades do IAM: informações permitidas do serviço da AWS e informações permitidas da ação. As informações incluem a data e a hora em que a tentativa de acesso a uma API da AWS foi feita. Para ações, as informações de acesso mais recente relatam as ações de gerenciamento de serviços. As ações de gerenciamento incluem ações de criação, exclusão e modificação. Para saber mais sobre como visualizar as informações do último acesso do IAM, consulte Visualizar as últimas informações acessadas do IAM.
Para obter cenários de exemplo de uso das informações de acesso mais recente para tomar decisões sobre as permissões concedidas às entidades do IAM, consulte Cenários de exemplo para uso de informações acessadas por último.
Para saber mais sobre como as informações para ações de gerenciamento são fornecidas, consulte Coisas para saber sobre as informações acessadas por último.
Informações acessadas por último do AWS Organizations
Se você fizer login usando as credenciais da conta de gerenciamento, poderá visualizar as informações do último acesso ao serviço para uma entidade ou política do AWS Organizations em sua organização. As entidades do AWS Organizations incluem a raiz da organização, unidades organizacionais (OUs) ou contas. As informações acessadas por último para o AWS Organizations incluem informações sobre serviços que são permitidos por uma política de controle de serviço (SCP). As informações indicam quais entidades principais (usuário raiz, usuário ou perfil do IAM) de uma organização ou conta tentaram acessar o serviço por último e quando isso ocorreu. Para saber mais sobre o relatório e como visualizar as informações acessadas por último para o AWS Organizations, consulte Visualizar as últimas informações acessadas do Organizations.
Para obter cenários de exemplo de uso das informações do último acesso para tomar decisões sobre as permissões que você concede às suas entidades do Organizations, consulte Cenários de exemplo para uso de informações acessadas por último.
Coisas para saber sobre as informações acessadas por último
Para usar as informações do acesso mais recente em um relatório para alterar as permissões de uma identidade do IAM ou do Organizations, analise os detalhes a seguir sobre as informações.
-
Período de rastreamento: a atividade recente geralmente aparece no console do IAM em até quatro horas. O período de rastreamento para as informações de serviço é de, no mínimo, 400 dias, dependendo do momento em que o serviço começou a rastrear as informações das ações. O período de rastreamento das informações de ações do Amazon S3 começou em 12 de abril de 2020. O período de rastreamento das ações do Amazon EC2, do IAM e do Lambda começou em 7 de abril de 2021. O período de rastreamento para todos os outros serviços começou em 23 de maio de 2023. Para obter uma lista de serviços para os quais informações acessadas pela última vez pela ação estão disponíveis, consulte Serviços e ações para os quais a ação do IAM acessou informações pela última vez. Para obter mais informações sobre em quais regiões informações acessadas pela última vez pela ação estão disponíveis, consulte Onde a AWS rastreia informações acessadas por último.
-
Tentativas relatadas: os dados do último acesso ao serviço incluem todas as tentativas de acesso a uma API da AWS, não somente as tentativas bem-sucedidas. Isso inclui todas as tentativas de acesso que foram feitas usando o AWS Management Console, a API da AWS por meio de qualquer um dos SDKs ou qualquer uma das ferramentas da linha de comando. Uma entrada inesperada nos dados de últimos serviços acessados não significa que sua conta foi comprometida, pois a solicitação pode ter sido negada. Consulte os logs do CloudTrail como a fonte segura para obter informações sobre todas as chamadas de API e se elas foram bem-sucedidas ou tiveram acesso negado.
-
PassRole: a ação
iam:PassRole
não é rastreada e não está incluída nas informações acessadas pela última vez pela ação do IAM. -
Informações acessadas pela última vez pela ação: as informações acessadas pela última vez pela ação estão disponíveis para ações de gerenciamento acessadas por identidades do IAM. Veja a lista de serviços e suas ações para as quais a ação acessou informações de relatório pela última vez.
nota
As informações acessadas pela última vez pela ação não estão disponíveis para eventos de dados do Amazon S3.
-
Eventos de gerenciamento: o IAM fornece informações de ação para eventos de gerenciamento de serviço que são registrados em log pelo CloudTrail. Às vezes, eventos de gerenciamento do CloudTrail também são chamados de operações do ambiente de gerenciamento ou eventos do ambiente de gerenciamento. Eventos de gerenciamento fornecem visibilidade nas operações de gerenciamento executadas em recursos na sua Conta da AWS. Para saber mais sobre eventos de gerenciamento no CloudTrail, consulte Registro em log de eventos de gerenciamento no Guia do usuário do AWS CloudTrail.
-
Report owner (Proprietário do relatório): somente a entidade de segurança que gera um relatório pode visualizar os detalhes do relatório. Isso significa que, quando você visualizar as informações no AWS Management Console, talvez precisará esperar que elas sejam geradas e carregadas. Se você usar a AWS CLI ou a API da AWS para obter detalhes do relatório, suas credenciais deverão corresponder às credenciais do principal que gerou o relatório. Se você usar credenciais temporárias para uma função ou um usuário federado, será necessário gerar e recuperar o relatório durante a mesma sessão. Para obter mais informações sobre as entidades principais de sessão de função assumida, consulte Elementos da política JSON da AWS:Principal.
-
Recursos do IAM: as informações sobre os acessos mais recentes ao IAM incluem os recursos do IAM (perfis, usuários políticas e grupos do IAM) da sua conta. As informações de acesso mais recente do Organizations incluem entidades principais (usuários do IAM, perfis do IAM ou o Usuário raiz da conta da AWS) na entidade especificada do Organizations. As informações de acesso mais recente não incluem tentativas não autenticadas.
-
Tipos de política do IAM: as informações de acesso mais recente do IAM incluem serviços permitidos por políticas de uma identidade do IAM. Essas são as políticas anexadas a uma função ou a um usuário diretamente ou por meio de um grupo. O acesso permitido por outros tipos de política não está incluído no relatório. Os tipos de política excluídos incluem políticas baseadas em recurso, listas de controle de acesso, SCPs do AWS Organizations, limites de permissões do IAM e políticas de sessão. As permissões fornecidas por funções vinculadas ao serviço são definidas pelo serviço ao qual estão vinculadas e não podem ser modificadas no IAM. Para saber mais sobre funções vinculadas ao serviço, consulte Criar um perfil vinculado ao serviço Para saber como os diferentes tipos de política são avaliados para permitir ou negar acesso, consulte Lógica da avaliação de política.
-
Organizations policy types (Tipos de política do Organizations): as informações do AWS Organizations incluem somente os serviços permitidos pelas políticas de controle de serviço (SCPs) herdadas de uma entidade do Organizations. SCPs são políticas anexadas a uma raiz, UO ou conta. O acesso permitido por outros tipos de política não está incluído no relatório. Os tipos de política excluídos incluem políticas baseadas em identidade, políticas baseadas em recurso, listas de controle de acesso, limites de permissões do IAM e políticas de sessão. Para saber como os tipos de política diferentes são avaliados para permitir ou negar acesso, consulte Lógica da avaliação de política.
-
Specifying a policy ID (Especificar um ID de política): ao usar a AWS CLI ou a API da AWS para gerar um relatório das informações do último acesso do Organizations, você também pode especificar um ID de política. O relatório resultante inclui informações dos serviços permitidos somente por essa política. As informações incluem as atividades de conta mais recentes na entidade do Organizations especificada ou nos filhos da entidade. Para obter mais informações, consulte aws iam generate-organizations-access-report ou GenerateOrganizationsAccessReport.
-
Organizations management account (Conta de gerenciamento do Organizations): você deve fazer login na conta de gerenciamento da sua organização para visualizar as informações do último acesso ao serviço. Você pode escolher visualizar informações da conta de gerenciamento usando o console do IAM, a AWS CLI, ou a API da AWS. O relatório resultante lista todos os produtos da AWS, porque a conta de gerenciamento não é limitada pelas SCPs. Se você especificar um ID de política na CLI ou API, a política será ignorada. Para cada serviço, o relatório inclui informações somente da conta de gerenciamento. No entanto, os relatórios e outras entidades do Organizations não retornam informações de atividades na conta de gerenciamento.
-
Organizations settings (Configurações do Organizations): um administrador deve habilitar as SCPs na raiz de sua organização para que você possa gerar dados do Organizations.
Permissões obrigatórias
Para visualizar as informações acessadas por último no AWS Management Console, você deve ter uma política que conceda as permissões necessárias.
Permissões para visualizar informações do IAM
Para usar o console do IAM para visualizar as informações do último acesso de um usuário, uma função ou uma política do IAM, você deve ter uma política que inclua as seguintes ações:
-
iam:GenerateServiceLastAccessedDetails
-
iam:Get*
-
iam:List*
Essas permissões permitem que um usuário veja o seguinte:
-
Quais usuários, grupos ou funções são anexados a uma política gerenciada
-
Quais serviços um usuário ou uma função pode acessar
-
A última vez em que acessaram o serviço
-
A última vez que tentaram usar uma ação específica do Amazon EC2, IAM, Lambda ou Amazon S3
Para usar a AWS CLI ou a API da AWS para visualizar as informações do último acesso do IAM, você deve ter permissões correspondentes à operação que deseja usar:
-
iam:GenerateServiceLastAccessedDetails
-
iam:GetServiceLastAccessedDetails
-
iam:GetServiceLastAccessedDetailsWithEntities
-
iam:ListPoliciesGrantingServiceAccess
Este exemplo mostra como você pode criar uma política baseada em identidade que permite visualizar as informações do último acesso ao IAM. Além disso, permite o acesso somente leitura a todo o IAM. Esta política define permissões para acesso programático e do console.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }
Permissões para informações do AWS Organizations
Para usar o console do IAM para visualizar um relatório de entidades raiz, UO ou da conta no Organizations, você deve ter uma política que inclua as seguintes ações:
-
iam:GenerateOrganizationsAccessReport
-
iam:GetOrganizationsAccessReport
-
organizations:DescribeAccount
-
organizations:DescribeOrganization
-
organizations:DescribeOrganizationalUnit
-
organizations:DescribePolicy
-
organizations:ListChildren
-
organizations:ListParents
-
organizations:ListPoliciesForTarget
-
organizations:ListRoots
-
organizations:ListTargetsForPolicy
Para usar a AWS CLI ou a API da AWS para visualizar informações do último acesso ao serviço para o Organizations, você deve ter uma política que inclua as seguintes ações:
-
iam:GenerateOrganizationsAccessReport
-
iam:GetOrganizationsAccessReport
-
organizations:DescribePolicy
-
organizations:ListChildren
-
organizations:ListParents
-
organizations:ListPoliciesForTarget
-
organizations:ListRoots
-
organizations:ListTargetsForPolicy
Este exemplo mostra como você pode criar uma política baseada em identidade que permite visualizar os serviços acessados por último para Organizations. Além disso, permite o acesso somente leitura a todo o Organizations. Esta política define permissões para acesso programático e do console.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }
Você também pode usar a chave de condição iam:OrganizationsPolicyId para permitir a geração de um relatório apenas de uma determinada política do Organizations. Para visualizar um exemplo de política, consulte IAM: visualizar as informações do último acesso ao serviço para uma política do Organizations.
Atividades de solução de problemas para entidades do IAM e do Organizations
Em alguns casos, a tabela de informações acessadas por último do AWS Management Console pode estar vazia. Ou talvez sua solicitação da AWS CLI ou da API da AWS retorne um conjunto vazio de informações ou um campo nulo. Nesses casos, analise os seguintes problemas:
-
Para informações acessadas pela última vez pela ação, uma ação que você está esperando ver pode não ser retornada na lista. Isso pode acontecer porque a identidade do IAM não tem permissões para a ação ou a AWS ainda não rastreia a ação quanto a informações do acesso mais recente.
-
Para um usuário do IAM, verifique se o usuário tem pelo menos uma política gerenciada ou em linha anexada, diretamente ou por meio de associações de grupo.
-
Para um grupo do IAM, verifique se o grupo tem pelo menos uma política em linha ou gerenciada anexada.
-
Para um grupo do IAM, o relatório só retorna as informações do último acesso ao serviço de membros que usaram as políticas do grupo para acessar um serviço. Para saber se um membro usou outras políticas, revise as informações acessadas por último desse usuário.
-
Para uma função do IAM, verifique se a função tem pelo menos uma política em linha ou gerenciada anexada.
-
Para uma entidade do IAM (usuário ou função), revise outros tipos de política que possam afetar as permissões dessa entidade. Entre eles estão políticas baseadas em recurso, listas de controle de acesso, políticas do AWS Organizations, limites de permissões do IAM ou políticas de sessão. Para obter mais informações, consulte Tipos de políticas ou Avaliação de políticas em uma única conta.
-
Para uma política do IAM, verifique se a política gerenciada especificada está anexada a pelo menos um usuário, grupo com membros ou função.
-
Para uma entidade (raiz, UO ou conta) do Organizations, certifique-se de que você esteja conectado usando as credenciais da conta de gerenciamento do Organizations.
-
Verifique se as SCPs estão habilitadas na raiz da sua organização.
-
As informações de ação acessadas por último só estão disponíveis para as ações listadas em Serviços e ações para os quais a ação do IAM acessou informações pela última vez.
Ao fazer alterações, aguarde pelo menos quatro horas para que a atividade seja exibida no relatório do console do IAM. Se usar a AWS CLI ou a API da AWS, você deverá gerar um novo relatório para visualizar as informações atualizadas.
Onde a AWS rastreia informações acessadas por último
A AWS coleta informações de último acesso das regiões padrão da AWS. Quando a AWS adiciona mais regiões, essas regiões são adicionas à seguinte tabela, incluindo a data em que a AWS começou a rastrear informações em cada região.
-
Informações de serviço: o período de rastreamento para os serviços é de, no mínimo, 400 dias, ou menos, caso a sua região tenha começado a rastrear esse recurso nos últimos 400 dias.
-
Informações de ações: o período de rastreamento das ações de gerenciamento do Amazon S3 teve início em 12 de abril de 2020. O período de rastreamento para ações de gerenciamento do Amazon EC2, do IAM e do Lambda começou em 7 de abril de 2021. O período de rastreamento para ações de gerenciamento de todos os outros serviços começou em 23 de maio de 2023. Se a data de rastreamento de uma região for posterior a 23 de maio de 2023, as informações acessadas pela última vez pela ação para essa região começarão em uma data posterior.
Nome da região | Região | Data de início do rastreamento |
---|---|---|
Leste dos EUA (Ohio) | us-east-2 | 27 de outubro de 2017 |
Leste dos EUA (Norte da Virgínia) | us-east-1 | 1 de outubro de 2015 |
Oeste dos EUA (N. da Califórnia) | us-west-1 | 1 de outubro de 2015 |
Oeste dos EUA (Oregon) | us-west-2 | 1 de outubro de 2015 |
África (Cidade do Cabo) | af-south-1 | 22 de abril de 2020 |
Ásia-Pacífico (Hong Kong) | ap-east-1 | 24 de abril de 2019 |
Ásia-Pacífico (Hyderabad) | ap-south-2 | 22 de novembro de 2022 |
Ásia-Pacífico (Jacarta) | ap-southeast-3 | 13 de dezembro de 2021 |
Ásia-Pacífico (Melbourne) | ap-southeast-4 | 23 de janeiro de 2023 |
Ásia-Pacífico (Mumbai) | ap-south-1 | 27 de junho de 2016 |
Ásia-Pacífico (Osaka) | ap-northeast-3 | 11 de fevereiro de 2018 |
Ásia-Pacífico (Seul) | ap-northeast-2 | 6 de janeiro de 2016 |
Ásia-Pacífico (Singapura) | ap-southeast-1 | 1 de outubro de 2015 |
Ásia-Pacífico (Sydney) | ap-southeast-2 | 1 de outubro de 2015 |
Ásia-Pacífico (Tóquio) | ap-northeast-1 | 1 de outubro de 2015 |
Canadá (Central) | ca-central-1 | 28 de outubro de 2017 |
Europa (Frankfurt) | eu-central-1 | 1 de outubro de 2015 |
Europa (Irlanda) | eu-west-1 | 1 de outubro de 2015 |
Europa (Londres) | eu-west-2 | 28 de outubro de 2017 |
Europa (Milão) | eu-south-1 | 28 de abril de 2020 |
Europa (Paris) | eu-west-3 | 18 de dezembro de 2017 |
Europa (Espanha) | eu-south-2 | 15 de novembro de 2022 |
Europa (Estocolmo) | eu-north-1 | 12 de dezembro de 2018 |
Europa (Zurique) | eu-central-2 | 8 de novembro de 2022 |
Israel (Tel Aviv) | il-central-1 | 1º de agosto de 2023 |
Oriente Médio (Barém) | me-south-1 | 29 de julho de 2019 |
Oriente Médio (Emirados Árabes Unidos) | me-central-1 | 30 de agosto de 2022 |
América do Sul (São Paulo) | sa-east-1 | 11 de dezembro de 2015 |
AWS GovCloud (Leste dos EUA) | us-gov-east-1 | 1º de julho de 2023 |
AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | 1º de julho de 2023 |
Se uma região não estiver listada na tabela anterior, essa região ainda não fornece informações acessadas por último.
Uma região da AWS é uma coleção de recursos da AWS em uma área geográfica. As regiões são agrupadas em partições. As regiões padrão são aquelas que pertencem à partição aws
. Para obter mais informações sobre as diferentes partições, consulte Formato de nomes de recursos da Amazon (ARNs) na Referência geral da AWS. Para obter mais informações sobre regiões, consulte Sobre regiões da AWS também na Referência geral da AWS.