Políticas gerenciadas pela AWS para o AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management

Políticas gerenciadas pela AWS para o AWS Identity and Access Management Access Analyzer

Para adicionar permissões a usuários, grupos e funções, é mais fácil usar políticas gerenciadas pela AWS do que gravar políticas por conta própria. É necessário tempo e experiência para criar políticas gerenciadas pelo cliente do IAM que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, é possível usar nossas políticas gerenciadas pela AWS. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua conta da AWS. Para obter mais informações sobre políticas gerenciadas pela AWS, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

Os serviços da AWS mantêm e atualizam políticas gerenciadas pela AWS. Não é possível alterar as permissões em políticas gerenciadas pela AWS. Os serviços ocasionalmente acrescentam permissões adicionais a uma política gerenciada pela AWS para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política gerenciada pela AWS quando um novo recurso for iniciado ou novas operações se tornarem disponíveis. Os serviços não removem permissões de uma política gerenciada pela AWS, portanto, as atualizações de políticas não suspendem suas permissões existentes.

Além disso, a AWS oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política gerenciada pela AWS chamada ReadOnlyAccess fornece acesso somente leitura a todos os produtos e recursos da AWS. Quando um serviço executa um novo recurso, a AWS adiciona permissões somente leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de funções de trabalho, consulte Políticas gerenciadas pela AWS para funções de trabalho no Guia do usuário do IAM.

IAMReadOnlyAccess

Use a política gerenciada IAMReadOnlyAccess para permitir acesso do tipo somente leitura a recursos do IAM. Essa política concede permissão para obter e listar todos os recursos do IAM. Ela permite visualizar detalhes e relatórios de atividades para usuários, grupos, funções, políticas, provedores de identidade e dispositivos com MFA. A política não inclui a capacidade de criar ou excluir recursos, ou de acessar os recursos do IAM Access Analyzer. Consulte a política para obter a lista completa de serviços e ações suportados por essa política.

IAMUserChangePassword

Use a política gerenciada IAMUserChangePassword para permitir que usuários do IAM alterem suas senhas.

Você define suas Configurações de conta do IAM e a Política de senhas para permitir que os usuários do IAM alterem suas senhas da conta do IAM. Quando você permite essa ação, o IAM anexa a seguinte política a cada usuário:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ChangePassword" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy" ], "Resource": "*" } ] }

IAMAccessAnalyzerFullAccess

Usar a política gerenciada pela AWS IAMAccessAnalyzerFullAccess para permitir que seus administradores acessem o IAM Access Analyzer.

Agrupamentos de permissões

Esta política é agrupada em declarações com base no conjunto de permissões fornecidas.

  • IAM Access Analyzer: concede permissões administrativas totais para todos os recursos no IAM Access Analyzer.

  • Criar função vinculada ao serviço: permite que o administrador crie uma função vinculada ao serviço, que permite que o IAM Access Analyzer analise recursos em outros serviços em seu nome. Essa permissão permite criar a função vinculada ao serviço somente para uso pelo IAM Access Analyzer.

  • AWS Organizations: permite que os administradores usem o IAM Access Analyzer para uma organização no AWS Organizations. Depois de habilitar o acesso confiável para o IAM Access Analyzer no AWS Organizations, os membros da conta de gerenciamento podem visualizar as descobertas em toda a organização.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "access-analyzer:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "access-analyzer.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots" ], "Resource": "*" } ] }

IAMAccessAnalyzerReadOnlyAccess

Use a política gerenciada pela AWS IAMAccessAnalyzerReadOnlyAccess para permitir acesso somente leitura ao IAM Access Analyzer.

Para permitir acesso somente leitura ao IAM Access Analyzer para o AWS Organizations, crie uma política gerenciada pelo cliente que permita as ações Describe (Descrever) e List (Listar) da política IAMAccessAnalyzerFullAccess gerenciada pela AWS.

Permissões no nível do serviço

Esta política fornece acesso somente leitura ao IAM Access Analyzer. Nenhuma outra permissão de serviço está incluída nesta política.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "access-analyzer:Get*", "access-analyzer:List*", "access-analyzer:ValidatePolicy" ], "Resource": "*" } ] }

AccessAnalyzerServiceRolePolicy

Você não pode anexar AccessAnalyzerServiceRolePolicy às entidades do IAM. Esta política está anexada a uma função vinculada ao serviço que permite ao IAM Access Analyzer executar ações em seu nome. Para obter mais informações, consulte Usar funções vinculadas ao serviço do AWS Identity and Access Management Access Analyzer.

Permissões no nível do serviço

Esta política permite acesso ao IAM Access Analyzer para analisar metadados de recursos de vários Serviços da AWS. A política também concede permissões para o AWS Organizations e permite a criação de um analisador na organização da AWS como a zona de confiança.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeAddresses", "ec2:DescribeByoipCidrs", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "iam:GetRole", "iam:ListRoles", "kms:DescribeKey", "kms:GetKeyPolicy", "kms:ListGrants", "kms:ListKeyPolicies", "kms:ListKeys", "lambda:GetFunctionUrlConfig", "lambda:GetLayerVersionPolicy", "lambda:GetPolicy", "lambda:ListAliases", "lambda:ListFunctions", "lambda:ListLayers", "lambda:ListLayerVersions", "lambda:ListVersionsByFunction", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetAccessPoint", "s3:GetAccessPointPolicy", "s3:GetAccessPointPolicyStatus", "s3:GetAccountPublicAccessBlock", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketPolicyStatus", "s3:GetBucketPolicy", "s3:GetBucketPublicAccessBlock", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListAccessPoints", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints", "sns:GetTopicAttributes", "sns:ListTopics", "secretsmanager:DescribeSecret", "secretsmanager:GetResourcePolicy", "secretsmanager:ListSecrets", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" } ] }

Atualizações do IAM e do IAM Access Analyzer sobre políticas gerenciadas da AWS

Veja detalhes sobre atualizações do IAM e políticas gerenciadas da AWS desde que esse serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações nesta página, assine o feed RSS nas páginas de históricos de documentos do IAM e do IAM Access Analyzer.

Alteração Descrição Data
AccessAnalyzerServiceRolePolicy: permissões adicionadas O IAM Access Analyzer adicionou a ação lambda:GetFunctionUrlConfig para as permissões de nível de serviço do AccessAnalyzerServiceRolePolicy. 6 de abril de 2022
AccessAnalyzerServiceRolePolicy: permissões adicionadas O IAM Access Analyzer adicionou novas ações do Amazon S3 para analisar metadados associados a pontos de acesso multirregiões. 2 de setembro de 2021

IAMAccessAnalyzerReadOnlyAccess: permissões adicionadas

O IAM Access Analyzer adicionou uma nova ação para conceder permissões ValidatePolicy para permitir que você use as verificações de política para validação.

Essa permissão é exigida pelo IAM Access Analyzer para executar verificações de política em suas políticas.

16 de março de 2021

O IAM Access Analyzer começou a monitorar alterações

O IAM Access Analyzer começou a rastrear alterações para suas políticas gerenciadas pela AWS.

1º de março de 2021