Políticas gerenciadas pela AWS para o AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management
IAMReadOnlyAccessIAMUserChangePasswordIAMAccessAnalyzerFullAccessIAMAccessAnalyzerReadOnlyAccessAccessAnalyzerServiceRolePolicyAtualizações da política

Políticas gerenciadas pela AWS para o AWS Identity and Access Management Access Analyzer

Uma política gerenciada pela AWS é uma política independente criada e administrada pela AWS. As políticas gerenciadas pela AWS são criadas para fornecer permissões a vários casos de uso comuns a fim de que você possa começar a atribuir permissões a usuários, grupos e perfis.

Lembre-se de que as políticas gerenciadas pela AWS podem não conceder permissões de privilégio mínimo para seus casos de uso específicos, por estarem disponíveis para uso por todos os clientes da AWS. Recomendamos que você reduza ainda mais as permissões definindo políticas gerenciadas pelo cliente da  específicas para seus casos de uso.

Você não pode alterar as permissões definidas em políticas gerenciadas AWS. Se AWS atualiza as permissões definidas em um política gerenciada por AWS, a atualização afeta todas as identidades de entidades principais (usuários, grupos e perfis) às quais a política estiver vinculada. É provável que AWS atualize uma política gerenciada por AWS quando um novo AWS service (Serviço da AWS) for lançado, ou novas operações de API forem disponibilizadas para os serviços existentes.

Para obter mais informações, consulte Políticas gerenciadas pela AWS no Guia do usuário do IAM.

IAMReadOnlyAccess

Use a política gerenciada IAMReadOnlyAccess para permitir acesso do tipo somente leitura a recursos do IAM. Essa política concede permissão para obter e listar todos os recursos do IAM. Ela permite visualizar detalhes e relatórios de atividades para usuários, grupos, funções, políticas, provedores de identidade e dispositivos com MFA. A política não inclui a capacidade de criar ou excluir recursos, ou de acessar os recursos do IAM Access Analyzer. Consulte a política para obter a lista completa de serviços e ações suportados por essa política.

IAMUserChangePassword

Use a política gerenciada IAMUserChangePassword para permitir que usuários do IAM alterem suas senhas.

Você define suas Configurações de conta do IAM e a Política de senhas para permitir que os usuários do IAM alterem suas senhas da conta do IAM. Quando você permite essa ação, o IAM anexa a seguinte política a cada usuário:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

IAMAccessAnalyzerFullAccess

Usar a política gerenciada pela AWS IAMAccessAnalyzerFullAccess para permitir que seus administradores acessem o IAM Access Analyzer.

Agrupamentos de permissões

Esta política é agrupada em declarações com base no conjunto de permissões fornecidas.

  • IAM Access Analyzer: concede permissões administrativas totais para todos os recursos no IAM Access Analyzer.

  • Criar função vinculada ao serviço: permite que o administrador crie uma função vinculada ao serviço, que permite que o IAM Access Analyzer analise recursos em outros serviços em seu nome. Essa permissão permite criar a função vinculada ao serviço somente para uso pelo IAM Access Analyzer.

  • AWS Organizations: permite que os administradores usem o IAM Access Analyzer para uma organização no AWS Organizations. Depois de habilitar o acesso confiável para o IAM Access Analyzer no AWS Organizations, os membros da conta de gerenciamento podem visualizar as descobertas em toda a organização.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "access-analyzer:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "access-analyzer.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots"
      ],
      "Resource": "*"
    }
  ]
}

IAMAccessAnalyzerReadOnlyAccess

Use a política gerenciada pela AWS IAMAccessAnalyzerReadOnlyAccess para permitir acesso somente leitura ao IAM Access Analyzer.

Para permitir acesso somente leitura ao IAM Access Analyzer para o AWS Organizations, crie uma política gerenciada pelo cliente que permita as ações Describe (Descrever) e List (Listar) da política IAMAccessAnalyzerFullAccess gerenciada pela AWS.

Permissões no nível do serviço

Esta política fornece acesso somente leitura ao IAM Access Analyzer. Nenhuma outra permissão de serviço está incluída nesta política.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMAccessAnalyzerReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "access-analyzer:CheckAccessNotGranted",
        "access-analyzer:CheckNoNewAccess",
        "access-analyzer:Get*",
        "access-analyzer:List*",
        "access-analyzer:ValidatePolicy"
      ],
      "Resource": "*"
    }
  ]
}

AccessAnalyzerServiceRolePolicy

Você não pode anexar AccessAnalyzerServiceRolePolicy às entidades do IAM. Esta política está anexada a uma função vinculada ao serviço que permite ao IAM Access Analyzer executar ações em seu nome. Para obter mais informações, consulte Usar funções vinculadas ao serviço do AWS Identity and Access Management Access Analyzer.

Agrupamentos de permissões

Esta política permite acesso ao IAM Access Analyzer para analisar metadados de recursos de vários Serviços da AWS.

  • Amazon DynamoDB: concede permissões para visualizar streams e tabelas do DynamoDB.

  • Amazon Elastic Compute Cloud: concede permissões para descrever endereços IP, snapshots e VPCs.

  • Amazon Elastic Container Registry: concede permissões para descrever repositórios de imagens e recuperar políticas de repositórios.

  • Amazon Elastic File System: concede permissões para visualizar a descrição de um sistema de arquivos do Amazon EFS e visualizar a política em nível de recurso para um sistema de arquivos do Amazon EFS.

  • AWS Identity and Access Management: concede permissões para recuperar informações sobre uma função específica e listar os perfis do IAM que têm um prefixo de caminho específico. Aceita permissões para recuperar informações sobre usuários, grupos de usuários, perfis de login, chaves de acesso e os últimos dados acessados do serviço.

  • AWS Key Management Service: concede permissões para visualizar informações detalhadas sobre uma chave do KMS e suas principais políticas e concessões.

  • AWS Lambda: concede permissões para visualizar informações sobre aliases do Lambda, funções, camadas e aliases.

  • AWS Organizations: concede permissões para o Organizations e permite a criação de um analisador na organização da AWS como a zona de confiança.

  • Amazon Relational Database Service: concede permissões para visualizar informações detalhadas sobre snapshots de banco de dados do Amazon RDS e snapshots de cluster de banco de dados do Amazon RDS.

  • Amazon Simple Storage Service: concede permissões para visualizar informações detalhadas sobre pontos de acesso e buckets do Amazon S3 e buckets de diretório do Amazon S3 que usam a classe de armazenamento Amazon S3 Express One.

  • AWS Secrets Manager: concede permissões para visualizar informações detalhadas sobre segredos e políticas de recursos anexadas a segredos.

  • Amazon Simple Notification Service: concede permissões para visualizar informações detalhadas sobre um tópico.

  • Amazon Simple Notification Service: concede permissões para visualizar informações detalhadas sobre filas específicas.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessAnalyzerServiceRolePolicy",
      "Effect": "Allow",
      "Action": [
        "dynamodb:GetResourcePolicy",
        "dynamodb:ListStreams",
        "dynamodb:ListTables",
        "ec2:DescribeAddresses",
        "ec2:DescribeByoipCidrs",
        "ec2:DescribeSnapshotAttribute",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ec2:GetSnapshotBlockPublicAccessState",
        "ecr:DescribeRepositories",
        "ecr:GetRepositoryPolicy",
        "elasticfilesystem:DescribeFileSystemPolicy",
        "elasticfilesystem:DescribeFileSystems",
        "iam:GetRole",
        "iam:ListEntitiesForPolicy",
        "iam:ListRoles",
        "iam:ListUsers",
        "iam:GetUser",
        "iam:GetGroup",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:GetServiceLastAccessedDetails",
        "iam:ListAccessKeys",
        "iam:GetLoginProfile",
        "iam:GetAccessKeyLastUsed",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "iam:ListAttachedRolePolicies",
        "iam:ListUserPolicies",
        "iam:GetUserPolicy",
        "iam:ListAttachedUserPolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListGroupsForUser",
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:ListGrants",
        "kms:ListKeyPolicies",
        "kms:ListKeys",
        "lambda:GetFunctionUrlConfig",
        "lambda:GetLayerVersionPolicy",
        "lambda:GetPolicy",
        "lambda:ListAliases",
        "lambda:ListFunctions",
        "lambda:ListLayers",
        "lambda:ListLayerVersions",
        "lambda:ListVersionsByFunction",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots",
        "rds:DescribeDBClusterSnapshotAttributes",
        "rds:DescribeDBClusterSnapshots",
        "rds:DescribeDBSnapshotAttributes",
        "rds:DescribeDBSnapshots",
        "s3:DescribeMultiRegionAccessPointOperation",
        "s3:GetAccessPoint",
        "s3:GetAccessPointPolicy",
        "s3:GetAccessPointPolicyStatus",
        "s3:GetAccountPublicAccessBlock",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPolicy",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetMultiRegionAccessPoint",
        "s3:GetMultiRegionAccessPointPolicy",
        "s3:GetMultiRegionAccessPointPolicyStatus",
        "s3:ListAccessPoints",
        "s3:ListAllMyBuckets",
        "s3:ListMultiRegionAccessPoints",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "sns:GetTopicAttributes",
        "sns:ListTopics",
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:ListSecrets",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues"
      ],
      "Resource": "*"
    }
  ]
}

Atualizações do IAM e do IAM Access Analyzer sobre políticas gerenciadas da AWS

Veja detalhes sobre atualizações do IAM e políticas gerenciadas da AWS desde que esse serviço começou a monitorar essas alterações. Para obter alertas automáticos sobre alterações nesta página, assine o feed RSS nas páginas de históricos de documentos do IAM e do IAM Access Analyzer.

Alteração Descrição Data
AccessAnalyzerServiceRolePolicy: permissões adicionadas O IAM Access Analyzer adicionou suporte à permissão para recuperar informações sobre políticas de usuário e perfil do IAM para as permissões de nível de serviço de AccessAnalyzerServiceRolePolicy. 30 de maio de 2024
AccessAnalyzerServiceRolePolicy: permissões adicionadas O IAM Access Analyzer adicionou suporte à permissão para recuperar o estado atual do bloco de acesso público para instantâneos do Amazon EC2 para as permissões de nível de serviço de AccessAnalyzerServiceRolePolicy. 23 de janeiro de 2024
AccessAnalyzerServiceRolePolicy: permissões adicionadas O IAM Access Analyzer adicionou suporte a streams e tabelas do DynamoDB às permissões de nível de serviço do AccessAnalyzerServiceRolePolicy. 11 de janeiro de 2024
AccessAnalyzerServiceRolePolicy: permissões adicionadas O IAM Access Analyzer adicionou suporte a buckets de diretório do Amazon S3 para as permissões de nível de serviço de AccessAnalyzerServiceRolePolicy. 1.º de dezembro de 2023

IAMAccessAnalyzerReadOnlyAccess: permissões adicionadas

O IAM Access Analyzer adicionou permissões para permitir que você verifique se as atualizações em suas políticas concedem acesso adicional.

Essa permissão é exigida pelo IAM Access Analyzer para executar verificações de política em suas políticas.

 26 de novembro de 2023
AccessAnalyzerServiceRolePolicy: permissões adicionadas O IAM Access Analyzer adicionou ações IAM para as permissões de nível de serviço de AccessAnalyzerServiceRolePolicy para dar suporte às seguintes ações:

  • Listando entidades para uma política

  • Gerando detalhes do serviço acessados pela última vez

  • Listar informações de chave de acesso

 26 de novembro de 2023
AccessAnalyzerServiceRolePolicy: permissões adicionadas O IAM Access Analyzer adicionou suporte para os seguintes tipos de recursos para as permissões em nível de serviço de AccessAnalyzerServiceRolePolicy:

  • Snapshots de volume do Amazon EBS

  • Repositórios do Amazon ECR

  • Sistemas de arquivos do Amazon EFS

  • Snapshots de banco de dados do Amazon RDS

  • Snapshots de cluster de banco de dados do Amazon RDS

  • Tópicos do Amazon SNS

 25 de outubro de 2022
AccessAnalyzerServiceRolePolicy: permissões adicionadas O IAM Access Analyzer adicionou a ação lambda:GetFunctionUrlConfig para as permissões de nível de serviço do AccessAnalyzerServiceRolePolicy. 6 de abril de 2022
AccessAnalyzerServiceRolePolicy: permissões adicionadas O IAM Access Analyzer adicionou novas ações do Amazon S3 para analisar metadados associados a pontos de acesso multirregiões. 2 de setembro de 2021

IAMAccessAnalyzerReadOnlyAccess: permissões adicionadas

O IAM Access Analyzer adicionou uma nova ação para conceder permissões ValidatePolicy para permitir que você use as verificações de política para validação.

Essa permissão é exigida pelo IAM Access Analyzer para executar verificações de política em suas políticas.

 16 de março de 2021

O IAM Access Analyzer começou a monitorar alterações

O IAM Access Analyzer começou a rastrear alterações para suas políticas gerenciadas pela AWS.

 1º de março de 2021