Usando o AWS IAM Access Analyzer - AWS Identity and Access Management

Usando o AWS IAM Access Analyzer

AWSO IAM Access Analyzer fornece os seguintes recursos:

  • O Access Analyzer ajuda a identificar os recursos da organização e as contas que são compartilhados com uma entidade externa.

  • O Access Analyzer valida políticas do IAM em relação à gramática e práticas recomendadas para políticas.

  • O Access Analyzer gera políticas do IAM com base na atividade de acesso dos logs do AWS CloudTrail.

Identificar recursos compartilhados com uma entidade externa

O Access Analyzer ajuda você a identificar os recursos da organização e as contas, como buckets do Amazon S3 ou perfis do IAM, que são compartilhadas com uma entidade externa. Isso permite identificar o acesso não intencional aos seus recursos e dados, o que é um risco de segurança. O Access Analyzer identifica recursos compartilhados com entidades externas usando raciocínio baseado em lógica para analisar as políticas baseadas em recurso no ambiente da AWS. Para cada instância de um recurso compartilhado fora de sua conta, o Access Analyzer gera uma descoberta. As descobertas incluem informações sobre o acesso e a entidade externa a que é concedido. Elas podem ser analisadas para determinar se o acesso é intencional e seguro ou se não é intencional e representa um risco à segurança. Além de ajudar você a identificar recursos compartilhados com uma entidade externa, você pode usar as descobertas do Access Analyzer para pré-visualizar como sua política afeta o acesso público e entre contas ao seu recurso antes de implantar as permissões do recurso.

nota

Uma entidade externa pode ser outra conta da AWS, um usuário raiz, um usuário ou uma função do IAM, um usuário federado, um produto da AWS, um usuário anônimo ou outra entidade que você possa usar para criar um filtro. Para obter mais informações, consulte Elementos da política JSON da AWS: principal.

Ao habilitar o Access Analyzer, você cria um analisador para toda a sua organização ou sua conta. A organização ou a conta escolhida é conhecida como a zona de confiança do analisador. O analisador monitora todos os recursos compatíveis dentro da sua zona de confiança. Qualquer acesso aos recursos feito por entidades que estão dentro da sua zona de confiança é considerado confiável. Depois de habilitado, o Access Analyzer analisará as políticas aplicadas a todos os recursos compatíveis da zona de confiança. Depois da primeira análise, o Access Analyzer analisará essas políticas periodicamente. Se você adicionar uma nova política ou alterar uma política existente, o Access Analyzer analisará a política nova ou atualizada em cerca de 30 minutos.

Ao analisar as políticas, se o Access Analyzer identificar uma que conceda acesso a uma entidade externa que não esteja dentro da sua zona de confiança, ele gerará uma descoberta. Cada descoberta inclui detalhes sobre o recurso, sobre a entidade externa com acesso a ele e sobre as permissões concedidas para que você possa tomar as medidas apropriadas. É possível visualizar os detalhes incluídos na descoberta para determinar se o acesso ao recurso é intencional ou um risco potencial que deve ser resolvido. Quando você adiciona uma política a um recurso ou atualiza uma política existente, o Access Analyzer analisa a política. O Access Analyzer também analisa todas as políticas baseadas em recurso periodicamente.

Em raras ocasiões sob determinadas condições, o Access Analyzer não recebe notificação sobre uma política adicionada ou atualizada. O Access Analyzer pode levar até seis horas para gerar ou resolver descobertas se você criar ou excluir um ponto de acesso multirregional associado a um bucket do S3 ou atualizar a política para o ponto de acesso multirregiões. Além disso, se houver um problema de entrega com a entrega do log do AWS CloudTrail, a alteração da política não acionará uma nova verificação do recurso relatado na descoberta. Quando isso acontece, o Access Analyzer analisa a política nova ou atualizada durante a próxima verificação periódica, que ocorre em até 24 horas. Se desejar confirmar que uma alteração feita em uma política resolve um problema de acesso relatado em uma descoberta, você poderá fazer outra verificação do recurso relatado em uma descoberta usando o link Rescan (Verificar novamente) na página de detalhes Findings (Descoberta) ou usando a operação StartResourceScan da API do Access Analyzer. Para saber mais, consulte Resolver descobertas.

Importante

O Access Analyzer analisa somente políticas aplicadas a recursos na mesma região da AWS em que está habilitado. Para monitorar todos os recursos do seu ambiente da AWS, é necessário criar um analisador para habilitar o Access Analyzer em cada região em que você está usando recursos da AWS compatíveis.

O Access Analyzer analisa os seguintes tipos de recursos:

Validar políticas

Você pode validar suas políticas usando verificações de política do Access Analyzer. É possível criar ou editar uma política usando a AWS CLI,a API da AWS ou o editor de políticas de JSON no console do IAM. O Access Analyzer valida sua política em relação à Gramática das políticas e às práticas recomendadas do IAM. Você pode visualizar as descobertas de verificação de validação de política que incluem avisos de segurança, erros, avisos gerais e sugestões para sua política. Essas descobertas fornecem recomendações práticas que ajudam a criar políticas que sejam funcionais e estejam em conformidade com as práticas recomendadas de segurança. Para saber mais sobre como validar políticas usando o Access Analyzer, consulte Validação de política do Access Analyzer.

Geração de políticas

O Access Analyzer analisa seus logs do AWS CloudTrail para identificar ações e serviços que foram usados por uma entidade do IAM (usuário ou função) dentro do intervalo de datas especificado. Em seguida, ele gera uma política do IAM com base nessa atividade de acesso. Você pode usar a política gerada para refinar as permissões de uma entidade anexando-a a um usuário ou uma função do IAM. Para saber mais sobre como gerar políticas usando o Access Analyzer, consulte Geração de política do IAM Access Analyzer.