Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami cara kerja temuan IAM Access Analyzer

Topik ini menjelaskan konsep dan istilah yang digunakan dalam IAM Access Analyzer untuk membantu Anda menjadi akrab dengan cara IAM Access Analyzer memantau akses ke sumber daya Anda. AWS

Temuan akses eksternal

Temuan akses eksternal dihasilkan hanya sekali untuk setiap contoh sumber daya yang dibagikan di luar zona kepercayaan Anda. Setiap kali kebijakan berbasis sumber daya diubah, IAM Access Analyzer menganalisis kebijakan tersebut. Jika kebijakan yang diperbarui membagikan sumber daya yang sudah diidentifikasi dalam temuan, tetapi menggunakan izin atau ketentuan yang berbeda, temuan baru akan dihasilkan untuk contoh pembagian sumber daya tersebut. Perubahan pada kebijakan pengendalian sumber daya yang berdampak pada pembatasan Resource Control Policy (RCP) juga menghasilkan temuan baru. Jika akses dalam temuan pertama dihapus, temuan itu diperbarui ke status Terselesaikan.

Status semua temuan tetap Aktif sampai Anda mengarsipkannya atau menghapus akses yang menghasilkan temuan. Saat Anda menghapus akses, status temuan diperbarui ke Terselesaikan.

Bagaimana IAM Access Analyzer menghasilkan temuan untuk akses eksternal

AWS Identity and Access Management Access Analyzer Menggunakan teknologi yang disebut Zelkova untuk menganalisis kebijakan IAM dan mengidentifikasi akses eksternal ke sumber daya.

Zelkova menerjemahkan kebijakan IAM ke dalam pernyataan logis yang setara dan menjalankannya melalui serangkaian pemecah logis tujuan umum dan khusus (teori modulo kepuasan). IAM Access Analyzer menerapkan Zelkova berulang kali pada kebijakan, menggunakan kueri yang semakin spesifik untuk mengkarakterisasi jenis akses yang diizinkan kebijakan berdasarkan kontennya. Untuk informasi lebih lanjut tentang teori modulo kepuasan, lihat Teori Modulo Kepuasan.

Untuk penganalisis akses eksternal, IAM Access Analyzer tidak memeriksa log akses untuk menentukan apakah entitas eksternal telah benar-benar mengakses sumber daya dalam zona kepercayaan Anda. Sebaliknya, ini menghasilkan temuan ketika kebijakan berbasis sumber daya memungkinkan akses ke sumber daya, terlepas dari apakah sumber daya diakses oleh entitas eksternal.

Selain itu, IAM Access Analyzer tidak mempertimbangkan status akun eksternal apa pun saat membuat penentuannya. Jika ini menunjukkan bahwa akun 111122223333 dapat mengakses bucket Amazon S3 Anda, akun tersebut tidak memiliki informasi apa pun tentang pengguna, peran, kebijakan kontrol layanan (SCP), atau konfigurasi relevan lainnya di akun tersebut. Ini untuk privasi pelanggan, karena IAM Access Analyzer tidak tahu siapa yang memiliki akun lain. Ini juga untuk keamanan, karena penting untuk mengetahui tentang potensi akses eksternal bahkan jika saat ini tidak ada prinsip aktif yang dapat menggunakannya.

IAM Access Analyzer hanya mempertimbangkan kunci kondisi IAM tertentu yang tidak dapat dipengaruhi secara langsung oleh pengguna eksternal atau yang berdampak pada otorisasi. Untuk contoh kunci kondisi yang dipertimbangkan oleh IAM Access Analyzer, lihat Kunci filter IAM Access Analyzer.

IAM Access Analyzer saat ini tidak melaporkan temuan dari Layanan AWS kepala sekolah atau akun layanan internal. Dalam kasus yang jarang terjadi di mana ia tidak dapat sepenuhnya menentukan apakah pernyataan kebijakan memberikan akses ke entitas eksternal, itu salah di sisi mendeklarasikan temuan positif palsu. Ini karena IAM Access Analyzer dirancang untuk memberikan pandangan komprehensif tentang berbagi sumber daya di akun Anda dan untuk meminimalkan negatif palsu.

Temuan akses yang tidak digunakan

Temuan akses yang tidak digunakan dihasilkan untuk entitas IAM dalam akun atau organisasi yang dipilih berdasarkan jumlah hari yang ditentukan saat membuat penganalisis. Temuan baru dihasilkan saat penganalisis memindai entitas berikutnya jika salah satu dari kondisi berikut terpenuhi:

Bagaimana IAM Access Analyzer menghasilkan temuan untuk akses yang tidak digunakan

Untuk menganalisis akses yang tidak digunakan, Anda harus membuat penganalisis terpisah untuk temuan akses yang tidak digunakan untuk peran Anda, bahkan jika Anda telah membuat penganalisis untuk menghasilkan temuan akses eksternal untuk sumber daya Anda.

Setelah membuat penganalisis akses yang tidak digunakan, IAM Access Analyzer meninjau aktivitas akses untuk mengidentifikasi akses yang tidak digunakan. IAM Access Analyzer memeriksa informasi terakhir yang diakses untuk semua peran, kunci akses pengguna, dan kata sandi pengguna di seluruh AWS organisasi dan akun Anda. Ini membantu Anda mengidentifikasi akses yang tidak digunakan.

Untuk peran dan pengguna IAM aktif, IAM Access Analyzer menggunakan informasi terakhir yang diakses untuk layanan dan tindakan IAM untuk mengidentifikasi izin yang tidak digunakan. Ini memungkinkan Anda untuk menskalakan proses peninjauan Anda di tingkat AWS organisasi dan akun. Anda juga dapat menggunakan tindakan informasi yang diakses terakhir untuk penyelidikan lebih dalam tentang peran individu. Ini memberikan wawasan yang lebih terperinci tentang izin tertentu yang tidak digunakan.

Dengan membuat penganalisis yang didedikasikan untuk akses yang tidak digunakan, Anda dapat meninjau dan mengidentifikasi akses yang tidak digunakan secara komprehensif di seluruh AWS lingkungan Anda, melengkapi temuan yang dihasilkan oleh penganalisis akses eksternal yang ada.