Jenis sumber daya IAM Access Analyzer untuk akses eksternal - AWS Identity and Access Management
Bucket Amazon S3Ember direktori Amazon S3Peran IAMKunci KMSFungsi LambdaAntrean Amazon SQSRahasia Secrets ManagerTopik Amazon SNSCuplikan volume Amazon EBSCuplikan Amazon RDS DBCuplikan kluster Amazon RDS DBRepositori Amazon ECRSistem file Amazon EFSAliran DynamoDBTabel DynamoDB

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Jenis sumber daya IAM Access Analyzer untuk akses eksternal

Untuk penganalisis akses eksternal, IAM Access Analyzer menganalisis kebijakan berbasis sumber daya yang diterapkan ke sumber AWS daya di Wilayah tempat Anda mengaktifkan IAM Access Analyzer. Ini hanya menganalisis kebijakan berbasis sumber daya. Tinjau informasi tentang setiap sumber daya untuk detail tentang bagaimana IAM Access Analyzer menghasilkan temuan untuk setiap jenis sumber daya.

catatan

Jenis sumber daya yang didukung yang tercantum adalah untuk penganalisis akses eksternal. Penganalisis akses yang tidak digunakan hanya mendukung pengguna dan peran IAM. Untuk informasi selengkapnya, lihat Bekerja dengan temuan.

Bucket Amazon Simple Storage Service

Saat IAM Access Analyzer menganalisis bucket Amazon S3, ia akan menghasilkan temuan saat kebijakan bucket Amazon S3, ACL, atau titik akses, termasuk titik akses Multi-wilayah, diterapkan ke bucket memberikan akses ke entitas eksternal. Entitas eksternal adalah penanggung jawab atau entitas lain yang dapat Anda gunakan untuk buat filter yang tidak berada dalam zona kepercayaan Anda. Misalnya, jika kebijakan bucket memberikan akses ke akun lain atau mengizinkan akses publik, IAM Access Analyzer akan menghasilkan temuan. Namun, jika Anda mengaktifkan Blokir Akses Publik di bucket, Anda dapat memblokir akses di tingkat akun atau tingkat bucket.

catatan

IAM Access Analyzer tidak menganalisis kebijakan titik akses yang dilampirkan ke jalur akses lintas akun karena titik akses dan kebijakannya berada di luar akun penganalisis. IAM Access Analyzer menghasilkan temuan publik saat bucket mendelegasikan akses ke titik akses lintas akun dan Blokir Akses Publik tidak diaktifkan di bucket atau akun. Saat Anda mengaktifkan Blokir Akses Publik, temuan publik diselesaikan dan IAM Access Analyzer menghasilkan temuan lintas akun untuk titik akses lintas akun.

Setelan Amazon S3 Blokir Akses Publik mengesampingkan kebijakan bucket yang diterapkan ke bucket. Pengaturan tersebut juga membatalkan kebijakan titik akses yang berlaku pada titik akses bucket. IAM Access Analyzer menganalisis setelan Blokir Akses Publik di tingkat bucket setiap kali kebijakan berubah. Namun, ini mengevaluasi pengaturan Blokir Akses Publik di tingkat akun hanya sekali setiap 6 jam. Ini berarti bahwa IAM Access Analyzer mungkin tidak menghasilkan atau menyelesaikan temuan untuk akses publik ke bucket hingga 6 jam. Misalnya, jika Anda memiliki kebijakan bucket yang memungkinkan akses publik, IAM Access Analyzer akan menghasilkan temuan untuk akses tersebut. Jika Anda kemudian mengaktifkan Blokir Akses Publik untuk memblokir semua akses publik ke bucket di tingkat akun, IAM Access Analyzer tidak menyelesaikan temuan kebijakan bucket hingga 6 jam, meskipun semua akses publik ke bucket diblokir. Resolusi temuan publik untuk jalur akses lintas akun juga dapat memakan waktu hingga 6 jam setelah Anda mengaktifkan Blokir Akses Publik di tingkat akun.

Untuk jalur akses Multi-wilayah, IAM Access Analyzer menggunakan kebijakan yang ditetapkan untuk menghasilkan temuan. IAM Access Analyzer mengevaluasi perubahan pada titik akses Multi-wilayah setiap 6 jam sekali. Ini berarti IAM Access Analyzer tidak menghasilkan atau menyelesaikan temuan hingga 6 jam, meskipun Anda membuat atau menghapus jalur akses Multi-wilayah, atau memperbarui kebijakan untuk itu.

Ember direktori Layanan Penyimpanan Sederhana Amazon

Bucket direktori Amazon S3 menggunakan kelas penyimpanan Amazon S3 Express One, yang direkomendasikan untuk beban kerja atau aplikasi yang kritis terhadap kinerja. Untuk bucket direktori Amazon S3, IAM Access Analyzer menganalisis kebijakan bucket direktori, termasuk pernyataan kondisi dalam kebijakan, yang memungkinkan entitas eksternal mengakses bucket direktori. Untuk informasi selengkapnya tentang bucket direktori Amazon S3, lihat Bucket direktori di Panduan Pengguna Layanan Penyimpanan Sederhana Amazon.

AWS Identity and Access Management peran

Untuk peran IAM, IAM Access Analyzer menganalisis kebijakan kepercayaan. Dalam kebijakan kepercayaan peran, Anda menetapkan penanggung jawab yang Anda percayai untuk mengasumsikan peran tersebut. Kebijakan kepercayaan peran adalah kebijakan wajib berbasis sumber daya yang melekat pada peran di IAM. IAM Access Analyzer menghasilkan temuan untuk peran dalam zona kepercayaan yang dapat diakses oleh entitas eksternal yang berada di luar zona kepercayaan Anda.

catatan

Peran IAM adalah sumber daya global. Jika kebijakan kepercayaan peran memberikan akses ke entitas eksternal, IAM Access Analyzer akan menghasilkan temuan di setiap Wilayah yang diaktifkan.

AWS Key Management Service kunci

Untuk AWS KMS keys, IAM Access Analyzer menganalisis kebijakan utama dan hibah yang diterapkan pada kunci. IAM Access Analyzer menghasilkan temuan jika kebijakan atau hibah kunci memungkinkan entitas eksternal untuk mengakses kunci. Misalnya, jika Anda menggunakan kunci CallerAccount kondisi kms: dalam pernyataan kebijakan untuk mengizinkan akses ke semua pengguna di AWS akun tertentu, dan Anda menentukan akun selain akun saat ini (zona kepercayaan untuk penganalisis saat ini), IAM Access Analyzer menghasilkan temuan. Untuk mempelajari selengkapnya tentang kunci AWS KMS kondisi dalam pernyataan kebijakan IAM, lihat Kunci AWS KMS Kondisi.

Ketika IAM Access Analyzer menganalisis kunci KMS, ia membaca metadata kunci, seperti kebijakan kunci dan daftar hibah. Jika kebijakan kunci tidak mengizinkan peran IAM Access Analyzer untuk membaca metadata kunci, pencarian kesalahan Access Denied akan dihasilkan. Misalnya, jika pernyataan kebijakan contoh berikut adalah satu-satunya kebijakan yang diterapkan pada kunci, itu menghasilkan pencarian kesalahan Access ditolak di IAM Access Analyzer.

{
    "Sid": "Allow access for Key Administrators",
    "Effect": "Allow",
    "Principal": {
       "AWS": "arn:aws:iam::111122223333:role/Admin"
    },
    "Action": "kms:*",
    "Resource": "*"
}

Karena pernyataan ini hanya mengizinkan peran bernama Admin dari AWS akun 111122223333 untuk mengakses kunci, pencarian kesalahan Access Denied dihasilkan karena IAM Access Analyzer tidak dapat sepenuhnya menganalisis kunci. Temuan kesalahan ditampilkan dalam teks merah di tabel Temuan. Temuan ini terlihat mirip dengan yang berikut ini.

{
    "error": "ACCESS_DENIED",
    "id": "12345678-1234-abcd-dcba-111122223333",
    "analyzedAt": "2019-09-16T14:24:33.352Z",
    "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a",
    "resourceType": "AWS::KMS::Key",
    "status": "ACTIVE",
    "updatedAt": "2019-09-16T14:24:33.352Z"
}

Saat Anda membuat kunci KMS, izin yang diberikan untuk mengakses kunci bergantung pada cara Anda membuat kunci. Jika Anda menerima pencarian kesalahan Access Denied untuk sumber daya kunci, terapkan pernyataan kebijakan berikut ke sumber daya kunci untuk memberikan izin IAM Access Analyzer untuk mengakses kunci.

{
    "Sid": "Allow IAM Access Analyzer access to key metadata",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer"
        },
    "Action": [
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:List*"
    ],
    "Resource": "*"
},

Setelah Anda menerima temuan Akses Ditolak untuk sumber daya kunci KMS, kemudian menyelesaikan temuan tersebut dengan memperbarui kebijakan kunci, temuan diperbarui ke status Terselesaikan. Jika ada pernyataan kebijakan atau kunci izin yang mengizinkan kunci ke entitas eksternal, Anda mungkin melihat temuan tambahan untuk sumber daya kunci.

AWS Lambda fungsi dan lapisan

Untuk AWS Lambda fungsi, IAM Access Analyzer menganalisis kebijakan, termasuk pernyataan kondisi dalam kebijakan, yang memberikan akses ke fungsi ke entitas eksternal. Dengan Lambda, Anda dapat melampirkan kebijakan berbasis sumber daya unik ke fungsi, versi, alias, dan lapisan. IAM Access Analyzer melaporkan akses eksternal berdasarkan kebijakan berbasis sumber daya yang melekat pada fungsi dan lapisan. IAM Access Analyzer tidak melaporkan akses eksternal berdasarkan kebijakan berbasis sumber daya yang dilampirkan ke alias dan versi tertentu yang dipanggil menggunakan ARN yang memenuhi syarat.

Untuk informasi selengkapnya, lihat Menggunakan kebijakan berbasis sumber daya untuk Lambda dan Menggunakan versi di Panduan Pengembang. AWS Lambda

Antrean Amazon Simple Queue Service

Untuk antrian Amazon SQS, IAM Access Analyzer menganalisis kebijakan, termasuk pernyataan kondisi dalam kebijakan, yang memungkinkan entitas eksternal mengakses antrian.

AWS Secrets Manager rahasia

Untuk AWS Secrets Manager rahasia, IAM Access Analyzer menganalisis kebijakan, termasuk pernyataan kondisi dalam kebijakan, yang memungkinkan entitas eksternal mengakses rahasia.

Topik Amazon Simple Notification Service

IAM Access Analyzer menganalisis kebijakan berbasis sumber daya yang dilampirkan pada topik Amazon SNS, termasuk pernyataan kondisi dalam kebijakan yang memungkinkan akses eksternal ke suatu topik. Anda dapat mengizinkan akun eksternal untuk melakukan tindakan Amazon SNS seperti berlangganan dan menerbitkan topik melalui kebijakan berbasis sumber daya. Topik Amazon SNS dapat diakses secara eksternal jika kepala sekolah dari akun di luar zona kepercayaan Anda dapat melakukan operasi pada topik tersebut. Saat Anda memilih Everyone kebijakan saat membuat topik Amazon SNS, Anda membuat topik tersebut dapat diakses oleh publik. AddPermissionadalah cara lain untuk menambahkan kebijakan berbasis sumber daya ke topik Amazon SNS yang memungkinkan akses eksternal.

Cuplikan volume Amazon Elastic Block Store

Snapshot volume Amazon Elastic Block Store tidak memiliki kebijakan berbasis sumber daya. Snapshot dibagikan melalui izin berbagi Amazon EBS. Untuk snapshot volume Amazon EBS, IAM Access Analyzer menganalisis daftar kontrol akses yang memungkinkan entitas eksternal mengakses snapshot. Snapshot volume Amazon EBS dapat dibagikan dengan akun eksternal saat dienkripsi. Snapshot volume yang tidak terenkripsi dapat dibagikan dengan akun eksternal dan memberikan akses publik. Pengaturan berbagi ada di CreateVolumePermissions atribut snapshot. Saat pelanggan melihat pratinjau akses eksternal snapshot Amazon EBS, mereka dapat menentukan kunci enkripsi sebagai indikator bahwa snapshot dienkripsi, mirip dengan cara pratinjau IAM Access Analyzer menangani rahasia Secrets Manager.

Cuplikan DB Layanan Amazon Relational Database Service

Snapshot Amazon RDS DB tidak memiliki kebijakan berbasis sumber daya. Snapshot DB dibagikan melalui izin database Amazon RDS, dan hanya snapshot DB manual yang dapat dibagikan. Untuk snapshot Amazon RDS DB, IAM Access Analyzer menganalisis daftar kontrol akses yang memungkinkan entitas eksternal mengakses snapshot. Snapshot DB yang tidak terenkripsi dapat bersifat publik. Snapshot DB terenkripsi tidak dapat dibagikan secara publik, tetapi dapat dibagikan dengan hingga 20 akun lainnya. Untuk informasi selengkapnya, lihat Membuat snapshot DB. IAM Access Analyzer menganggap kemampuan untuk mengekspor snapshot manual database (misalnya, ke bucket Amazon S3) sebagai akses tepercaya.

catatan

IAM Access Analyzer tidak mengidentifikasi akses publik atau lintas akun yang dikonfigurasi langsung pada database itu sendiri. IAM Access Analyzer hanya mengidentifikasi temuan untuk akses publik atau lintas akun yang dikonfigurasi pada snapshot Amazon RDS DB.

Cuplikan cluster DB Layanan Relational Database Service Amazon

Snapshot klaster Amazon RDS DB tidak memiliki kebijakan berbasis sumber daya. Snapshot dibagikan melalui izin cluster Amazon RDS DB. Untuk snapshot klaster Amazon RDS DB, IAM Access Analyzer menganalisis daftar kontrol akses yang memungkinkan entitas eksternal mengakses snapshot. Snapshot cluster yang tidak terenkripsi dapat bersifat publik. Snapshot kluster terenkripsi tidak dapat dibagikan secara publik. Snapshot cluster yang tidak terenkripsi dan terenkripsi dapat dibagikan dengan hingga 20 akun lainnya. Untuk informasi selengkapnya, lihat Membuat snapshot cluster DB. IAM Access Analyzer menganggap kemampuan untuk mengekspor snapshot cluster DB (misalnya, ke bucket Amazon S3) sebagai akses tepercaya.

catatan

Temuan IAM Access Analyzer tidak mencakup pemantauan bagian mana pun dari cluster Amazon RDS DB dan klon dengan yang lain atau organisasi yang menggunakan. Akun AWS AWS Resource Access Manager IAM Access Analyzer hanya mengidentifikasi temuan untuk akses publik atau lintas akun yang dikonfigurasi pada snapshot klaster Amazon RDS DB.

Repositori Registri Wadah Elastis Amazon

Untuk repositori Amazon ECR, IAM Access Analyzer menganalisis kebijakan berbasis sumber daya, termasuk pernyataan kondisi dalam kebijakan, yang memungkinkan entitas eksternal mengakses repositori (mirip dengan jenis sumber daya lain seperti topik Amazon SNS dan sistem file Amazon EFS). Untuk repositori Amazon ECR, prinsipal harus memiliki izin untuk ecr:GetAuthorizationToken melalui kebijakan berbasis identitas agar dianggap tersedia secara eksternal.

Sistem file Amazon Elastic File System

Untuk sistem file Amazon EFS, IAM Access Analyzer menganalisis kebijakan, termasuk pernyataan kondisi dalam kebijakan, yang memungkinkan entitas eksternal mengakses sistem file. Sistem file Amazon EFS dapat diakses secara eksternal jika prinsipal dari akun di luar zona kepercayaan Anda dapat melakukan operasi pada sistem file tersebut. Akses didefinisikan oleh kebijakan sistem file yang menggunakan IAM, dan bagaimana sistem file dipasang. Misalnya, memasang sistem file Amazon EFS Anda di akun lain dianggap dapat diakses secara eksternal, kecuali akun tersebut ada di organisasi Anda dan Anda telah mendefinisikan organisasi sebagai zona kepercayaan Anda. Jika Anda memasang sistem file dari cloud pribadi virtual dengan subnet publik, sistem file dapat diakses secara eksternal. Saat Anda menggunakan Amazon EFS dengan AWS Transfer Family, permintaan akses sistem file yang diterima dari server Transfer Family yang dimiliki oleh akun berbeda dari sistem file akan diblokir jika sistem file mengizinkan akses publik.

Aliran Amazon DynamoDB

IAM Access Analyzer menghasilkan temuan jika kebijakan DynamoDB mengizinkan setidaknya satu tindakan lintas akun yang memungkinkan entitas eksternal mengakses aliran DynamoDB. Untuk informasi selengkapnya tentang tindakan lintas akun yang didukung untuk DynamoDB, lihat Tindakan IAM yang didukung oleh kebijakan berbasis sumber daya di Panduan Pengembang Amazon DynamoDB.

Tabel Amazon DynamoDB

IAM Access Analyzer menghasilkan temuan untuk tabel DynamoDB jika kebijakan DynamoDB mengizinkan setidaknya satu tindakan lintas akun yang memungkinkan entitas eksternal mengakses tabel atau indeks DynamoDB. Untuk informasi selengkapnya tentang tindakan lintas akun yang didukung untuk DynamoDB, lihat Tindakan IAM yang didukung oleh kebijakan berbasis sumber daya di Panduan Pengembang Amazon DynamoDB.