Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer menyediakan kemampuan berikut:

Mengidentifikasi sumber daya yang dibagikan dengan entitas eksternal

IAMPenganalisis Akses membantu mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket IAM atau peran Amazon S3, yang dibagi dengan entitas eksternal. Hal ini memungkinkan Anda mengidentifikasi akses yang tidak diinginkan ke sumber daya dan data Anda, yang merupakan sebuah risiko keamanan. IAMPenganalisis Akses mengidentifikasi sumber daya yang dibagi dengan penanggung jawab eksternal dengan menggunakan penalaran berbasis logika untuk menganalisis kebijakan berbasis sumber daya di lingkungan Anda. AWS Untuk setiap instans sumber daya yang dibagikan di luar akun Anda, Penganalisis IAM Akses menghasilkan temuan. Temuan mencakup informasi tentang akses dan penanggung jawab eksternal yang diberikan kepadanya. Anda dapat meninjau temuan untuk menentukan apakah akses tersebut dimaksudkan dan aman atau apakah aksesnya tidak diinginkan dan merupakan risiko keamanan. Selain membantu mengidentifikasi sumber daya yang dibagikan dengan entitas eksternal, Anda dapat menggunakan temuan Penganalisis IAM Akses untuk melihat pratinjau bagaimana kebijakan Anda memengaruhi akses publik dan lintas akun ke sumber daya Anda sebelum menerapkan izin sumber daya. Temuan ini diatur dalam dasbor ringkasan visual. Dasbor menyoroti pemisahan antara temuan akses publik dan lintas akun, dan memberikan rincian temuan berdasarkan jenis sumber daya. Untuk mempelajari selengkapnya tentang dasbor, lihatLihat dasbor temuan IAM Access Analyzer.

Saat Anda mengaktifkan Penganalisis IAM Akses, Anda membuat penganalisis untuk seluruh organisasi atau akun Anda. Akun atau organisasi yang Anda pilih dikenal sebagai zona kepercayaan untuk penganalisis. Penganalisis memantau semua sumber daya yang didukung dalam zona kepercayaan Anda. Akses apa pun ke sumber daya oleh penanggung jawab di zona kepercayaan Anda dianggap tepercaya. Setelah diaktifkan, Penganalisis IAM Akses menganalisis kebijakan yang diterapkan ke semua sumber daya yang didukung di zona kepercayaan Anda. Setelah analisis pertama, Penganalisis IAM Akses menganalisis kebijakan ini secara berkala. Jika Anda menambahkan kebijakan baru, atau mengubah kebijakan yang sudah ada, Penganalisis IAM Akses menganalisis kebijakan baru atau yang diperbarui dalam waktu 30 menit.

Saat menganalisis kebijakan, jika Penganalisis IAM Akses mengidentifikasi salah satu yang memberikan akses ke penanggung jawab eksternal yang tidak berada di zona kepercayaan Anda, ia akan menghasilkan temuan. Setiap temuan mencakup detail tentang sumber daya, entitas eksternal dengan akses ke sumber daya, dan izin yang diberikan sehingga Anda dapat mengambil tindakan yang tepat. Anda dapat melihat detail yang disertakan dalam temuan untuk menentukan apakah akses sumber daya disengaja atau merupakan potensi risiko yang harus Anda selesaikan. Saat Anda menambahkan kebijakan ke sumber daya, atau memperbarui kebijakan yang sudah ada, Penganalisis IAM Akses menganalisis kebijakan. IAMPenganalisis Akses juga menganalisis semua kebijakan berbasis sumber daya secara berkala.

Pada kesempatan langka dalam kondisi tertentu, IAM Access Analyzer tidak menerima pemberitahuan tentang kebijakan yang ditambahkan atau diperbarui, yang dapat menyebabkan keterlambatan dalam temuan yang dihasilkan. IAMAccess Analyzer dapat memakan waktu hingga 6 jam untuk menghasilkan atau menyelesaikan temuan jika Anda membuat atau menghapus titik akses multi-wilayah yang terkait dengan bucket Amazon S3, atau memperbarui kebijakan untuk jalur akses multi-wilayah. Selain itu, jika ada masalah pengiriman dengan AWS CloudTrail perubahan pembatasan kebijakan kontrol sumber daya (RCP), perubahan kebijakan tidak memicu pemindaian ulang sumber daya yang dilaporkan di temuan. Ketika ini terjadi, Penganalisis IAM Akses menganalisis kebijakan baru atau yang diperbarui selama pemindaian berkala berikutnya, yaitu dalam 24 jam. Jika Anda ingin mengonfirmasi perubahan yang Anda lakukan terhadap kebijakan menyelesaikan masalah akses yang dilaporkan dalam temuan, Anda dapat memindai ulang sumber daya yang dilaporkan di temuan dengan menggunakan tautan Pindai ulang pada laman detail Temuan, atau dengan menggunakan StartResourceScanoperasi Penganalisis Akses. IAM API Untuk mempelajari selengkapnya, lihat Selesaikan IAM temuan Access Analyzer.

IAMPenganalisis Akses menganalisis jenis sumber daya berikut:

Mengidentifikasi akses yang tidak terpakai yang diberikan kepada IAM pengguna dan peran

IAMAccess Analyzer membantu Anda mengidentifikasi dan meninjau akses yang tidak digunakan di AWS organisasi dan akun Anda. IAMAccess Analyzer terus memantau semua IAM peran dan pengguna di AWS organisasi dan akun Anda dan menghasilkan temuan untuk akses yang tidak digunakan. Temuan ini menyoroti peran yang tidak digunakan, kunci akses yang tidak digunakan untuk IAM pengguna, dan kata sandi yang tidak digunakan untuk pengguna. IAM Untuk IAM peran aktif dan pengguna, temuan ini memberikan visibilitas ke layanan dan tindakan yang tidak digunakan.

Temuan untuk akses eksternal dan penganalisis akses yang tidak digunakan diatur ke dalam dasbor ringkasan visual. Dasbor menyoroti Anda Akun AWS yang memiliki temuan paling banyak dan memberikan rincian temuan berdasarkan jenisnya. Untuk informasi selengkapnya tentang dasbor, lihat Lihat dasbor temuan IAM Access Analyzer.

IAMAccess Analyzer meninjau informasi yang terakhir diakses untuk semua peran di AWS organisasi dan akun Anda untuk membantu Anda mengidentifikasi akses yang tidak digunakan. IAMtindakan informasi yang diakses terakhir membantu Anda mengidentifikasi tindakan yang tidak digunakan untuk peran dalam Anda Akun AWS. Untuk informasi selengkapnya, lihat Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses.

Memvalidasi kebijakan terhadap praktik AWS terbaik

Anda dapat memvalidasi kebijakan Anda terhadap tata bahasa IAM kebijakan dan praktik AWS terbaik menggunakan pemeriksaan kebijakan dasar yang disediakan oleh validasi kebijakan IAM Access Analyzer. Anda dapat membuat atau mengedit kebijakan menggunakan AWS CLI, AWS API, atau editor JSON kebijakan di IAM konsol. Anda dapat melihat temuan pemeriksaan validasi kebijakan yang mencakup peringatan keamanan, kesalahan, peringatan umum, dan saran untuk kebijakan Anda. Temuan ini memberikan rekomendasi yang dapat ditindaklanjuti yang membantu Anda membuat kebijakan yang fungsional dan sesuai dengan praktik terbaik. AWS Untuk mempelajari selengkapnya tentang memvalidasi kebijakan menggunakan validasi kebijakan, lihat. Validasi kebijakan dengan IAM Access Analyzer

Memvalidasi kebijakan terhadap standar keamanan yang Anda tentukan

Anda dapat memvalidasi kebijakan Anda terhadap standar keamanan yang ditentukan menggunakan pemeriksaan kebijakan kustom IAM Access Analyzer. Anda dapat membuat atau mengedit kebijakan menggunakan AWS CLI, AWS API, atau editor JSON kebijakan di IAM konsol. Melalui konsol, Anda dapat memeriksa apakah kebijakan yang diperbarui memberikan akses baru dibandingkan dengan versi yang ada. Melalui AWS CLI dan AWS API, Anda juga dapat memeriksa IAM tindakan spesifik yang Anda anggap penting tidak diizinkan oleh kebijakan. Pemeriksaan ini menyoroti pernyataan kebijakan yang memberikan akses baru. Anda dapat memperbarui pernyataan kebijakan dan menjalankan kembali pemeriksaan hingga kebijakan sesuai dengan standar keamanan Anda. Untuk mempelajari selengkapnya tentang memvalidasi kebijakan menggunakan pemeriksaan kebijakan khusus, lihatValidasi kebijakan dengan pemeriksaan kebijakan khusus IAM Access Analyzer.

Membuat kebijakan

IAMPenganalisis Akses menganalisis AWS CloudTrail log Anda untuk mengidentifikasi tindakan dan layanan yang telah digunakan oleh IAM entitas (pengguna atau peran) dalam rentang tanggal yang ditentukan. Ini kemudian menghasilkan IAM kebijakan yang didasarkan pada aktivitas akses tersebut. Anda dapat menggunakan kebijakan yang dihasilkan untuk menyempurnakan izin entitas dengan melampirkannya ke IAM pengguna atau peran. Untuk mempelajari selengkapnya tentang membuat kebijakan menggunakan Penganalisis IAM Akses, lihatIAMPembuatan kebijakan Access Analyzer.

Harga untuk IAM Access Analyzer

IAMAccess Analyzer mengenakan biaya untuk analisis akses yang tidak digunakan berdasarkan jumlah IAM peran dan pengguna yang dianalisis per penganalisis per bulan.

IAMAccess Analyzer mengenakan biaya untuk pemeriksaan kebijakan khusus berdasarkan jumlah API permintaan yang dibuat ke IAM Access Analyzer untuk memeriksa akses baru.

Untuk daftar lengkap biaya dan harga Penganalisis IAM Akses, lihat harga Penganalisis IAM Akses.

Untuk melihat tagihan Anda, buka Dasbor Manajemen Penagihan dan Biaya di konsol AWS Billing and Cost Management. Tagihan Anda berisi tautan ke laporan penggunaan yang memberikan detail tentang tagihan Anda. Untuk mempelajari selengkapnya tentang Akun AWS penagihan, lihat AWS Billing Panduan Pengguna

Jika Anda memiliki pertanyaan tentang AWS penagihan akun, dan acara, hubungi AWS Support.