Menggunakan AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management
Mengidentifikasi sumber daya yang dibagikan dengan entitas eksternalMengidentifikasi akses yang tidak terpakai yang diberikan kepada pengguna dan peran IAMMemvalidasi kebijakan terhadap praktik AWS terbaikMemvalidasi kebijakan terhadap standar keamanan yang Anda tentukanMembuat kebijakanHarga untuk IAM Access Analyzer

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer menyediakan kemampuan berikut:

Mengidentifikasi sumber daya yang dibagikan dengan entitas eksternal

IAM Access Analyzer membantu Anda mengidentifikasi sumber daya di organisasi dan akun Anda, seperti bucket Amazon S3 atau peran IAM, yang dibagikan dengan entitas eksternal. Hal ini memungkinkan Anda mengidentifikasi akses yang tidak diinginkan ke sumber daya dan data Anda, yang merupakan sebuah risiko keamanan. IAM Access Analyzer mengidentifikasi sumber daya yang dibagikan dengan prinsipal eksternal dengan menggunakan penalaran berbasis logika untuk menganalisis kebijakan berbasis sumber daya di lingkungan Anda. AWS Untuk setiap instance sumber daya yang dibagikan di luar akun Anda, IAM Access Analyzer menghasilkan temuan. Temuan mencakup informasi tentang akses dan prinsip eksternal yang diberikan kepadanya. Anda dapat meninjau temuan untuk menentukan apakah akses dimaksudkan dan aman atau jika akses tidak diinginkan dan risiko keamanan. Selain membantu mengidentifikasi sumber daya yang dibagikan dengan entitas eksternal, Anda dapat menggunakan temuan IAM Access Analyzer untuk melihat pratinjau bagaimana kebijakan Anda memengaruhi akses publik dan lintas akun ke sumber daya Anda sebelum menerapkan izin sumber daya. Temuan ini diatur dalam dasbor ringkasan visual. Dasbor menyoroti pemisahan antara temuan akses publik dan lintas akun, dan memberikan rincian temuan berdasarkan jenis sumber daya. Untuk mempelajari lebih lanjut tentang dasbor, lihatMelihat dasbor temuan IAM Access Analyzer.

catatan

Entitas eksternal dapat berupa AWS akun lain, pengguna root, pengguna atau peran IAM, pengguna federasi, AWS layanan, pengguna anonim, atau entitas lain yang dapat Anda gunakan untuk membuat filter. Untuk informasi lebih lanjut, lihat Elemen Kebijakan JSON AWS : Penanggung Jawab

Saat mengaktifkan IAM Access Analyzer, Anda membuat analisa untuk seluruh organisasi atau akun Anda. Akun atau organisasi yang Anda pilih dikenal sebagai zona kepercayaan untuk penganalisis. Penganalisis memantau semua sumber daya yang didukung dalam zona kepercayaan Anda. Setiap akses ke sumber daya oleh kepala sekolah dalam zona kepercayaan Anda dianggap tepercaya. Setelah diaktifkan, IAM Access Analyzer menganalisis kebijakan yang diterapkan ke semua sumber daya yang didukung di zona kepercayaan Anda. Setelah analisis pertama, IAM Access Analyzer menganalisis kebijakan ini secara berkala. Jika Anda menambahkan kebijakan baru, atau mengubah kebijakan yang ada, IAM Access Analyzer akan menganalisis kebijakan baru atau yang diperbarui dalam waktu sekitar 30 menit.

Saat menganalisis kebijakan, jika IAM Access Analyzer mengidentifikasi salah satu yang memberikan akses ke prinsipal eksternal yang tidak berada dalam zona kepercayaan Anda, itu menghasilkan temuan. Setiap temuan mencakup rincian tentang sumber daya, entitas eksternal dengan akses ke sana, dan izin yang diberikan sehingga Anda dapat mengambil tindakan yang tepat. Anda dapat melihat detail yang disertakan dalam temuan untuk menentukan apakah akses sumber daya disengaja atau merupakan potensi risiko yang harus Anda selesaikan. Saat menambahkan kebijakan ke sumber daya, atau memperbarui kebijakan yang ada, IAM Access Analyzer akan menganalisis kebijakan tersebut. IAM Access Analyzer juga menganalisis semua kebijakan berbasis sumber daya secara berkala.

Pada kesempatan langka dalam kondisi tertentu, IAM Access Analyzer tidak menerima pemberitahuan tentang kebijakan yang ditambahkan atau diperbarui, yang dapat menyebabkan keterlambatan dalam temuan yang dihasilkan. IAM Access Analyzer dapat memakan waktu hingga 6 jam untuk menghasilkan atau menyelesaikan temuan jika Anda membuat atau menghapus titik akses multi-wilayah yang terkait dengan bucket Amazon S3, atau memperbarui kebijakan untuk jalur akses multi-wilayah. Selain itu, jika ada masalah pengiriman dengan pengiriman AWS CloudTrail log, perubahan kebijakan tidak memicu pemindaian ulang sumber daya yang dilaporkan dalam temuan tersebut. Ketika ini terjadi, IAM Access Analyzer menganalisis kebijakan baru atau yang diperbarui selama pemindaian berkala berikutnya, yaitu dalam 24 jam. Jika Anda ingin mengonfirmasi perubahan yang Anda buat pada kebijakan menyelesaikan masalah akses yang dilaporkan dalam temuan, Anda dapat memindai ulang sumber daya yang dilaporkan dalam temuan menggunakan tautan Pindai Ulang di halaman detail Temuan, atau dengan menggunakan StartResourceScanpengoperasian API IAM Access Analyzer. Untuk mempelajari selengkapnya, lihat Menyelesaikan temuan.

penting

IAM Access Analyzer hanya menganalisis kebijakan yang diterapkan pada sumber daya di AWS Wilayah yang sama dengan yang diaktifkan. Untuk memantau semua sumber daya di AWS lingkungan Anda, Anda harus membuat penganalisis untuk mengaktifkan IAM Access Analyzer di setiap Wilayah tempat Anda menggunakan sumber daya yang didukung. AWS

IAM Access Analyzer menganalisis jenis sumber daya berikut:

Mengidentifikasi akses yang tidak terpakai yang diberikan kepada pengguna dan peran IAM

IAM Access Analyzer membantu Anda mengidentifikasi dan meninjau akses yang tidak digunakan di AWS organisasi dan akun Anda. IAM Access Analyzer terus memantau semua peran dan pengguna IAM di AWS organisasi dan akun Anda dan menghasilkan temuan untuk akses yang tidak digunakan. Temuan ini menyoroti peran yang tidak digunakan, kunci akses yang tidak digunakan untuk pengguna IAM, dan kata sandi yang tidak digunakan untuk pengguna IAM. Untuk peran dan pengguna IAM aktif, temuan ini memberikan visibilitas ke layanan dan tindakan yang tidak digunakan.

Temuan untuk akses eksternal dan penganalisis akses yang tidak digunakan diatur ke dalam dasbor ringkasan visual. Dasbor menyoroti Anda Akun AWS yang memiliki temuan paling banyak dan memberikan rincian temuan berdasarkan jenisnya. Untuk informasi selengkapnya tentang dasbor, lihat Melihat dasbor temuan IAM Access Analyzer.

IAM Access Analyzer meninjau informasi yang terakhir diakses untuk semua peran di AWS organisasi dan akun Anda untuk membantu Anda mengidentifikasi akses yang tidak digunakan. Informasi terakhir yang diakses tindakan IAM membantu Anda mengidentifikasi tindakan yang tidak digunakan untuk peran dalam Anda. Akun AWS Untuk informasi selengkapnya, lihat Menyempurnakan izin dalam AWS menggunakan informasi yang terakhir diakses.

Memvalidasi kebijakan terhadap praktik AWS terbaik

Anda dapat memvalidasi kebijakan Anda terhadap tata bahasa kebijakan IAM dan praktik AWS terbaik menggunakan pemeriksaan kebijakan dasar yang disediakan oleh validasi kebijakan IAM Access Analyzer. Anda dapat membuat atau mengedit kebijakan menggunakan editor kebijakan AWS CLI, AWS API, atau JSON di konsol IAM. Anda dapat melihat temuan pemeriksaan validasi kebijakan yang mencakup peringatan keamanan, kesalahan, peringatan umum, dan saran untuk kebijakan Anda. Temuan ini memberikan rekomendasi yang dapat ditindaklanjuti yang membantu Anda membuat kebijakan yang fungsional dan sesuai dengan praktik terbaik. AWS Untuk mempelajari lebih lanjut tentang memvalidasi kebijakan menggunakan validasi kebijakan, lihat. Validasi kebijakan IAM Access Analyzer

Memvalidasi kebijakan terhadap standar keamanan yang Anda tentukan

Anda dapat memvalidasi kebijakan Anda terhadap standar keamanan yang ditentukan menggunakan pemeriksaan kebijakan khusus IAM Access Analyzer. Anda dapat membuat atau mengedit kebijakan menggunakan editor kebijakan AWS CLI, AWS API, atau JSON di konsol IAM. Melalui konsol, Anda dapat memeriksa apakah kebijakan yang diperbarui memberikan akses baru dibandingkan dengan versi yang ada. Melalui AWS CLI dan AWS API, Anda juga dapat memeriksa tindakan IAM tertentu yang Anda anggap penting tidak diizinkan oleh kebijakan. Pemeriksaan ini menyoroti pernyataan kebijakan yang memberikan akses baru. Anda dapat memperbarui pernyataan kebijakan dan menjalankan kembali pemeriksaan hingga kebijakan sesuai dengan standar keamanan Anda. Untuk mempelajari selengkapnya tentang memvalidasi kebijakan menggunakan pemeriksaan kebijakan khusus, lihatPemeriksaan kebijakan khusus IAM Access Analyzer.

Membuat kebijakan

IAM Access Analyzer menganalisis AWS CloudTrail log Anda untuk mengidentifikasi tindakan dan layanan yang telah digunakan oleh entitas IAM (pengguna atau peran) dalam rentang tanggal yang ditentukan. Kemudian menghasilkan kebijakan IAM yang didasarkan pada aktivitas akses tersebut. Anda dapat menggunakan kebijakan yang dihasilkan untuk menyaring izin entitas dengan melampirkannya ke pengguna atau peran IAM. Untuk mempelajari selengkapnya tentang membuat kebijakan menggunakan IAM Access Analyzer, lihat. Pembuatan kebijakan IAM Access Analyzer

Harga untuk IAM Access Analyzer

IAM Access Analyzer mengenakan biaya untuk analisis akses yang tidak digunakan berdasarkan jumlah peran IAM dan pengguna yang dianalisis per penganalisis per bulan.

  • Anda akan dikenakan biaya untuk setiap penganalisis akses yang tidak terpakai yang Anda buat.

  • Membuat penganalisis akses yang tidak digunakan di beberapa Wilayah akan mengakibatkan Anda dikenakan biaya untuk setiap penganalisis.

  • Peran terkait layanan tidak dianalisis untuk aktivitas akses yang tidak digunakan dan peran tersebut tidak termasuk dalam jumlah total peran IAM yang dianalisis.

IAM Access Analyzer mengenakan biaya untuk pemeriksaan kebijakan khusus berdasarkan jumlah permintaan API yang dibuat ke IAM Access Analyzer untuk memeriksa akses baru.

Untuk daftar lengkap biaya dan harga IAM Access Analyzer, lihat harga IAM Access Analyzer.

Untuk melihat tagihan Anda, buka Dasbor Manajemen Penagihan dan Biaya di konsol AWS Billing and Cost Management. Tagihan Anda berisi tautan ke laporan penggunaan yang memberikan detail tentang tagihan Anda. Untuk mempelajari selengkapnya tentang Akun AWS penagihan, lihat AWS Billing Panduan Pengguna

Jika Anda memiliki pertanyaan tentang AWS penagihan, akun, dan acara, hubungi AWS Support.