Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Controlli per la convalida delle policy
IAMAccess Analyzer fornisce controlli delle policy che aiutano a convalidare le IAM policy prima di collegarle a un'entità. Questi includono i controlli base forniti dalla convalida delle policy per convalidare la policy rispetto alla sintassi e alle best practice AWS. È possibile visualizzare i risultati del controllo della convalida delle policy che includono avvisi di sicurezza, errori, avvisi generali e suggerimenti per la policy.
Puoi utilizzare i controlli delle policy personalizzati per verificare la presenza di nuovi accessi in base ai tuoi standard di sicurezza. Viene addebitato un costo per ogni controllo di un nuovo accesso. Per maggiori dettagli sui prezzi, consulta i prezzi di Sistema di analisi degli IAM accessi AWS IAM
Come funzionano i controlli delle policy personalizzati
È possibile convalidare le policy rispetto agli standard di sicurezza specificati utilizzando i controlli delle policy personalizzati di AWS Identity and Access Management Access Analyzer . È possibile eseguire i seguenti tipi di controlli delle policy personalizzati:
-
Verifica in base a una policy di riferimento: quando si modifica una policy, è possibile controllare se la policy aggiornata concede un nuovo accesso rispetto a quella di riferimento, ad esempio una sua versione esistente. È possibile eseguire questo controllo quando si modifica un criterio utilizzando AWS Command Line Interface (AWS CLI), IAM Access Analyzer API (API) o l'editor dei JSON criteri nella IAM console.
Nota
IAMI controlli delle policy personalizzati di Access Analyzer consentono l'uso di caratteri jolly nell'
Principal
elemento per le politiche delle risorse di riferimento. -
Verifica in base a un elenco di IAM operazioni o risorse: puoi verificare che IAM operazioni o risorse specifiche non siano consentite dalla tua policy. Se vengono specificate solo azioni, IAM Access Analyzer verifica l'accesso alle azioni su tutte le risorse della politica. Se vengono specificate solo risorse, IAM Access Analyzer verifica quali azioni hanno accesso alle risorse specificate. Se vengono specificate sia le azioni che le risorse, IAM Access Analyzer verifica quali delle azioni specificate hanno accesso alle risorse specificate. È possibile eseguire questo controllo quando si crea o si modifica una policy utilizzando a AWS CLI oAPI.
-
Verifica l'accesso pubblico: È possibile verificare se una politica delle risorse può concedere l'accesso pubblico a un tipo di risorsa specifico. È possibile eseguire questo controllo quando si crea o si modifica una policy utilizzando a AWS CLI oAPI. Questo tipo di controllo dei criteri personalizzati è diverso dall'anteprima dell'accesso perché non richiede alcun account o contesto di analisi degli accessi esterni. Le anteprime di accesso consentono di visualizzare in anteprima i risultati di IAM Access Analyzer prima di distribuire le autorizzazioni per le risorse, mentre il controllo personalizzato determina se l'accesso pubblico può essere concesso da una politica.
Viene addebitato un costo per ogni controllo della policy personalizzato. Per maggiori dettagli sui prezzi, consulta i prezzi di Sistema di analisi degli IAM accessi AWS IAM
È possibile eseguire controlli delle policy personalizzati sulle policy basate su identità e risorse. I controlli delle policy personalizzati non si basano su tecniche di corrispondenza dei modelli o sulla verifica dei log di accesso per determinare se un accesso nuovo o specifico è consentito da una policy. Analogamente ai risultati degli accessi esterni, i controlli delle policy personalizzati si basano su Zelkova.
In rari casi, IAM Access Analyzer non è in grado di determinare completamente se un'istruzione della policy concede un accesso nuovo o specifico. In questi casi, dichiara erroneamente un falso positivo non superando il controllo delle policy personalizzate. IAMAccess Analyzer è progettato per fornire una valutazione completa delle policy e si impegna per ridurre al minimo i falsi negativi. Con questo approccio, IAM Access Analyzer garantisce in modo piuttosto certo che un controllo superato significa che l'accesso non è stato concesso dalla policy. È possibile controllare manualmente i controlli non riusciti esaminando l'istruzione della policy riportata nella risposta di IAM Access Analyzer.
Fai riferimento alle policy per verificare la presenza di nuovi accessi
Puoi trovare esempi di policy di riferimento e scoprire come configurare ed eseguire un controllo personalizzato delle policy per nuovi accessi nel repository Esempi di controlli di policy personalizzati di IAM Access Analyzer su
Prima di utilizzare questi esempi
Prima di utilizzare questi esempi di policy di riferimento, esegui queste operazioni:
-
Esamina attentamente e personalizza le policy di riferimento per i tuoi requisiti specifici.
-
Testa accuratamente le policy di riferimento nel tuo ambiente con i servizi Servizi AWS che utilizzi.
Le policy di riferimento illustrano l'implementazione e l'utilizzo di controlli delle policy personalizzati. Non devono essere interpretate come suggerimenti o best practice AWS ufficiali da implementare esattamente come mostrato. È tua responsabilità testare accuratamente la sostenibilità delle policy di riferimento per soddisfare i requisiti di sicurezza del tuo ambiente.
-
I controlli delle policy personalizzati sono indipendenti dall'ambiente durante l’analisi. La loro analisi prende in considerazione solo le informazioni contenute nelle policy di input. Ad esempio, i controlli delle policy personalizzati non possono verificare se un account è membro di un' AWS organizzazione specifica. Pertanto, non possono confrontare i nuovi accessi in base ai valori delle chiavi di condizione per le chiavi di condizione
aws:PrincipalOrgId
eaws:PrincipalAccount
.
Ispezione dei controlli delle policy personalizzati non riusciti
Quando un controllo delle policy personalizzate fallisce, la risposta di IAM Access Analyzer include l'ID istruzione (Sid
) dell'istruzione che ha causato l'esito negativo del controllo. Sebbene l'ID istruzione sia un elemento di policy facoltativo, consigliamo di aggiungere un ID istruzione per ogni istruzione di policy. Il controllo delle policy personalizzato restituisce anche un indice delle istruzioni per aiutare a identificare il motivo dell'errore del controllo. L'indice delle istruzioni segue la numerazione a base zero, in cui la prima istruzione viene indicata come 0. Quando sono presenti più istruzioni che causano l'esito negativo di un controllo, il controllo restituisce un solo ID istruzione alla volta. Consigliamo di correggere l'istruzione evidenziata nel motivo e di eseguire nuovamente il controllo finché non viene superato.