Scopri come funzionano i risultati di IAM Access Analyzer - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Scopri come funzionano i risultati di IAM Access Analyzer

Questo argomento descrive i concetti e i termini utilizzati in IAM Access Analyzer per aiutarvi a familiarizzare con il modo in cui IAM Access Analyzer monitora l'accesso alle risorse. AWS

Risultati dell'accesso esterno

I risultati degli accessi esterni vengono generati una sola volta per ogni istanza di risorsa condivisa al di fuori della zona di attendibilità. Ogni volta che viene modificata una politica basata sulle risorse, Access Analyzer analizza la politica. IAM Se la policy aggiornata condivide una risorsa già identificata in un risultato, ma con autorizzazioni o condizioni diverse, viene generato un nuovo risultato per l'istanza della condivisione della risorsa. Se l'accesso nel primo risultato viene rimosso, il risultato viene aggiornato nello stato Risolto.

Lo stato di tutti i risultati rimane Attivo fino a quando non vengono archiviati o non si rimuove l'accesso che ha generato il risultato. Quando si rimuove l'accesso, lo stato del risultato viene aggiornato in Risolto.

Nota

Dopo la modifica di una policy, IAM Access Analyzer può impiegare fino a 30 minuti per analizzare la risorsa e quindi aggiornare i risultati di accesso esterni.

In che modo IAM Access Analyzer genera i risultati per l'accesso esterno

AWS Identity and Access Management Access Analyzer utilizza una tecnologia chiamata Zelkova per analizzare IAM le politiche e identificare l'accesso esterno alle risorse.

Zelkova traduce IAM le politiche in istruzioni logiche equivalenti e le esegue attraverso una suite di risolutori logici generici e specializzati (teorie dei moduli di soddisfacibilità). IAMAccess Analyzer applica Zelkova ripetutamente a una policy, utilizzando interrogazioni sempre più specifiche per caratterizzare i tipi di accesso consentiti dalla policy in base al suo contenuto. Per ulteriori informazioni sulle teorie dei moduli di soddisfacibilità, consulta Teorie dei moduli di soddisfacibilità.

Per quanto riguarda gli analizzatori di accesso esterni, IAM Access Analyzer non esamina i log di accesso per determinare se un'entità esterna ha effettivamente avuto accesso a una risorsa all'interno della zona di fiducia dell'utente. Genera invece un risultato quando una politica basata sulle risorse consente l'accesso a una risorsa, indipendentemente dal fatto che l'entità esterna abbia avuto accesso alla risorsa.

Inoltre, IAM Access Analyzer non considera lo stato di alcun account esterno al momento di effettuare le proprie determinazioni. Se indica che l'account 111122223333 può accedere al tuo bucket Amazon S3, significa che non contiene alcuna informazione sugli utenti, i ruoli, le politiche di controllo del servizio SCP () o altre configurazioni pertinenti in quell'account. Questo è per la privacy dei clienti, poiché IAM Access Analyzer non sa chi possiede l'altro account. Questo vale anche per motivi di sicurezza, in quanto è importante conoscere i potenziali accessi esterni anche se al momento non ci sono soggetti attivi in grado di utilizzarli.

IAMAccess Analyzer considera solo determinate chiavi di IAM condizione che gli utenti esterni non possono influenzare direttamente o che hanno comunque un impatto sull'autorizzazione. Per esempi di chiavi condizionali prese in considerazione da IAM Access Analyzer, vedere Chiavi di filtro di IAMAccess Analyzer.

IAMAl momento, Access Analyzer non riporta i risultati dei responsabili o degli Servizio AWS account di servizio interni. In rari casi in cui non è in grado di determinare in modo completo se una dichiarazione politica concede l'accesso a un'entità esterna, sbaglia a dichiarare un risultato falso positivo. Questo perché IAM Access Analyzer è progettato per fornire una visione completa della condivisione delle risorse nell'account e per ridurre al minimo i falsi negativi.

Risultati degli accessi inutilizzati

I risultati degli accessi non utilizzati vengono generati per IAM le entità all'interno dell'account o dell'organizzazione selezionati in base al numero di giorni specificato durante la creazione dell'analizzatore. Viene generato un nuovo risultato quando l'analizzatore esegue nuovamente la scansione delle entità se viene soddisfatta una delle seguenti condizioni:

  • Un ruolo è inattivo per il numero specificato di giorni.

  • Un'autorizzazione, una password utente o una chiave di accesso utente inutilizzate superano il numero di giorni specificato.

In che modo IAM Access Analyzer genera i risultati per gli accessi non utilizzati

Per analizzare gli accessi non utilizzati, è necessario creare un analizzatore separato per i risultati di accesso non utilizzati per i propri ruoli, anche se è già stato creato un analizzatore per generare i risultati di accesso esterni per le proprie risorse.

Dopo aver creato l'analizzatore degli accessi inutilizzati, Access Analyzer esamina l'attività di IAM accesso per identificare gli accessi non utilizzati. IAMAccess Analyzer esamina le ultime informazioni a cui si accede per tutti i ruoli, le chiavi di accesso degli utenti e le password degli utenti all'interno dell'organizzazione e degli account. AWS Questo consente di identificare gli accessi non utilizzati.

Per IAM i ruoli e gli utenti attivi, IAM Access Analyzer utilizza le informazioni dell'ultimo accesso per IAM servizi e azioni per identificare le autorizzazioni non utilizzate. Ciò consente di scalare il processo di revisione a livello di AWS organizzazione e account. Puoi anche utilizzare le informazioni relative all'azione «ultimo accesso» per un'analisi più approfondita dei singoli ruoli. Ciò fornisce informazioni più dettagliate su quali autorizzazioni specifiche non vengono utilizzate.

Creando un analizzatore dedicato agli accessi non utilizzati, è possibile esaminare e identificare in modo completo gli accessi inutilizzati in tutto l' AWS ambiente, integrando i risultati generati dall'analizzatore di accessi esterno esistente.