Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Questo argomento descrive i concetti e i termini utilizzati in IAM Access Analyzer per aiutarti a familiarizzare con il modo in cui IAM Access Analyzer monitora l'accesso alle tue risorse. AWS
Risultati dell'accesso esterno
I risultati degli accessi esterni vengono generati una sola volta per ogni istanza di risorsa condivisa al di fuori della zona di attendibilità. Ogni volta che una policy basata sulle risorse viene modificata, Sistema di analisi degli accessi IAM la rianalizza. Se la policy aggiornata condivide una risorsa già identificata in un risultato, ma con autorizzazioni o condizioni diverse, viene generato un nuovo risultato per l'istanza della condivisione della risorsa. Anche le modifiche a una politica di controllo delle risorse che influiscono sulla restrizione della politica di controllo delle risorse (RCP) generano una nuova scoperta. Se l'accesso nel primo risultato viene rimosso, il risultato viene aggiornato nello stato Risolto.
Lo stato di tutti i risultati rimane Attivo fino a quando non vengono archiviati o non si rimuove l'accesso che ha generato il risultato. Quando si rimuove l'accesso, lo stato del risultato viene aggiornato in Risolto.
Nota
Dopo la modifica di una policy, perché Sistema di analisi degli accessi IAM possa analizzare la risorsa e aggiornare il risultato degli accessi esterni, potrebbero essere necessari fino a 30 minuti. Le modifiche a una policy di controllo delle risorse (RCP) non attivano una nuova scansione della risorsa segnalata nel risultato. In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva che avviene entro 24 ore.
Come il Sistema di analisi degli accessi IAM genera risultati per gli accessi esterni
AWS Identity and Access Management Access Analyzer utilizza una tecnologia chiamata Zelkova
Zelkova traduce le policy IAM in istruzioni logiche equivalenti e gestisce una suite di risolutori logici generici e specializzati (teorie dei moduli di soddisfacibilità) per il problema. Sistema di analisi degli accessi IAM applica Zelkova ripetutamente a una policy con query sempre più specifiche per caratterizzare classi di comportamenti consentite dalla policy, in base al contenuto della policy stessa. Per ulteriori informazioni sulle teorie dei moduli di soddisfacibilità, consulta Teorie dei moduli di soddisfacibilità
Per i sistemi di analisi degli accessi esterni, Sistema di analisi degli accessi IAM non esamina i log di accesso per determinare se un'entità esterna accede a una risorsa all'interno della zona di attendibilità. Genera invece un risultato quando una policy basata sulle risorse consente l'accesso a una risorsa, indipendentemente se l'entità esterna ha eseguito l'accesso alla risorsa.
Sistema di analisi degli accessi IAM, inoltre, non considera lo stato di alcun account esterno al momento della sua determinazione. In altre parole, se indica che l'account 111122223333 può accedere al bucket Amazon S3, non ha alcuna informazione sugli utenti, i ruoli, le policy di controllo dei servizi o altre configurazioni pertinenti in tale account. Questo è per la privacy del cliente, in quanto Sistema di analisi degli accessi IAM non conosce il proprietario dell'altro account. Questo vale anche per la sicurezza, in quanto è importante conoscere i potenziali accessi esterni anche se al momento non ci sono principali in grado di utilizzarli.
Sistema di analisi degli accessi IAM considera solo alcune chiavi di condizione IAM che gli utenti esterni non possono influenzare direttamente o che hanno un impatto sull'autorizzazione. Per esempi di chiavi di condizione considerate da Sistema di analisi degli accessi IAM, consulta Chiavi di filtro di Sistema di analisi degli accessi IAM.
Attualmente IAM Access Analyzer non riporta i risultati dei responsabili o Servizio AWS degli account di servizio interni. Nei rari casi in cui il sistema di analisi degli accessi non è in grado di determinare completamente se un'istruzione della policy concede l'accesso a un'entità esterna, si sbaglia nel dichiarare un risultato falso positivo. Ciò si verifica perché Sistema di analisi degli accessi IAM è progettato per fornire una visione completa della condivisione delle risorse nell'account e per ridurre al minimo i falsi negativi.
Risultati degli accessi inutilizzati
I risultati degli accessi inutilizzati vengono generati per le entità IAM all'interno dell'account o dell'organizzazione selezionati in base al numero di giorni specificato durante la creazione dell'analizzatore. Viene generato un nuovo risultato quando l'analizzatore esegue nuovamente la scansione delle entità se viene soddisfatta una delle seguenti condizioni:
-
Un ruolo è inattivo per il numero specificato di giorni.
-
Un'autorizzazione, una password utente o una chiave di accesso utente inutilizzate superano il numero di giorni specificato.
Nota
I risultati di accesso non utilizzati sono disponibili solo utilizzando l'azione dell'API ListFindingsV2.
Come Sistema di analisi degli accessi IAM genera risultati per gli accessi inutilizzati
Per analizzare l'accesso inutilizzato, è necessario creare un sistema di analisi separato per i risultati degli accessi inutilizzati per i propri ruoli, anche se è già stato creato un sistema di analisi per generare risultati degli accessi esterni per le proprie risorse.
Dopo aver creato il sistema di analisi degli accessi inutilizzati, Sistema di analisi degli accessi IAM esamina l'attività di accesso per identificare gli accessi inutilizzati. IAM Access Analyzer esamina le ultime informazioni a cui si accede per tutti gli utenti IAM, i ruoli IAM inclusi i ruoli di servizio, le chiavi di accesso degli utenti e le password degli utenti nell'organizzazione e negli account. AWS Questo ti aiuta a identificare gli accessi non utilizzati.
Nota
Un ruolo collegato al servizio è un tipo speciale di ruolo di servizio collegato a un Servizio AWS e di proprietà del servizio. I ruoli collegati ai servizi non vengono analizzati da analizzatori di accesso non utilizzati.
Per gli utenti e i ruoli IAM attivi, Sistema di analisi degli accessi IAM utilizza le informazioni sull'ultimo accesso per le operazioni e i servizi IAM per identificare le autorizzazioni inutilizzate. Ciò consente di scalare il processo di revisione a livello di organizzazione e account. AWS Puoi utilizzare le informazioni sull'ultimo accesso per un'analisi più approfondita dei singoli ruoli. Ciò fornisce informazioni più dettagliate su quali autorizzazioni specifiche non vengono utilizzate.
Creando un analizzatore dedicato agli accessi non utilizzati, è possibile esaminare e identificare in modo completo gli accessi inutilizzati in tutto l' AWS ambiente, integrando i risultati generati dall'analizzatore di accessi esterno esistente.
