Controlli delle policy personalizzati di Sistema di analisi degli accessi AWS IAM - AWS Identity and Access Management
Come funzionano i controlli delle policy personalizzatiFai riferimento agli esempi di policy per verificare la presenza di nuovi accessiIspezione dei controlli delle policy personalizzati non riuscitiConvalida delle policy con controlli delle policy personalizzati (console)Convalida delle politiche con controlli di policy personalizzati (AWS CLI o API)

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Controlli delle policy personalizzati di Sistema di analisi degli accessi AWS IAM

È possibile convalidare le policy rispetto agli standard di sicurezza specificati utilizzando i controlli delle policy personalizzati di AWS Identity and Access Management Access Analyzer . È possibile eseguire i seguenti tipi di controlli delle policy personalizzati:

  • Verifica in base a una policy di riferimento: quando si modifica una policy, è possibile controllare se la policy aggiornata concede un nuovo accesso rispetto a quella di riferimento, ad esempio una sua versione esistente. Puoi eseguire questo controllo quando modifichi una policy utilizzando AWS Command Line Interface (AWS CLI), l'API IAM Access Analyzer (API) o l'editor di policy JSON nella console IAM.

  • Verifica in base a un elenco di azioni o risorse IAM: puoi verificare che azioni o risorse IAM specifiche non siano consentite dalla tua policy. Se vengono specificate solo azioni, IAM Access Analyzer verifica l'accesso delle azioni su tutte le risorse della policy. Se vengono specificate solo risorse, IAM Access Analyzer verifica quali azioni hanno accesso alle risorse specificate. Se vengono specificate sia le azioni che le risorse, IAM Access Analyzer verifica quali delle azioni specificate hanno accesso alle risorse specificate. È possibile eseguire questo controllo quando si crea o si modifica una policy utilizzando a AWS CLI o l'API.

  • Verifica l'accesso pubblico: puoi verificare se una politica delle risorse può concedere l'accesso pubblico a un tipo di risorsa specificato. È possibile eseguire questo controllo quando si crea o si modifica una politica utilizzando AWS CLI o l'API. Questo tipo di controllo delle policy personalizzate è diverso dall'anteprima dell'accesso perché non richiede alcun account o contesto di analisi degli accessi esterni. Le anteprime di accesso consentono di visualizzare in anteprima i risultati di IAM Access Analyzer prima di distribuire le autorizzazioni delle risorse, mentre il controllo personalizzato determina se l'accesso pubblico può essere concesso da una policy.

Viene addebitato un costo per ogni controllo della policy personalizzato. Per maggiori dettagli sui prezzi, consulta i prezzi di Sistema di analisi degli accessi AWS IAM.

Come funzionano i controlli delle policy personalizzati

È possibile eseguire controlli delle policy personalizzati sulle policy basate su identità e risorse. I controlli delle policy personalizzati non si basano su tecniche di corrispondenza dei modelli o sulla verifica dei log di accesso per determinare se un accesso nuovo o specifico è consentito da una policy. Analogamente ai risultati degli accessi esterni, i controlli delle policy personalizzati si basano su Zelkova. Zelkova traduce le policy IAM in istruzioni logiche equivalenti e gestisce una suite di risolutori logici generici e specializzati (teorie dei moduli di soddisfacibilità) per il problema. Per verificare gli accessi nuovi o specifici, Sistema di analisi degli accessi AWS IAM applica ripetutamente Zelkova a una policy. Le query diventano sempre più specifiche per caratterizzare classi di comportamenti consentite dalla policy in base al contenuto della policy. Per ulteriori informazioni sulle teorie dei moduli di soddisfacibilità, consulta Teorie dei moduli di soddisfacibilità.

In rari casi, Sistema di analisi degli accessi AWS IAM non è in grado di determinare completamente se un'istruzione della policy concede un accesso nuovo o specifico. In questi casi, dichiara erroneamente un falso positivo non superando il controllo delle policy personalizzate. Sistema di analisi degli accessi AWS IAM è progettato per fornire una valutazione completa delle policy e si impegna per ridurre al minimo i falsi negativi. Con questo approccio, Sistema di analisi degli accessi AWS IAM garantisce in modo piuttosto certo che un controllo superato significa che l'accesso non è stato concesso dalla policy. Puoi controllare manualmente i controlli non riusciti esaminando l'istruzione della policy riportata nella risposta di Sistema di analisi degli accessi AWS IAM.

Fai riferimento agli esempi di policy per verificare la presenza di nuovi accessi

Puoi trovare esempi di policy di riferimento e scoprire come configurare ed eseguire un controllo personalizzato delle policy per nuovi accessi nell'archivio degli esempi di controlli delle policy personalizzati di IAM Access Analyzer su. GitHub

Prima di utilizzare questi esempi

Prima di utilizzare questi esempi di policy di riferimento, esegui queste operazioni:

  • Esamina attentamente e personalizza le policy di riferimento per i tuoi requisiti specifici.

  • Testa accuratamente le policy di riferimento nel tuo ambiente con i servizi Servizi AWS che utilizzi.

    Le policy di riferimento illustrano l'implementazione e l'utilizzo di controlli delle policy personalizzati. Non devono essere interpretate come suggerimenti o best practice AWS ufficiali da implementare esattamente come mostrato. È tua responsabilità testare accuratamente la sostenibilità delle policy di riferimento per soddisfare i requisiti di sicurezza del tuo ambiente.

  • I controlli delle policy personalizzati sono indipendenti dall'ambiente durante l’analisi. La loro analisi prende in considerazione solo le informazioni contenute nelle policy di input. Ad esempio, i controlli delle policy personalizzati non possono verificare se un account è membro di un'organizzazione specifica AWS . Pertanto, non possono confrontare i nuovi accessi in base ai valori delle chiavi di condizione per le chiavi di condizione aws:PrincipalOrgIde aws:PrincipalAccount.

Ispezione dei controlli delle policy personalizzati non riusciti

Quando un controllo delle policy personalizzate fallisce, la risposta di Sistema di analisi degli accessi AWS IAM include l'ID istruzione (Sid) dell'istruzione che ha causato l'esito negativo del controllo. Sebbene l'ID istruzione sia un elemento di policy facoltativo, consigliamo di aggiungere un ID istruzione per ogni istruzione di policy. Il controllo delle policy personalizzato restituisce anche un indice delle istruzioni per aiutare a identificare il motivo dell'errore del controllo. L'indice delle istruzioni segue la numerazione a base zero, in cui la prima istruzione viene indicata come 0. Quando sono presenti più istruzioni che causano l'esito negativo di un controllo, il controllo restituisce un solo ID istruzione alla volta. Consigliamo di correggere l'istruzione evidenziata nel motivo e di eseguire nuovamente il controllo finché non viene superato.

Convalida delle policy con controlli delle policy personalizzati (console)

Come passaggio facoltativo, è possibile eseguire un controllo delle policy personalizzato durante la modifica di una policy nell'editor di policy JSON nella console IAM. Puoi verificare se la policy aggiornata concede un nuovo accesso rispetto alla versione esistente.

Per verificare la presenza di nuovi accessi durante la modifica delle policy JSON IAM

  1. Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione a sinistra, seleziona Policies (Policy).

  3. Nell'elenco delle policy, seleziona il nome della policy che desideri modificare. Puoi utilizzare la casella di ricerca per filtrare l'elenco di policy.

  4. Seleziona la scheda Autorizzazioni e scegli Modifica.

  5. Scegli l'opzione JSON e aggiorna la tua policy.

  6. Nel riquadro di convalida delle policy sotto la policy, scegli la scheda Verifica nuovi accessi e seleziona Verifica policy. Se le autorizzazioni modificate concedono un nuovo accesso, l'istruzione verrà evidenziata nel riquadro di convalida della policy.

  7. Se non intendi concedere un nuovo accesso, aggiorna le istruzioni di policy e scegli Verifica policy finché non viene rilevato alcun nuovo accesso.

    Nota

    Viene addebitato un costo per ogni controllo di un nuovo accesso. Per maggiori dettagli sui prezzi, consulta i prezzi di Sistema di analisi degli accessi AWS IAM.

  8. Seleziona Successivo.

  9. Nella pagina Verifica e salva, esamina il campo Autorizzazioni definite in questa policy, quindi scegli Salva modifiche.

Convalida delle politiche con controlli di policy personalizzati (AWS CLI o API)

Puoi eseguire controlli delle policy personalizzate di IAM Access Analyzer dall'API IAM Access Analyzer AWS CLI o dall'API IAM Access Analyzer.

Per eseguire controlli delle policy personalizzati di Sistema di analisi degli accessi AWS IAM (AWS CLI)

  • Per verificare se è consentito un nuovo accesso per una policy aggiornata rispetto alla policy esistente, esegui il seguente comando: check-no-new-access

  • Per verificare se l'accesso specificato non è consentito da una policy, esegui il comando seguente: check-access-not-granted

  • Per verificare se una politica delle risorse può concedere l'accesso pubblico a un tipo di risorsa specifico, esegui il comando seguente: check-no-public-access

Per eseguire controlli delle policy personalizzati di Sistema di analisi degli accessi AWS IAM (API)

  • Per verificare se è consentito un nuovo accesso per una policy aggiornata rispetto alla policy esistente, utilizza l'operazione API CheckNoNewAccess.

  • Per verificare se l'accesso specificato non è consentito da una policy, utilizza l'operazione API CheckAccessNotGranted.

  • Per verificare se una politica delle risorse può concedere l'accesso pubblico a un tipo di risorsa specifico, utilizza l'operazione CheckNoPublicAccessAPI.