Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Tipi di risorse di Sistema di analisi degli accessi IAM per gli accessi esterni

Per gli analizzatori degli accessi esterni, Sistema di analisi degli accessi IAM analizza le policy basate sulle risorse applicate alle risorse AWS nella regione in cui è stato abilitato Sistema di analisi degli accessi IAM. Vengono analizzate solo le policy basate sulle risorse. Esamina le informazioni di ogni risorsa per i dettagli su come Sistema di analisi degli accessi IAM genera i risultati per ogni tipo di risorsa.

Bucket Amazon Simple Storage Service

Quando Sistema di analisi degli accessi IAM analizza i bucket Amazon S3, genera un risultato quando la policy di un bucket Amazon S3, una ACL o un punto di accesso applicato a un bucket concede l'accesso a un'entità esterna. Un'entità esterna è un'entità principale o un'altra entità che puoi utilizzare per creare un filtro che non si trova all'interno della zona di attendibilità. Ad esempio, se la policy di un bucket concede l'accesso a un altro account o consente l'accesso pubblico, Sistema di analisi degli accessi IAM genera un risultato. Tuttavia, se abiliti Block Public Access (Blocca accesso pubblico) nel bucket, puoi bloccare l'accesso a livello di account o bucket.

Le impostazioni per il blocco dell'accesso pubblico di Amazon S3 sostituiscono le policy applicate al bucket. Le impostazioni sovrascrivono anche le policy applicate ai punti di accesso del bucket. Sistema di analisi degli accessi IAM analizza le impostazioni del blocco dell'accesso pubblico a livello di bucket ogni volta che cambia una policy. Tuttavia, valuta le impostazioni del blocco dell'accesso pubblico a livello di account solo una volta ogni 6 ore. Ciò significa che Sistema di analisi degli accessi IAM potrebbe non generare o risolvere un risultato per l'accesso pubblico a un bucket per un massimo di 6 ore. Ad esempio, se hai una policy del bucket che consente l'accesso pubblico, Sistema di analisi degli accessi IAM genera un risultato per tale accesso. Se quindi abiliti il blocco dell'accesso pubblico per bloccare tutti gli accessi pubblici al bucket a livello di account, Sistema di analisi degli accessi IAM non risolve il risultato per la policy del bucket per un massimo di 6 ore, anche se tutti gli accessi pubblici al bucket sono bloccati. La risoluzione dei dati pubblici relativi ai punti di accesso multi-account può inoltre richiedere fino a 6 ore dopo l'abilitazione del blocco dell'accesso pubblico a livello di account. Le modifiche a una policy di controllo delle risorse (RCP) senza una modifica della policy del bucket non attivano una nuova scansione del bucket riportato nel risultato. In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva che avviene entro 24 ore.

Per un punto di accesso multi-regione, Sistema di analisi degli accessi IAM utilizza una policy stabilita per la generazione dei risultati. Sistema di analisi degli accessi IAM valuta le modifiche apportate ai punti di accesso multi-regione una volta ogni 6 ore. Ciò significa che Sistema di analisi degli accessi IAM non genera né risolve un risultato per un massimo di 6 ore, anche se viene creato o eliminato un punto di accesso multi-regione o se ne aggiorna la policy.

Bucket di directory di Amazon Simple Storage Service

I bucket di directory di Amazon S3 utilizzano la classe di storage Amazon S3 Express One, consigliata per carichi di lavoro o applicazioni critici in termini di prestazioni. Per i bucket di directory di Amazon S3, Sistema di analisi degli accessi IAM analizza la relativa policy, incluse le istruzioni sulle condizione in una policy, che consentono a un'entità esterna di accedere a un bucket di directory. Per ulteriori informazioni sui bucket di directory di Amazon S3, consulta Bucket di directory nella Guida per l'utente di Amazon Simple Storage Service.

Ruoli AWS Identity and Access Management

Per i ruoli IAM, Sistema di analisi degli accessi IAM analizza le policy di attendibilità. In una policy di attendibilità per il ruolo si definiscono le entità attendibili per assumere il ruolo. Una policy di attendibilità del ruolo è una policy basata sulle risorse collegata a un ruolo in IAM. Sistema di analisi degli accessi IAM genera i risultati per i ruoli all'interno della zona di attendibilità a cui può accedere un'entità esterna che si trova al di fuori della zona di attendibilità.

Chiavi AWS Key Management Service

Per AWS KMS keys, Sistema di analisi degli accessi IAM analizza le policy di chiave e le concessioni applicate a una chiave. Sistema di analisi degli accessi IAM genera un risultato se una policy di chiave o una concessione consente a un'entità esterna di accedere alla chiave. Ad esempio, se utilizzi la chiave di condizione kms:CallerAccount in una dichiarazione di policy per consentire l'accesso a tutti gli utenti di un determinato account AWS e specifichi un account diverso da quello corrente (la zona di attendibilità per l'analizzatore corrente), Sistema di analisi degli accessi IAM genera un risultato. Per ulteriori informazioni sulle chiavi della condizione AWS KMS nelle istruzioni delle policy IAM, consulta la sezione Chiavi della condizione di AWS KMS.

Quando Sistema di analisi degli accessi IAM analizza una chiave KMS, legge i metadati della chiave, ad esempio la policy della chiave e l'elenco delle concessioni. Se la policy della chiave non consente al ruolo di Sistema di analisi degli accessi IAM di leggere i metadati della chiave, viene generato un errore di accesso negato. Ad esempio, se l'istruzione della policy di esempio seguente è l'unica policy applicata a una chiave, viene generato un errore di accesso negato in Sistema di analisi degli accessi IAM:

{
    "Sid": "Allow access for Key Administrators",
    "Effect": "Allow",
    "Principal": {
       "AWS": "arn:aws:iam::111122223333:role/Admin"
    },
    "Action": "kms:*",
    "Resource": "*"
}

Poiché questa istruzione consente solo al ruolo denominato Admin dell'account AWS 111122223333 di accedere alla chiave, viene generato un errore di accesso negato perché Sistema di analisi degli accessi IAM non è in grado di analizzare completamente la chiave. Un risultato di errore viene visualizzato in rosso nella tabella Findings (Risultati). Il risultato è simile al seguente:

{
    "error": "ACCESS_DENIED",
    "id": "12345678-1234-abcd-dcba-111122223333",
    "analyzedAt": "2019-09-16T14:24:33.352Z",
    "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a",
    "resourceType": "AWS::KMS::Key",
    "status": "ACTIVE",
    "updatedAt": "2019-09-16T14:24:33.352Z"
}

Quando crei una chiave KMS, le autorizzazioni concesse per accedere alla chiave dipendono dalla modalità di creazione della chiave. Se viene visualizzato un errore di tipo Accesso negato per una risorsa chiave, applica la seguente istruzione della policy alla risorsa chiave per concedere a Sistema di analisi degli accessi IAM l'autorizzazione per accedere alla chiave.

{
    "Sid": "Allow IAM Access Analyzer access to key metadata",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer"
        },
    "Action": [
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:List*"
    ],
    "Resource": "*"
},

Dopo aver ricevuto un risultato di accesso negato per una risorsa chiave KMS e quindi averlo risolto aggiornando la policy della chiave, il risultato viene aggiornato sullo stato Risolto. Se sono presenti istruzioni di policy o concessioni della chiave che concedono l'autorizzazione alla chiave per un'entità esterna, è possibile che vengano visualizzati ulteriori risultati per la risorsa chiave.

Funzioni e livelli AWS Lambda

Per le funzioni AWS Lambda, Sistema di analisi degli accessi IAM analizza le policy, incluse le istruzioni di condizione in una policy, che concedono l'accesso alla funzione per un'entità esterna. Con Lambda, puoi collegare policy basate sulle risorse univoche a funzioni, versioni, alias e livelli. Il Sistema di analisi degli accessi IAM riporta gli accessi esterni in base a policy basate sulle risorse collegate a funzioni e livelli. Il Sistema di analisi degli accessi IAM non riporta l'accesso esterno in base a policy basate su risorse collegate ad alias e versioni specifiche richiamate utilizzando un ARN completo.

Per ulteriori informazioni, consulta Uso delle policy basate sulle risorse per Lambda e Utilizzo di versioni nella Guida per gli sviluppatori di AWS Lambda.

Code Amazon Simple Queue Service

Per le code Amazon SQS, Sistema di analisi degli accessi IAM analizza le policy, incluse le istruzioni di condizione in una policy che consentono a un'entità esterna di accedere a una coda.

AWS Secrets Manager segreti

Per i segreti AWS Secrets Manager, Sistema di analisi degli accessi IAM analizza le policy, incluse le istruzioni di condizione in una policy, che consentono a un'entità esterna di accedere a un segreto.

Argomenti su Amazon Simple Notification Service

Sistema di analisi degli accessi IAM analizza le policy basate sulle risorse allegate agli argomenti di Amazon SNS, incluse le istruzioni delle condizioni nelle policy che consentono l'accesso esterno a un argomento. Puoi consentire agli account esterni di eseguire azioni Amazon SNS come la sottoscrizione e la pubblicazione di argomenti tramite una policy basata sulle risorse. Un argomento Amazon SNS è accessibile dall'esterno se i principali di un account esterno alla tua zona di fiducia possono eseguire operazioni sull'argomento. Se scegli Everyone nella tua policy quando crei un argomento Amazon SNS, rendi l'argomento accessibile al pubblico. AddPermission è un altro modo per aggiungere una policy basata sulle risorse a un argomento Amazon SNS che consente l'accesso esterno.

Volumi e snapshot di Amazon Elastic Block Store

Gli snapshot di volumi di Amazon Elastic Block Store non hanno policy basate sulle risorse. Uno snapshot viene condiviso tramite le autorizzazioni di condivisione di Amazon EBS. Per gli snapshot di volume Amazon EBS, Sistema di analisi degli accessi IAM analizza le liste di controllo degli accessi che consentono a un'entità esterna di accedere a uno snapshot. Se crittografato, uno snapshot di volume Amazon EBS può essere condiviso con account esterni. Uno snapshot di volume non crittografato può essere condiviso con account esterni e garantire l'accesso pubblico. Le impostazioni di condivisione sono nell'attributo CreateVolumePermissions dello snapshot. Quando i clienti visualizzano in anteprima l'accesso esterno di uno snapshot di Amazon EBS, possono specificare la chiave di crittografia come indicatore del fatto che lo snapshot è crittografato, in modo simile a come l'anteprima di Sistema di analisi degli accessi IAM gestisce i segreti di Gestione dei segreti.

Amazon Relational Database Service

Gli snapshot del database Amazon RDS non hanno policy basate su risorse. Uno snapshot del database viene condiviso tramite le autorizzazioni del database Amazon RDS e possono essere condivisi solo snapshot manuali del database. Per gli snapshot del database Amazon RDS, Sistema di analisi degli accessi IAM analizza le liste di controllo degli accessi che consentono a un'entità esterna di accedere a uno snapshot. Gli snapshot del database non crittografati possono essere pubblici. Gli snapshot del database crittografati non possono essere condivisi pubblicamente, ma possono essere condivisi con un massimo di altri 20 account. Per ulteriori informazioni, consulta Creazione di uno snapshot DB. Sistema di analisi degli accessi IAM considera la capacità di esportare uno snapshot manuale del database (ad esempio, in un bucket Amazon S3) come accesso attendibile.

Snapshot di cluster di database di Amazon Relational Database Service

Gli snapshot del cluster di database Amazon RDS non hanno policy basate su risorse. Uno snapshot viene condiviso tramite le autorizzazioni del cluster di database di Amazon RDS. Per gli snapshot del cluster di database di Amazon RDS, Sistema di analisi degli accessi IAM analizza le liste di controllo degli accessi che consentono a un'entità esterna di accedere a uno snapshot. Gli snapshot del cluster non crittografati possono essere pubblici. Gli snapshot del cluster crittografati non possono essere condivisi pubblicamente. Gli snapshot del cluster non crittografati e crittografati possono essere condivisi con al massimo altri 20 account. Per ulteriori informazioni, consulta la sezione Creating a DB Cluster Snapshot (Creazione di uno snapshot cluster database). Sistema di analisi degli accessi IAM considera la capacità di esportare uno snapshot del cluster di database (ad esempio, in un bucket Amazon S3) come accesso attendibile.

Repository di Amazon Elastic Container Registry

Per i repository Amazon ECR, Sistema di analisi degli accessi IAM analizza le policy basate su risorse, incluse le istruzioni di condizione in una policy che consentono a un'entità esterna di accedere a un repository (in modo simile ad altri tipi di risorse come gli argomenti di Amazon SNS e i file system Amazon EFS). Per i repository Amazon ECR, un principale deve avere l'autorizzazione per ecr:GetAuthorizationToken tramite una policy basata sull'identità per essere considerato disponibile esternamente.

File system di Amazon Elastic File System

Per le code Amazon SQS, Sistema di analisi degli accessi IAM analizza le policy, incluse le istruzioni di condizione in una policy che consentono a un'entità esterna di accedere a una coda. Un file system Amazon EFS è accessibile dall'esterno se i principali di un account esterno alla tua zona di attendibilità possono eseguire operazioni su quel file system. L'accesso è definito da una policy del file system che utilizza IAM e da come viene montato il file system. Ad esempio, il montaggio del file system Amazon EFS in un altro account è considerato accessibile dall'esterno, a meno che tale account non si trovi nella tua organizzazione e tu non abbia definito l'organizzazione come la tua zona di attendibilità. Se monti il file system da un cloud privato virtuale con una sottorete pubblica, il file system sarà accessibile dall'esterno. Quando usi Amazon EFS con AWS Transfer Family, le richieste di accesso al file system ricevute da un server Transfer Family di proprietà di un account diverso dal file system vengono bloccate se il file system consente l'accesso pubblico.

Flussi Amazon DynamoDB

Il Sistema di analisi degli accessi IAM genera un risultato se una policy di DynamoDB consente almeno un'azione tra account che consente a un'entità esterna di accedere a un flusso di DynamoDB. Per ulteriori informazioni sulle azioni multi-account supportate per DynamoDB, consulta Azioni IAM supportate da policy basate sulle risorse nella Guida per gli sviluppatori di Amazon DynamoDB.

Tabelle Amazon DynamoDB

Il Sistema di analisi degli accessi IAM genera un risultato per una tabella di DynamoDB se una policy di DynamoDB consente almeno un'azione tra account che consente a un'entità esterna di accedere a una tabella o un indice DynamoDB. Per ulteriori informazioni sulle azioni multi-account supportate per DynamoDB, consulta Azioni IAM supportate da policy basate sulle risorse nella Guida per gli sviluppatori di Amazon DynamoDB.