Visualizza le ultime informazioni di accesso per IAM - AWS Identity and Access Management
Visualizzazione delle informazioni per IAM (console)Visualizzazione delle informazioni per IAM (AWS CLI)Visualizzazione delle informazioni per IAM ()AWS API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Visualizza le ultime informazioni di accesso per IAM

È possibile visualizzare le informazioni relative all'ultimo accesso IAM utilizzando AWS Management Console AWS CLI, o AWS API. Consulta un elenco di servizi e delle relative operazioni per i quali vengono visualizzate le informazioni relative all'ultimo accesso. Per ulteriori informazioni sulle ultime informazioni di accesso, vedere Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso.

È possibile visualizzare le informazioni per i seguenti tipi di risorse inIAM. In ogni caso, i dati includono i servizi consentiti per il periodo di reporting specificato:

  • Utente: visualizza l'ultima volta che l'utente ha tentato di accedere a ogni servizio consentito.

  • Gruppo di utenti: visualizza informazioni sull'ultima volta che un membro del gruppo di utenti ha provato ad accedere a ogni servizio consentito. Questo report include anche il numero totale di membri che hanno tentato di accedere.

  • Ruolo: visualizza l'ultima volta che qualcuno ha utilizzato il ruolo nel tentativo di accedere a ogni servizio consentito.

  • Policy: visualizza le informazioni sull'ultima volta che un utente o un ruolo ha provato ad accedere a ogni servizio consentito. Questo report include anche il numero totale di entità che hanno tentato di accedere.

Nota

Prima di visualizzare le informazioni di accesso per una risorsa inIAM, assicurati di comprendere il periodo di riferimento, le entità segnalate e i tipi di policy valutati per le tue informazioni. Per ulteriori dettagli, consulta Cose da sapere sulle ultime informazioni di accesso.

Visualizzazione delle informazioni per IAM (console)

È possibile visualizzare le informazioni relative IAM all'ultimo accesso nella scheda Access Advisor della IAM console.

Per visualizzare le informazioni per IAM (console)

  1. Accedi a AWS Management Console e apri la IAM console all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione, seleziona Gruppi di utenti, Utenti, Ruoli o Policy.

  3. Seleziona il nome di qualsiasi utente, gruppo di utenti, ruolo o policy per aprire la relativa pagina Riepilogo e seleziona la scheda Access Advisor. Visualizzare le seguenti informazioni, in base alla risorsa scelta:

    • Gruppo di utenti: visualizza l'elenco dei servizi a cui i membri del gruppo di utenti possono accedere. È inoltre possibile visualizzare l'ultima volta che un membro ha effettuato l'accesso al servizio, quali policy di gruppo ha utilizzato e quale membro del gruppo ha effettuato la richiesta. Scegli il nome della policy per scoprire se è una policy gestita o una policy del gruppo di utenti in linea. Scegli il nome del membro del gruppo per visualizzare tutti i membri del gruppo di utenti e il momento in cui hanno effettuato l'ultimo accesso al servizio.

    • Utente: visualizza l'elenco dei servizi a cui l'utente può accedere. È inoltre possibile visualizzare l'ultima volta che hanno effettuato l'accesso al servizio e i criteri associati attualmente all’utente. Scegli il nome della policy per sapere se si tratta di una policy gestita, di una policy utente in linea o di una policy in linea per il gruppo di utenti.

    • Ruolo: visualizzare l'elenco dei servizi cui il ruolo può accedere, il suo ultimo accesso al servizio e le policy utilizzate. Scegliere il nome della policy per scoprire se è una policy gestita o una policy del ruolo inline.

    • Policy: visualizza l'elenco dei servizi con le operazioni consentite nella policy. È inoltre possibile visualizzare l'ultima volta che il criterio è stato utilizzato per accedere al servizio e l'entità (utente o ruolo) utilizzata dal criterio. La data dell’Ultimo accesso include anche quando viene concesso l'accesso a questa policy tramite un’altra policy. Scegliere il nome dell'entità per scoprire a quali entità è collegata questa policy e l'ultimo accesso al servizio da parte dell'entità.

  4. Nella colonna Servizio della tabella, scegli il nome di uno dei servizi che include le informazioni sull'ultima azione a cui le entità hanno tentato di accedere per visualizzare un elenco delle azioni di gestione a cui le IAM entità hanno tentato di accedere. È possibile visualizzare la Regione AWS e un timestamp che indica l'ultimo tentativo di eseguire l'operazione da parte di un utente.

  5. La colonna Ultimo accesso viene visualizzata per i servizi e le operazioni di gestione dei servizi che includono le informazioni relative all'ultimo accesso a un'operazione. Esaminare i seguenti risultati possibili restituiti in questa colonna. Questi risultati variano a seconda che un servizio o un'azione sia consentito, sia stato effettuato l'accesso e che venga registrato l'ultimo accesso alle informazioni a cui si accede. AWS

    <number of> giorni fa

    Numero di giorni dall'utilizzo del servizio o dell'azione nel periodo di registrazione. Il periodo di monitoraggio per i servizi è degli ultimi 400 giorni. Il periodo di monitoraggio delle operazioni Amazon S3 è iniziato il 12 aprile 2020. Il periodo di tracciamento per le azioni di Amazon EC2 e Lambda è iniziato il 7 aprile 2021. IAM Il periodo di monitoraggio per tutti gli altri servizi è iniziato il 23 maggio 2023. Per ulteriori informazioni sulle date di inizio del monitoraggio per ciascuna di esse Regione AWS, consultaDove AWS tiene traccia delle ultime informazioni a cui si accede.

    Non accessibile nel periodo di tracciabilità

    Il servizio o l'azione tracciati non sono stati utilizzati da un'entità nel periodo di registrazione.

    È possibile disporre delle autorizzazioni per un'azione che non viene visualizzata nell'elenco. Ciò può verificarsi se le informazioni di monitoraggio per l'operazione non sono attualmente incluse da AWS. Non è consigliabile prendere decisioni sulle autorizzazioni basate esclusivamente sull'assenza di informazioni di tracciamento. Si consiglia invece di utilizzare queste informazioni per informare e supportare la strategia generale di concessione di privilegi minimi. Controllare i criteri per verificare che il livello di accesso sia appropriato.

Visualizzazione delle informazioni per IAM (AWS CLI)

Puoi utilizzare il AWS CLI per recuperare informazioni sull'ultima volta che una IAM risorsa è stata utilizzata per tentare di accedere ai AWS servizi e alle azioni di Amazon S3IAM, EC2 Amazon e Lambda. Una IAM risorsa può essere un utente, un gruppo di utenti, un ruolo o una policy.

Per visualizzare le informazioni per IAM (AWS CLI)

  1. Generare un report. La richiesta deve includere la IAM risorsa (utente, gruppo ARN di utenti, ruolo o policy) per la quale si desidera un rapporto. È possibile specificare il livello di granularità che si desidera generare nel report per visualizzare i dettagli di accesso per i servizi o per entrambi i servizi e le azioni. Viene restituito un job-id che è possibile utilizzare nelle operazioni get-service-last-accessed-details e get-service-last-accessed-details-with-entities per monitorare job-status finché il processo viene completato.

  2. Recuperare i dettagli sul report utilizzando il parametro job-id dal passaggio precedente.

    Questa operazione restituisce le seguenti informazioni, a seconda del tipo di risorsa e il livello di granularità richiesto nell'operazione generate-service-last-accessed-details:

    • Utente: restituisce un elenco dei servizi cui l'utente specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo dell'utente e ARN dell'utente.

    • Gruppo di utenti: restituisce un elenco dei servizi a cui i membri del gruppo di utenti specificato possono accedere utilizzando la policy collegata al gruppo di utenti. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo effettuato da qualsiasi membro del gruppo di utenti. Restituisce inoltre il ARN nome di quell'utente e il numero totale di membri del gruppo di utenti che hanno tentato di accedere al servizio. Utilizzate l'GetServiceLastAccessedDetailsWithEntitiesoperazione per recuperare un elenco di tutti i membri.

    • Ruolo: restituisce un elenco dei servizi cui il ruolo specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo del ruolo e ARN del ruolo.

    • Policy: restituisce un elenco dei servizi per i quali la policy specificata consente l'accesso. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo di accesso al servizio da parte di un'entità (utente o ruolo), utilizzando la policy. Restituisce inoltre il ARN nome di tale entità e il numero totale di entità che hanno tentato l'accesso.

  3. Scopri di più sulle entità che hanno utilizzato autorizzazioni di policy o gruppo di utenti in un tentativo di accesso a un servizio specifico. Questa operazione restituisce un elenco di entità con l'IDARN, il nome, il percorso, il tipo (utente o ruolo) di ciascuna entità e l'ultima volta che hanno tentato di accedere al servizio. È anche possibile utilizzare questa operazione per gli utenti e i ruoli, ma restituisce informazioni solo su tale entità.

  4. Scopri di più sulle policy basate sull'identità utilizzate da un'identità (utente, gruppo di utenti o ruolo) in un tentativo di accesso a un servizio specifico. Quando si specifica un'identità e un servizio, questa operazione restituisce un elenco delle policy di autorizzazione che l'identità può utilizzare per accedere al servizio specificato. Questa operazione fornisce lo stato attuale delle policy e non dipende dal report generato. Inoltre, non restituisce altri tipi di policy, come policy basate sulle risorse, liste di controllo degli accessi, AWS Organizations policy, limiti di IAM autorizzazione o policy di sessione. Per ulteriori informazioni, consulta Tipi di policy o Valutazione delle politiche per le richieste all'interno di un singolo account.

Visualizzazione delle informazioni per IAM ()AWS API

Puoi utilizzare il AWS API per recuperare informazioni sull'ultima volta che una IAM risorsa è stata utilizzata per tentare di accedere ai AWS servizi e alle azioni di Amazon S3IAM, EC2 Amazon e Lambda. Una IAM risorsa può essere un utente, un gruppo di utenti, un ruolo o una policy. È possibile specificare il livello di granularità da generare nel report per visualizzare i dettagli relativi ai servizi o ai servizi e alle azioni.

Per visualizzare le informazioni relative a IAM (AWS API)

  1. Generare un report. La richiesta deve includere la IAM risorsa (utente, gruppo ARN di utenti, ruolo o policy) per la quale si desidera un rapporto. Viene restituito un JobId che è possibile utilizzare nelle operazioni GetServiceLastAccessedDetails e GetServiceLastAccessedDetailsWithEntities per monitorare il JobStatus finché il processo viene completato.

  2. Recuperare i dettagli sul report utilizzando il parametro JobId dal passaggio precedente.

    Questa operazione restituisce le seguenti informazioni, a seconda del tipo di risorsa e il livello di granularità richiesto nell'operazione GenerateServiceLastAccessedDetails:

    • Utente: restituisce un elenco dei servizi cui l'utente specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo dell'utente e ARN dell'utente.

    • Gruppo di utenti: restituisce un elenco dei servizi a cui i membri del gruppo di utenti specificato possono accedere utilizzando la policy collegata al gruppo di utenti. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo effettuato da qualsiasi membro del gruppo di utenti. Restituisce inoltre il ARN nome di quell'utente e il numero totale di membri del gruppo di utenti che hanno tentato di accedere al servizio. Utilizzate l'GetServiceLastAccessedDetailsWithEntitiesoperazione per recuperare un elenco di tutti i membri.

    • Ruolo: restituisce un elenco dei servizi cui il ruolo specificato può accedere. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo del ruolo e ARN del ruolo.

    • Policy: restituisce un elenco dei servizi per i quali la policy specificata consente l'accesso. Per ogni servizio, l'operazione restituisce la data e l'ora dell'ultimo tentativo di accesso al servizio da parte di un'entità (utente o ruolo), utilizzando la policy. Restituisce inoltre il ARN nome di tale entità e il numero totale di entità che hanno tentato l'accesso.

  3. Scopri di più sulle entità che hanno utilizzato autorizzazioni di policy o gruppo di utenti in un tentativo di accesso a un servizio specifico. Questa operazione restituisce un elenco di entità con l'IDARN, il nome, il percorso, il tipo (utente o ruolo) di ciascuna entità e l'ultima volta che hanno tentato di accedere al servizio. È anche possibile utilizzare questa operazione per gli utenti e i ruoli, ma restituisce informazioni solo su tale entità.

  4. Scopri di più sulle policy basate sull'identità utilizzate da un'identità (utente, gruppo di utenti o ruolo) in un tentativo di accesso a un servizio specifico. Quando si specifica un'identità e un servizio, questa operazione restituisce un elenco delle policy di autorizzazione che l'identità può utilizzare per accedere al servizio specificato. Questa operazione fornisce lo stato attuale delle policy e non dipende dal report generato. Inoltre, non restituisce altri tipi di policy, come policy basate sulle risorse, liste di controllo degli accessi, policy, limiti di IAM autorizzazione o AWS Organizations policy di sessione. Per ulteriori informazioni, consulta Tipi di policy o Valutazione delle politiche per le richieste all'interno di un singolo account.