Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso - AWS Identity and Access Management

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Perfeziona le autorizzazioni AWS utilizzando le informazioni dell'ultimo accesso

In qualità di amministratore, potresti concedere autorizzazioni alle IAM risorse (ruoli, utenti, gruppi di utenti o politiche) oltre a quelle richieste. IAMfornisce le informazioni sull'ultimo accesso per aiutarti a identificare le autorizzazioni non utilizzate in modo da poterle rimuovere. È possibile utilizzare le informazioni dell'ultimo accesso per perfezionare le politiche e consentire l'accesso solo ai servizi e alle azioni utilizzati IAM dalle identità e dalle politiche. In questo modo è più facile rispettare le best practice dei privilegi minimi. È possibile visualizzare le informazioni relative all'ultimo accesso relative alle identità o alle politiche esistenti in o. IAM AWS Organizations

È possibile monitorare continuamente le informazioni relative all'ultimo accesso con analizzatori degli accessi inutilizzati. Per ulteriori informazioni, consulta Risultati relativi agli accessi esterni e inutilizzati.

Ultimi tipi di informazioni a cui si accede per IAM

È possibile visualizzare due tipi di informazioni relative all'ultimo accesso per le IAM identità: informazioni sul AWS servizio consentito e informazioni sulle azioni consentite. Le informazioni includono la data e l'ora in cui AWS API è stato effettuato il tentativo di accedere a un. Per le operazioni, le informazioni relative all'ultimo accesso riportano le operazioni di gestione del servizio. Le azioni di gestione includono le azioni di creazione, eliminazione e modifica. Per ulteriori informazioni su come visualizzare le informazioni relative all'ultimo accessoIAM, vedereVisualizza le ultime informazioni di accesso per IAM.

Ad esempio, scenari per l'utilizzo delle informazioni dell'ultimo accesso per prendere decisioni sulle autorizzazioni da concedere alle proprie IAM identità, vedere. Scenari di esempio per l'utilizzo delle ultime informazioni di accesso

Per ulteriori informazioni su come vengono fornite le informazioni per le azioni di gestione, vedere Cose da sapere sulle ultime informazioni di accesso.

Ultime informazioni di accesso per AWS Organizations

Se accedi utilizzando le credenziali dell'account di gestione, puoi visualizzare le informazioni sull'ultimo accesso al servizio per un' AWS Organizations entità o una politica dell'organizzazione. AWS Organizations le entità includono la radice dell'organizzazione, le unità organizzative (OUs) o gli account. Le informazioni relative all'ultimo accesso AWS Organizations includono informazioni sui servizi consentiti da una policy di controllo del servizio (SCP). Le informazioni indicano quali responsabili (utente root, IAM utente o ruolo) di un'organizzazione o di un account hanno tentato l'ultima volta di accedere al servizio e quando. Per ulteriori informazioni sul rapporto e su come visualizzare le informazioni relative all'ultimo accesso AWS Organizations, vedere. Visualizza le informazioni relative all'ultimo accesso per Organizations

Per esempi di scenari dell'utilizzo delle informazioni sull'ultimo accesso per prendere decisioni sulle autorizzazioni da concedere alle entità di Organizations, consulta Scenari di esempio per l'utilizzo delle ultime informazioni di accesso.

Cose da sapere sulle ultime informazioni di accesso

Prima di utilizzare le informazioni dell'ultimo accesso contenute in un rapporto per modificare le autorizzazioni per un'IAMidentità o un'entità Organizations, esamina i seguenti dettagli sulle informazioni.

  • Periodo di monitoraggio: le attività recenti vengono visualizzate nella IAM console entro quattro ore. Il periodo di monitoraggio per le informazioni sul servizio dura almeno 400 giorni, a seconda di quando il servizio ha avviato il monitoraggio delle informazioni sulle operazioni. Il periodo di monitoraggio delle informazioni sulle operazioni Amazon S3 è iniziato il 12 aprile 2020. Il periodo di tracciamento per le azioni di Amazon EC2 e Lambda è iniziato il 7 aprile 2021. IAM Il periodo di monitoraggio per tutti gli altri servizi è iniziato il 23 maggio 2023. Per un elenco dei servizi per i quali sono disponibili le informazioni relative all'ultimo accesso a un'operazione, consulta la pagina IAMazione: servizi e azioni di informazione a cui si è avuto accesso per ultimo. Per ulteriori informazioni sulle regioni per le quali sono disponibili le informazioni relative all'ultimo accesso a un'operazione, consulta la pagina Dove AWS tiene traccia delle ultime informazioni a cui si accede.

  • Tentativi segnalati: i dati dell'ultimo accesso al servizio includono tutti i tentativi di accesso AWS API, non solo quelli riusciti. Sono inclusi tutti i tentativi effettuati utilizzando o AWS API tramite uno qualsiasi degli SDKs strumenti della riga di comando. AWS Management Console Una voce non prevista nell'ultimo accesso ai dati del servizio non significa che l'account è stato compromesso, poiché la richiesta potrebbe essere stata rifiutata. Fai riferimento ai tuoi CloudTrail registri come fonte autorevole per informazioni su tutte le API chiamate e sull'esito positivo o negativo dell'accesso.

  • PassRole— L'iam:PassRoleazione non viene tracciata e non è inclusa nelle informazioni relative all'ultima IAM azione a cui si è avuto accesso.

  • Informazioni sull'ultimo accesso all'azione: le informazioni sull'ultima azione a cui hanno accesso sono disponibili per le azioni di gestione dei servizi a cui hanno accesso le IAM identità. Consulta l'elenco di servizi e delle relative operazioni per scoprire a quale operazione si riferiscono i report relativi all'ultimo accesso.

    Nota

    Le informazioni sull'ultima operazione alla quale è stato effettuato l'accesso non sono disponibili per gli eventi di dati di Amazon S3.

  • Eventi di gestione: IAM fornisce informazioni sulle azioni relative agli eventi di gestione dei servizi registrati da. CloudTrail A volte, gli eventi di CloudTrail gestione vengono anche chiamati operazioni del piano di controllo o eventi del piano di controllo. Gli eventi di gestione forniscono visibilità sulle operazioni amministrative eseguite sulle risorse dell'azienda Account AWS. Per ulteriori informazioni sugli eventi di gestione in CloudTrail, vedere Registrazione degli eventi di gestione nella Guida per l'AWS CloudTrail utente.

  • Proprietario del report: solo il principale che genera un report può visualizzare i dettagli del report. Ciò significa che quando si visualizzano le informazioni contenute in AWS Management Console, potrebbe essere necessario attendere che vengano generate e caricate. Se si utilizza AWS CLI o AWS API per ottenere i dettagli del rapporto, le credenziali devono corrispondere alle credenziali del responsabile che ha generato il rapporto. Se si utilizzano credenziali temporanee per un ruolo o un utente federato, è necessario generare e recuperare il report durante la stessa sessione. Per ulteriori informazioni sulle entità principal di sessione del ruolo assunto, consulta AWS JSONelementi politici: Principal.

  • IAMrisorse: le ultime informazioni a cui si accede IAM includono IAM le risorse (ruoli, utenti, IAM gruppi e politiche) presenti nell'account. Le ultime informazioni a cui si accede per Organizations includono i principali (IAMutenti, IAM ruoli o Utente root dell'account AWS) nell'entità Organizations specificata. Le informazioni relative all'ultimo accesso non includono i tentativi non autenticati.

  • IAMtipi di policy: le ultime informazioni a cui si accede IAM includono i servizi consentiti dalle policy di un'IAMidentità. Si tratta delle policy collegate a un ruolo o a un utente direttamente o tramite un gruppo. L'accesso consentito da altri tipi di policy non è incluso nel report. I tipi di policy esclusi includono policy basate sulle risorse, liste di controllo degli accessi AWS Organizations SCPs, limiti di IAM autorizzazione e policy di sessione. Le autorizzazioni fornite dai ruoli collegati ai servizi sono definite dal servizio a cui sono collegati e non possono essere modificate. IAM Per ulteriori informazioni sui ruoli collegati ai servizi, vedere Creazione di un ruolo collegato ai servizi. Per informazioni sulla valutazione dei diversi tipi di criteri per consentire o negare l'accesso, vedere Logica di valutazione delle policy.

  • Tipi di policy di Organizations: le informazioni AWS Organizations includono solo i servizi consentiti dalle policy di controllo dei servizi ereditate di un'entità Organizations (SCPs). SCPssono politiche collegate a un'unità organizzativa principale, a un'unità organizzativa o a un account. L'accesso consentito da altri tipi di policy non è incluso nel report. I tipi di policy esclusi includono criteri basati sull'identità, criteri basati sulle risorse, elenchi di controllo degli accessi, limiti delle IAM autorizzazioni e criteri di sessione. Per ulteriori informazioni su come i diversi tipi di policy vengono valutati per consentire o negare l'accesso, consulta Logica di valutazione delle policy.

  • Specificazione di un ID di policy: quando si utilizza AWS CLI o per generare un report per le ultime informazioni AWS API a cui si accede in Organizations, è possibile specificare facoltativamente un ID di policy. Il report risultante include i dati per i servizi consentiti solo da tale policy. Le informazioni includono l'attività più recente dell'account nell'entità Organizations specificata o nei relativi figli. Per ulteriori informazioni, consulta aws iam generate-organizations-access -report o. GenerateOrganizationsAccessReport

  • Account di gestione di Organizations: è necessario accedere all'account di gestione dell'organizzazione per visualizzare le informazioni sull'ultimo accesso al servizio. Puoi scegliere di visualizzare le informazioni relative all'account di gestione utilizzando la IAM console, il AWS CLI, o il AWS API. Il report risultante elenca tutti i AWS servizi, poiché l'account di gestione non è limitato daSCPs. Se si specifica un ID di policy in CLI oAPI, il criterio viene ignorato. Per ogni servizio, il report include le informazioni solo per l'account di gestione. Tuttavia, i report per altre entità di Organizations non riportano i dati delle attività nell'account di gestione.

  • Impostazioni Organizations: un amministratore deve abilitare SCPs nella directory principale dell'organizzazione prima di poter generare dati per Organizations.

Autorizzazioni richieste

Per visualizzare le ultime informazioni a cui si accede in AWS Management Console, è necessario disporre di una politica che conceda le autorizzazioni necessarie.

Autorizzazioni per le informazioni IAM

Per utilizzare la IAM console per visualizzare le ultime informazioni a cui si accede per un IAM utente, un ruolo o una policy, è necessario disporre di una politica che includa le seguenti azioni:

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

Queste autorizzazioni consentono a un utente di visualizzare ciò che segue:

  • Gli utenti, i gruppi o i ruoli collegati a una policy gestita

  • I servizi cui può accedere un utente o ruolo

  • L'ultima volta che ha effettuato l'accesso al servizio

  • L'ultima volta che hanno tentato di utilizzare un'azione specifica di Amazon EC2IAM, Lambda o Amazon S3

Per utilizzare AWS CLI o visualizzare le informazioni relative AWS API all'ultimo accessoIAM, devi disporre delle autorizzazioni corrispondenti all'operazione che desideri utilizzare:

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

Questo esempio mostra come è possibile creare una politica basata sull'identità che consenta di visualizzare IAM le informazioni dell'ultimo accesso. Inoltre, consente l'accesso in sola lettura a tutti. IAM Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }

Autorizzazioni per le informazioni AWS Organizations

Per utilizzare la IAM console per visualizzare un report per le entità root, OU o account in Organizations, è necessario disporre di una politica che includa le seguenti azioni:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Per utilizzare AWS CLI o visualizzare le informazioni sull'ultimo accesso AWS API al servizio per Organizations, è necessario disporre di una politica che includa le seguenti azioni:

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Questo esempio mostra come creare una policy basata sull'identità che consenta di visualizzare le informazioni sull'ultimo accesso al servizio per Organizations. Inoltre, consente l'accesso in sola lettura a tutto Organizations. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console.

{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }

Puoi anche utilizzare la chiave iam: OrganizationsPolicyId condition per consentire la generazione di un report solo per una politica specifica di Organizations. Per un esempio di policy, consulta IAM: Visualizza le informazioni sull'ultimo accesso al servizio per una policy Organizations.

Risolvi i problemi relativi all'attività delle entità e delle IAM Organizzazioni

In alcuni casi, AWS Management Console l'ultima tabella delle informazioni a cui si accede potrebbe essere vuota. O forse la tua AWS API richiesta AWS CLI o restituisce un insieme di informazioni vuoto o un campo nullo. In questi casi, verifica i problemi seguenti:

  • Per le informazioni sull'ultimo accesso, un'azione che si prevede di visualizzare potrebbe non essere restituita nell'elenco. Ciò può accadere perché l'IAMidentità non dispone delle autorizzazioni per l'azione o AWS non tiene ancora traccia dell'azione per le ultime informazioni a cui si accede.

  • Per un IAM utente, assicurati che l'utente abbia almeno una policy in linea o gestita allegata, direttamente o tramite l'appartenenza ai gruppi.

  • Per un IAM gruppo, verifica che al gruppo sia associata almeno una policy in linea o gestita.

  • Per un IAM gruppo, il rapporto restituisce solo le informazioni relative all'ultimo accesso al servizio per i membri che hanno utilizzato le politiche del gruppo per accedere a un servizio. Per scoprire se un membro ha utilizzato altre policy, esamina i dati sull'ultimo accesso al servizio per tale utente.

  • Per un IAM ruolo, verifica che al ruolo sia associata almeno una policy in linea o gestita.

  • Per un'IAMentità (utente o ruolo), esamina altri tipi di policy che potrebbero influire sulle autorizzazioni di tale entità. Questi includono politiche basate sulle risorse, elenchi di controllo degli accessi, politiche, limiti IAM delle autorizzazioni o AWS Organizations politiche di sessione. Per ulteriori informazioni, consulta Tipi di policy o Valutazione delle policy in un singolo account.

  • Per quanto riguarda una IAM politica, assicurati che la politica gestita specificata sia associata ad almeno un utente, gruppo con membri o ruolo.

  • Per un'entità di Organizations (root, UO o account), assicurati di aver effettuato l'accesso utilizzando le credenziali dell'account di gestione di Organizations.

  • Verifica che SCPssiano abilitati nella cartella principale dell'organizzazione.

  • Le informazioni sull'ultimo accesso all'azione sono disponibili solo per alcune azioni elencate in IAMazione: servizi e azioni di informazione a cui si è avuto accesso per ultimo.

Quando apporti modifiche, attendi almeno quattro ore affinché l'attività venga visualizzata nel rapporto IAM della console. Se utilizzi il comando AWS CLI o AWS API, devi generare un nuovo rapporto per visualizzare le informazioni aggiornate.

Dove AWS tiene traccia delle ultime informazioni a cui si accede

AWS raccoglie le ultime informazioni a cui si accede per le AWS regioni standard. Quando si AWS aggiungono altre regioni, tali regioni vengono aggiunte alla tabella seguente, inclusa la data di AWS inizio del monitoraggio delle informazioni in ciascuna regione.

  • Informazioni sul servizio: il periodo di monitoraggio per i servizi dura almeno 400 giorni, o meno se la regione che ha avviato il monitoraggio di questa funzione negli ultimi 400 giorni.

  • Informazioni sulle operazioni: il periodo di monitoraggio delle operazioni di gestione Amazon S3 è iniziato il 12 aprile 2020. Il periodo di tracciamento per le azioni di gestione di Amazon EC2 e Lambda è iniziato il 7 aprile 2021. IAM Il periodo di monitoraggio per le operazioni di gestione di tutti gli altri servizi è iniziato il 23 maggio 2023. Se la data di monitoraggio di una regione è successiva al 23 maggio 2023, le informazioni relative all'ultimo accesso all'operazione da quella regione inizieranno da una data successiva.

Nome Regione Regione Data di inizio monitoraggio
Stati Uniti orientali (Ohio) us-east-2 27 ottobre 2017
US East (N. Virginia) us-east-1 1° ottobre 2015
US West (N. California) us-west-1 1° ottobre 2015
US West (Oregon) us-west-2 1° ottobre 2015
Africa (Cape Town) af-south-1 22 aprile 2020
Asia Pacifico (Hong Kong) ap-east-1 24 aprile 2019
Asia Pacific (Hyderabad) ap-south-2 22 novembre 2022
Asia Pacifico (Giacarta) ap-southeast-3 13 dicembre 2021
Asia Pacifico (Melbourne) ap-southeast-4 23 gennaio 2023
Asia Pacific (Mumbai) ap-south-1 27 giugno 2016
Asia Pacifico (Osaka-Locale) ap-northeast-3 11 febbraio 2018
Asia Pacifico (Seul) ap-northeast-2 6 gennaio 2016
Asia Pacific (Singapore) ap-southeast-1 1° ottobre 2015
Asia Pacific (Sydney) ap-southeast-2 1° ottobre 2015
Asia Pacifico (Tokyo) ap-northeast-1 1° ottobre 2015
Canada (Central) ca-central-1 28 ottobre 2017
Europe (Frankfurt) eu-central-1 1° ottobre 2015
Europa (Irlanda) eu-west-1 1° ottobre 2015
Europe (London) eu-west-2 28 ottobre 2017
Europa (Milano) eu-south-1 28 aprile 2020
Europe (Paris) eu-west-3 18 dicembre 2017
Europa (Spagna) eu-south-2 15 novembre 2022
Europa (Stoccolma) eu-north-1 12 dicembre 2018
Europa (Zurigo) eu-central-2 8 novembre 2022
Israele (Tel Aviv) il-central-1 1° agosto 2023
Medio Oriente (Bahrein) me-south-1 29 luglio 2019
Medio Oriente () UAE me-central-1 30 agosto 2022
Sud America (São Paulo) sa-east-1 11 dicembre 2015
AWS GovCloud (Stati Uniti orientali) us-gov-east-1 1 luglio 2023
AWS GovCloud (Stati Uniti occidentali) us-gov-west-1 1 luglio 2023

Se una regione non è presente nella tabella precedente, significa che per tale regione non sono ancora disponibili i dati sull'ultimo accesso al servizio.

Una AWS regione è una raccolta di AWS risorse in un'area geografica. Le regioni sono raggruppate in partizioni. Le Regioni standard sono le Regioni che appartengono alla partizione aws. Per ulteriori informazioni sulle diverse partizioni, consulta il formato Amazon Resource Names (ARNs) nel Riferimenti generali di AWS. Per ulteriori informazioni sulle regioni, consulta About AWS Regions anche in. Riferimenti generali di AWS