Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Perfezionamento delle autorizzazioni in AWS utilizzando le informazioni sull'ultimo accesso
In qualità di amministratore, puoi concedere alle risorse IAM (utenti, ruoli, gruppi di utenti o policy) autorizzazioni aggiuntive rispetto a quelle indispensabili. IAM fornisce le informazioni sull'ultimo accesso per facilitare l'identificazione delle autorizzazioni inutilizzate in modo da poterle rimuovere. È possibile utilizzare le informazioni relative all'ultimo accesso per perfezionare le policy e consentire l'accesso solo ai servizi e alle operazioni utilizzati dalle identità IAM. In questo modo è più facile rispettare le best practice dei privilegi minimi. È possibile visualizzare le informazioni relative all'ultimo accesso per le identità o le policy esistenti in IAM o AWS Organizations.
È possibile monitorare continuamente le informazioni relative all'ultimo accesso con analizzatori degli accessi inutilizzati. Per ulteriori informazioni, consulta Risultati relativi agli accessi esterni e inutilizzati.
Argomenti
- Tipi di informazioni sull'ultimo accesso per IAM
- Ultime informazioni di accesso per AWS Organizations
- Cose da sapere sulle ultime informazioni di accesso
- Autorizzazioni richieste
- Risoluzione dei problemi delle attività per le entità IAM e Organizations
- Dove AWS traccia le ultime informazioni di accesso
- Visualizza le ultime informazioni di accesso per IAM
- Visualizzare le informazioni sull'ultimo accesso per Organizations
- Scenari di esempio per l'utilizzo delle ultime informazioni di accesso
- Servizi e operazioni per le informazioni relative all'ultimo accesso a un'operazione IAM
Tipi di informazioni sull'ultimo accesso per IAM
È possibile visualizzare due tipi di informazioni relative all'ultimo accesso per le identità IAM: informazioni sui servizi AWS consentiti e informazioni sulle operazioni consentite. Le informazioni includono la data e l'ora in cui è stato effettuato il tentativo di accesso a un'API AWS. Per le operazioni, le informazioni relative all'ultimo accesso riportano le operazioni di gestione del servizio. Le azioni di gestione includono le azioni di creazione, eliminazione e modifica. Per ulteriori informazioni su come visualizzare le informazioni sull'ultimo accesso per IAM, consulta Visualizza le ultime informazioni di accesso per IAM.
Per esempi di scenari di impiego delle informazioni relative all'ultimo accesso per prendere decisioni sulle autorizzazioni da concedere alle identità IAM, consulta la pagina Scenari di esempio per l'utilizzo delle ultime informazioni di accesso.
Per ulteriori informazioni su come vengono fornite le informazioni per le azioni di gestione, vedere Cose da sapere sulle ultime informazioni di accesso.
Ultime informazioni di accesso per AWS Organizations
Se effettui l'accesso utilizzando le credenziali dell'account di gestione, puoi visualizzare le informazioni sull'ultimo accesso per un'entità o una policy AWS Organizations nella tua organizzazione. Le entità AWS Organizations includono l'organizzazione root, le unità organizzative (UO) o gli account. Le ultime informazioni di accesso per AWS Organizations includono informazioni sui servizi consentiti da un criterio di controllo dei servizi (SCP). Le informazioni indicano quali principali (utente root, ruolo o utente IAM) di un'organizzazione o un account hanno tentato l'ultimo accesso al servizio e quando. Per ulteriori informazioni sul report e su come visualizzare le ultime informazioni di accesso per AWS Organizations, vedere Visualizzare le informazioni sull'ultimo accesso per Organizations.
Per esempi di scenari dell'utilizzo delle informazioni sull'ultimo accesso per prendere decisioni sulle autorizzazioni da concedere alle entità di Organizations, consulta Scenari di esempio per l'utilizzo delle ultime informazioni di accesso.
Cose da sapere sulle ultime informazioni di accesso
Prima di utilizzare le informazioni relative all'ultimo accesso presenti in un report per modificare le autorizzazioni per un'identità IAM o un'entità Organizations, esamina i seguenti dettagli sulle informazioni.
-
Periodo di monitoraggio: l'attività recente viene visualizzata nella console IAM entro quattro ore. Il periodo di monitoraggio per le informazioni sul servizio dura almeno 400 giorni, a seconda di quando il servizio ha avviato il monitoraggio delle informazioni sulle operazioni. Il periodo di monitoraggio delle informazioni sulle operazioni Amazon S3 è iniziato il 12 aprile 2020. Il periodo di monitoraggio per le operazioni di Amazon EC2, IAM e Lambda è iniziato il 7 aprile 2021. Il periodo di monitoraggio per tutti gli altri servizi è iniziato il 23 maggio 2023. Per un elenco dei servizi per i quali sono disponibili le informazioni relative all'ultimo accesso a un'operazione, consulta la pagina Servizi e operazioni per le informazioni relative all'ultimo accesso a un'operazione IAM. Per ulteriori informazioni sulle regioni per le quali sono disponibili le informazioni relative all'ultimo accesso a un'operazione, consulta la pagina Dove AWS traccia le ultime informazioni di accesso.
-
Tentativi segnalati: i dati dell'ultimo accesso al servizio includono tutti i tentativi di accesso a un'API AWS, non solo quelli riusciti. Ciò include tutti i tentativi effettuati utilizzando la AWS Management Console, l'API AWS tramite uno qualsiasi degli SDK o uno qualsiasi degli strumenti a riga di comando. Una voce non prevista nell'ultimo accesso ai dati del servizio non significa che l'account è stato compromesso, poiché la richiesta potrebbe essere stata rifiutata. Fai riferimento ai log CloudTrail come fonte attendibile per informazioni su tutte le chiamate API con accesso autorizzato o rifiutato.
-
PassRole: l'operazione
iam:PassRolenon viene monitorata e non è inclusa nelle informazioni sull'ultimo accesso all'operazione IAM. -
Informazioni sull'ultimo accesso all'operazione: le informazioni sull'ultimo accesso a un'operazione sono disponibili per le operazioni di gestione del servizio alle quali le identità IAM hanno eseguito l'accesso. Consulta l'elenco di servizi e delle relative operazioni per scoprire a quale operazione si riferiscono i report relativi all'ultimo accesso.
Nota
Le informazioni sull'ultima operazione alla quale è stato effettuato l'accesso non sono disponibili per gli eventi di dati di Amazon S3.
-
Eventi di gestione: IAM fornisce informazioni sulle operazioni per gli eventi di gestione del servizio che vengono registrati da CloudTrail. Talvolta, gli eventi di gestione di CloudTrail sono chiamati anche operazioni del piano di controllo o eventi del piano di controllo. Gli eventi di gestione permettono di visualizzare le operazioni amministrative eseguite sulle risorse nel tuo Account AWS. Per ulteriori informazioni sugli eventi di gestione in CloudTrail, consulta la pagina Registrazione degli eventi di gestione della Guida per l'utente di AWS CloudTrail.
-
Proprietario del report: solo il principale che genera un report può visualizzare i dettagli del report. Ciò significa che quando si visualizzano i dati in AWS Management Console, potrebbe essere necessario attendere che vengano generati e caricati. Se si utilizza l'AWS CLI o l'API AWS per ottenere i dettagli del report, le credenziali devono corrispondere a quelle dell'entità che ha generato il report. Se si utilizzano credenziali temporanee per un ruolo o un utente federato, è necessario generare e recuperare il report durante la stessa sessione. Per ulteriori informazioni sulle entità principal di sessione del ruolo assunto, consulta AWS Elementi della policy JSON: Principal.
-
Risorse IAM: le informazioni relative all'ultimo accesso per IAM includono le risorse IAM (ruoli, utenti, gruppi IAM e policy) presenti nell'account. Le informazioni relative all'ultimo accesso per Organizations includono i principali (utenti IAM, ruoli IAM o l'Utente root dell'account AWS) nell'entità specificata di Organizations. Le informazioni relative all'ultimo accesso non includono i tentativi non autenticati.
-
Tipi di policy IAM: le informazioni relative all'ultimo accesso per IAM includono i servizi consentiti dalle policy di un'identità IAM. Si tratta delle policy collegate a un ruolo o a un utente direttamente o tramite un gruppo. L'accesso consentito da altri tipi di policy non è incluso nel report. I tipi di policy esclusi includono le policy basate sulle risorse, le liste di controllo accessi, le SCP di AWS Organizations, i limiti delle autorizzazioni IAM e le policy di sessione. Le autorizzazioni fornite dai ruoli collegati ai servizi sono definite dal servizio a cui sono collegati e non possono essere modificati in IAM. Per ulteriori informazioni sui ruoli collegati ai servizi, vedere Creare un ruolo collegato ai servizi. Per informazioni sulla valutazione dei diversi tipi di criteri per consentire o negare l'accesso, vedere Logica di valutazione delle policy.
-
Tipi di policy di Organizations: le informazioni per AWS Organizations includono solo servizi consentiti da una policy di controllo dei servizi (SCP) ereditata di un'entità Organizations. Le SCP sono policy collegate a una root, una UO o un account L'accesso consentito da altri tipi di policy non è incluso nel report. I tipi di policy esclusi includono le policy basate sulle risorse, le liste di controllo accessi, i limiti delle autorizzazioni IAM e le policy di sessione. Per ulteriori informazioni su come i diversi tipi di policy vengono valutati per consentire o negare l'accesso, consulta Logica di valutazione delle policy.
-
Specifica di un ID policy: quando utilizzi l'API AWS CLI o AWS per generare un report per le informazioni sull'ultimo accesso in Organizations, puoi facoltativamente specificare un ID policy. Il report risultante include i dati per i servizi consentiti solo da tale policy. Le informazioni includono l'attività più recente dell'account nell'entità Organizations specificata o nei relativi figli. Per ulteriori informazioni, consulta aws iam generate-organizations-access-report o GenerateOrganizationsAccessReport.
-
Account di gestione di Organizations: è necessario accedere all'account di gestione dell'organizzazione per visualizzare le informazioni sull'ultimo accesso al servizio. Puoi scegliere di visualizzare le informazioni per l'account di gestione utilizzando la console IAM, la AWS CLI o l'API AWS. Il report risultante elenca tutti i servizi AWS, perché l'account di gestione non è limitato dalle SCP. Se specifichi un ID policy nella CLI o nell'API, la policy viene ignorata. Per ogni servizio, il report include le informazioni solo per l'account di gestione. Tuttavia, i report per altre entità di Organizations non riportano i dati delle attività nell'account di gestione.
-
Impostazioni di Organizations: prima di poter generare i dati per Organizations, un amministratore deve abilitare le SCP nella tua root dell'organizzazione.
Autorizzazioni richieste
Per visualizzare i dati sull'ultimo accesso al servizio in AWS Management Console, devi disporre di una policy che consente di concedere le autorizzazioni necessarie.
Autorizzazioni per le informazioni IAM
Per utilizzare la console IAM per visualizzare le informazioni sull'ultimo accesso per un utente, ruolo o policy IAM, devi disporre di una policy che includa le seguenti operazioni:
-
iam:GenerateServiceLastAccessedDetails -
iam:Get* -
iam:List*
Queste autorizzazioni consentono a un utente di visualizzare ciò che segue:
-
Gli utenti, i gruppi o i ruoli collegati a una policy gestita
-
I servizi cui può accedere un utente o ruolo
-
L'ultima volta che ha effettuato l'accesso al servizio
-
L'ultima volta che hanno provato a utilizzare un'operazione Amazon EC2, IAM, Lambda o Amazon S3 specifica
Per utilizzare l'API AWS CLI o AWS per visualizzare le informazioni sull'ultimo accesso per IAM, devi disporre di autorizzazioni che corrispondano all'operazione da utilizzare:
-
iam:GenerateServiceLastAccessedDetails -
iam:GetServiceLastAccessedDetails -
iam:GetServiceLastAccessedDetailsWithEntities -
iam:ListPoliciesGrantingServiceAccess
Questo esempio mostra come creare una policy basata sull'identità che consenta di visualizzare le informazioni sull'ultimo accesso a IAM. Inoltre, consente l'accesso in sola lettura a tutto IAM. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }
Autorizzazioni per le informazioni AWS Organizations
Per utilizzare la console IAM per visualizzare un report per la root, l'UO o le entità dell'account in Organizations, devi disporre di una policy che includa le seguenti operazioni:
-
iam:GenerateOrganizationsAccessReport -
iam:GetOrganizationsAccessReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:DescribePolicy -
organizations:ListChildren -
organizations:ListParents -
organizations:ListPoliciesForTarget -
organizations:ListRoots -
organizations:ListTargetsForPolicy
Per utilizzare la AWS CLI o l'API AWS per visualizzare le informazioni sull'ultimo accesso al servizio per Organizations, devi disporre di una policy che includa le seguenti operazioni:
-
iam:GenerateOrganizationsAccessReport -
iam:GetOrganizationsAccessReport -
organizations:DescribePolicy -
organizations:ListChildren -
organizations:ListParents -
organizations:ListPoliciesForTarget -
organizations:ListRoots -
organizations:ListTargetsForPolicy
Questo esempio mostra come creare una policy basata sull'identità che consenta di visualizzare le informazioni sull'ultimo accesso al servizio per Organizations. Inoltre, consente l'accesso in sola lettura a tutto Organizations. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }
Puoi utilizzare la chiave di condizione iam:OrganizationsPolicyId anche per consentire la generazione di un report solo per una policy di Organizations specifica. Per un esempio di policy, consulta IAM: visualizzazione delle informazioni dell'ultimo accesso al servizio per una policy di Organizations.
Risoluzione dei problemi delle attività per le entità IAM e Organizations
In alcuni casi, la tabella delle informazioni dell'ultimo accesso a AWS Management Console potrebbe essere vuota. Oppure forse la tua richiesta API AWS CLI o AWS riporta un set di dati vuoto o un campo nullo. In questi casi, verifica i problemi seguenti:
-
Per le informazioni sull'ultimo accesso, un'azione che si prevede di visualizzare potrebbe non essere restituita nell'elenco. Ciò può accadere perché l'identità IAM non dispone delle autorizzazioni per l'operazione o AWS non monitora ancora le informazioni relative all'ultimo accesso per l'operazione.
-
Per un utente IAM, assicurati che disponga di almeno una policy in linea o gestita collegata, direttamente o tramite le appartenenze ai gruppi.
-
Per un gruppo IAM, verifica che disponga di almeno una policy in linea o gestita collegata.
-
Per un gruppo IAM, il report restituisce solo i dati sull'ultimo accesso al servizio per i membri che hanno utilizzato le policy del gruppo per accedere a un servizio. Per scoprire se un membro ha utilizzato altre policy, esamina i dati sull'ultimo accesso al servizio per tale utente.
-
Per un ruolo IAM, verifica che disponga di almeno una policy in linea o gestita collegata.
-
Per un'entità IAM (utente o ruolo), esamina altri tipi di policy che potrebbero influenzare le autorizzazioni di tale entità. Sono incluse le policy basate sulle risorse, le liste di controllo accessi, le policy AWS Organizations, i limiti delle autorizzazioni IAM o le policy di sessione. Per ulteriori informazioni, consulta Tipi di policy o Valutazione delle policy per le richieste all'interno di un singolo account.
-
Per una policy IAM, assicurati che la policy gestita specificata sia collegata ad almeno un utente, un gruppo con membri o un ruolo.
-
Per un'entità di Organizations (root, UO o account), assicurati di aver effettuato l'accesso utilizzando le credenziali dell'account di gestione di Organizations.
-
Verifica che le SCP sono abilitati nel root della tua organizzazione.
-
Le informazioni sull'ultimo accesso all'azione sono disponibili solo per alcune azioni elencate in Servizi e operazioni per le informazioni relative all'ultimo accesso a un'operazione IAM.
Quando apporti modifiche, le attività impiegano almeno quattro ore per comparire nel report della console IAM. Se utilizzi l'API AWS CLI o AWS, devi generare un nuovo report per visualizzare i dati aggiornati.
Dove AWS traccia le ultime informazioni di accesso
AWS raccoglie le informazioni sull'ultimo accesso per le regioni AWS standard. Quando AWS aggiunge altre regioni, queste vengono aggiunte alla tabella seguente, che include la data in cui AWS ha avviato il monitoraggio dei dati in ciascuna regione:
-
Informazioni sul servizio: il periodo di monitoraggio per i servizi dura almeno 400 giorni, o meno se la regione che ha avviato il monitoraggio di questa funzione negli ultimi 400 giorni.
-
Informazioni sulle operazioni: il periodo di monitoraggio delle operazioni di gestione Amazon S3 è iniziato il 12 aprile 2020. Il periodo di monitoraggio delle operazioni di gestione Amazon EC2, IAM e Lambda è iniziato il 7 aprile 2021. Il periodo di monitoraggio per le operazioni di gestione di tutti gli altri servizi è iniziato il 23 maggio 2023. Se la data di monitoraggio di una regione è successiva al 23 maggio 2023, le informazioni relative all'ultimo accesso all'operazione da quella regione inizieranno da una data successiva.
| Nome Regione | Regione | Data di inizio monitoraggio |
|---|---|---|
| Stati Uniti orientali (Ohio) | us-east-2 | 27 ottobre 2017 |
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | 1° ottobre 2015 |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | 1° ottobre 2015 |
| Stati Uniti occidentali (Oregon) | us-west-2 | 1° ottobre 2015 |
| Africa (Città del Capo) | af-south-1 | 22 aprile 2020 |
| Asia Pacifico (Hong Kong) | ap-east-1 | 24 aprile 2019 |
| Asia Pacific (Hyderabad) | ap-south-2 | 22 novembre 2022 |
| Asia Pacifico (Giacarta) | ap-southeast-3 | 13 dicembre 2021 |
| Asia Pacifico (Melbourne) | ap-southeast-4 | 23 gennaio 2023 |
| Asia Pacifico (Mumbai) | ap-south-1 | 27 giugno 2016 |
| Asia Pacific (Osaka) | ap-northeast-3 | 11 febbraio 2018 |
| Asia Pacific (Seul) | ap-northeast-2 | 6 gennaio 2016 |
| Asia Pacifico (Singapore) | ap-southeast-1 | 1° ottobre 2015 |
| Asia Pacifico (Sydney) | ap-southeast-2 | 1° ottobre 2015 |
| Asia Pacifico (Tokyo) | ap-northeast-1 | 1° ottobre 2015 |
| Canada (Centrale) | ca-central-1 | 28 ottobre 2017 |
| Europa (Francoforte) | eu-central-1 | 1° ottobre 2015 |
| Europa (Irlanda) | eu-west-1 | 1° ottobre 2015 |
| Europa (Londra) | eu-west-2 | 28 ottobre 2017 |
| Europa (Milano) | eu-south-1 | 28 aprile 2020 |
| Europa (Parigi) | eu-west-3 | 18 dicembre 2017 |
| Europa (Spagna) | eu-south-2 | 15 novembre 2022 |
| Europa (Stoccolma) | eu-north-1 | 12 dicembre 2018 |
| Europa (Zurigo) | eu-central-2 | 8 novembre 2022 |
| Israele (Tel Aviv) | il-central-1 | 1° agosto 2023 |
| Medio Oriente (Bahrein) | me-south-1 | 29 luglio 2019 |
| Medio Oriente (Emirati Arabi Uniti) | me-central-1 | 30 agosto 2022 |
| Sud America (San Paolo) | sa-east-1 | 11 dicembre 2015 |
| AWS GovCloud (US-East) | us-gov-east-1 | 1 luglio 2023 |
| AWS GovCloud (US-West) | us-gov-west-1 | 1 luglio 2023 |
Se una regione non è presente nella tabella precedente, significa che per tale regione non sono ancora disponibili i dati sull'ultimo accesso al servizio.
Una regione AWS è una raccolta di risorse AWS in un'area geografica. Le regioni sono raggruppate in partizioni. Le Regioni standard sono le Regioni che appartengono alla partizione aws. Per maggiori informazioni sulle diverse partizioni, consulta il formato Amazon Resource Names (ARN) in Riferimenti generali di AWS. Per ulteriori informazioni sulle aree, vedere Informazioni sulle regioni AWS anche in Riferimenti generali di AWS.
