Identificazione delle risorse condivise con un'entità esterna Identificazione degli accessi non utilizzati concessi a IAM utenti e ruoli Convalida delle politiche contro AWS best practice Convalida delle policy rispetto agli standard di sicurezza specificati Generazione delle policy Prezzi di IAM Access Analyzer

Utilizzo AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer offre le seguenti funzionalità:

IAMGli analizzatori di accesso esterni Access Analyzer aiutano a identificare le risorse dell'organizzazione e gli account condivisi con un'entità esterna.
IAMGli analizzatori di accessi inutilizzati di Access Analyzer aiutano a identificare gli accessi inutilizzati nell'organizzazione e negli account.
IAMAccess Analyzer convalida le politiche rispetto alla grammatica delle politiche e IAM AWS migliori pratiche.
IAMI controlli personalizzati delle policy di Access Analyzer aiutano a convalidare IAM le policy rispetto agli standard di sicurezza specificati.
IAMAccess Analyzer genera IAM politiche basate sull'attività di accesso nel AWS CloudTrail registri.

Identificazione delle risorse condivise con un'entità esterna

IAMAccess Analyzer ti aiuta a identificare le risorse della tua organizzazione e dei tuoi account, come i bucket IAM o i ruoli Amazon S3, condivisi con un'entità esterna. In questo modo puoi identificare l'accesso non intenzionale alle risorse e ai dati, che rappresenta un rischio per la sicurezza. IAMAccess Analyzer identifica le risorse condivise con i responsabili esterni utilizzando ragionamenti basati sulla logica per analizzare le politiche basate sulle risorse della tua azienda AWS ambiente. Per ogni istanza di una risorsa condivisa all'esterno dell'account, IAM Access Analyzer genera un risultato. I risultati comprendono informazioni sull'accesso e sull'entità esterna a cui è concesso. Puoi rivedere i risultati per determinare se l'accesso è intenzionale e sicuro o se è involontario e rappresenta un rischio per la sicurezza. Oltre ad aiutarti a identificare le risorse condivise con un'entità esterna, puoi utilizzare i risultati di IAM Access Analyzer per visualizzare in anteprima in che modo la tua politica influisce sull'accesso pubblico e interaccount alla tua risorsa prima di distribuire le autorizzazioni per le risorse. I risultati sono organizzati in una dashboard visiva riassuntiva. La dashboard evidenzia la suddivisione tra risultati relativi all'accesso multi-account e pubblico e differenzia i risultati per tipo di risorsa. Per ulteriori informazioni sulle dashboard, consulta Visualizza il pannello di controllo dei risultati di IAM Access Analyzer.

Nota

Un'entità esterna può essere un'altra AWS account, un utente root, un IAM utente o un ruolo, un utente federato, un utente anonimo o un'altra entità che puoi usare per creare un filtro. Per ulteriori informazioni, consulta AWS JSONElementi politici: Principal.

Quando abiliti IAM Access Analyzer, crei un analizzatore per l'intera organizzazione o il tuo account. L'organizzazione o l'account scelto è noto come zona di attendibilità per l'analizzatore. L'analizzatore monitora tutte le risorse supportate all'interno della zona di attendibilità. È considerato attendibile qualsiasi accesso alle risorse da parte delle entità principali che si trovano all'interno della zona di attendibilità. Una volta abilitato, IAM Access Analyzer analizza le politiche applicate a tutte le risorse supportate nella zona di fiducia dell'utente. Dopo la prima analisi, IAM Access Analyzer analizza periodicamente queste politiche. Se si aggiunge una nuova politica o si modifica una politica esistente, IAM Access Analyzer analizza la politica nuova o aggiornata entro circa 30 minuti.

Quando si analizzano le politiche, se IAM Access Analyzer ne identifica una che concede l'accesso a un principale esterno che non rientra nella zona di fiducia dell'utente, genera un risultato. Ogni risultato include i dettagli sulla risorsa, sull'entità esterna che ha accesso e sulle autorizzazioni concesse in modo da poter intraprendere le azioni appropriate. Puoi visualizzare i dettagli inclusi nel risultato per determinare se l'accesso alla risorsa è intenzionale o un potenziale rischio da risolvere. Quando si aggiunge un criterio a una risorsa o si aggiorna un criterio esistente, IAM Access Analyzer analizza il criterio. IAMAccess Analyzer analizza inoltre periodicamente tutte le politiche basate sulle risorse.

In rare occasioni e in determinate condizioni, IAM Access Analyzer non riceve la notifica di una politica aggiunta o aggiornata, il che può causare ritardi nella generazione dei risultati. IAMAccess Analyzer può impiegare fino a 6 ore per generare o risolvere i risultati se crei o elimini un punto di accesso multiregionale associato a un bucket Amazon S3 o aggiorni la policy per il punto di accesso multiregionale. Inoltre, se c'è un problema di consegna con AWS CloudTrail consegna dei log, la modifica della politica non attiva una nuova scansione della risorsa riportata nel risultato. Quando ciò accade, IAM Access Analyzer analizza la politica nuova o aggiornata durante la successiva scansione periodica, che avviene entro 24 ore. Se si desidera confermare che una modifica apportata a una policy risolve un problema di accesso segnalato in un risultato, è possibile eseguire nuovamente la scansione della risorsa riportata in un risultato utilizzando il collegamento Ripeti scansione nella pagina dei dettagli dei risultati o utilizzando il funzionamento di Access Analyzer. StartResourceScanIAMAPI Per ulteriori informazioni, consulta Risolvi i IAM risultati di Access Analyzer.

Importante

IAMAccess Analyzer analizza solo le politiche applicate alle risorse della stessa AWS Regione in cui è abilitato. Per monitorare tutte le risorse del tuo AWS nell'ambiente, è necessario creare un analizzatore per abilitare IAM Access Analyzer in ogni regione in cui si utilizza il supporto AWS risorse.

IAMAccess Analyzer analizza i seguenti tipi di risorse:

Identificazione degli accessi non utilizzati concessi a IAM utenti e ruoli

IAMAccess Analyzer consente di identificare e verificare gli accessi non utilizzati nei AWS organizzazione e contabilità. IAMAccess Analyzer monitora continuamente tutti i IAM ruoli e gli utenti del AWS organizzazione e account e genera risultati per gli accessi non utilizzati. I risultati evidenziano ruoli inutilizzati, chiavi di accesso inutilizzate per IAM gli utenti e password non utilizzate per gli utenti. IAM Per quanto riguarda IAM i ruoli e gli utenti attivi, i risultati forniscono visibilità su servizi e azioni non utilizzati.

I risultati relativi agli analizzatori degli accessi esterni e di quelli inutilizzati sono organizzati in una dashboard visiva riassuntiva. La dashboard evidenzia i tuoi Account AWS che contiene il maggior numero di risultati e fornisce una suddivisione dei risultati per tipo. Per ulteriori informazioni sulle pagine del pannello di controllo, consulta Visualizza il pannello di controllo dei risultati di IAM Access Analyzer.

IAMAccess Analyzer esamina le ultime informazioni a cui si accede per tutti i ruoli all'interno del AWS organizzazione e account per aiutarti a identificare gli accessi non utilizzati. IAMazione: le informazioni relative all'ultimo accesso consentono di identificare le azioni non utilizzate per i ruoli all'interno del Account AWS. Per ulteriori informazioni, vederePerfeziona le autorizzazioni in AWS utilizzo delle ultime informazioni a cui si accede.

Convalida delle politiche contro AWS best practice

È possibile convalidare le politiche in base alla grammatica delle politiche e IAM AWS best practice utilizzando i controlli di base delle policy forniti dalla convalida delle policy di IAM Access Analyzer. È possibile creare o modificare una politica utilizzando AWS CLI, AWS APIo editor di JSON policy nella IAM console. È possibile visualizzare i risultati del controllo della convalida delle policy che includono avvisi di sicurezza, errori, avvisi generali e suggerimenti per la policy. Questi risultati forniscono consigli pratici che aiutano a creare politiche funzionali e conformi a AWS migliori pratiche. Per ulteriori informazioni sulla convalida delle policy tramite l'apposito procedimento, consulta Convalida delle policy con IAM Access Analyzer.

Convalida delle policy rispetto agli standard di sicurezza specificati

È possibile convalidare le politiche in base agli standard di sicurezza specificati utilizzando i controlli personalizzati delle policy di IAM Access Analyzer. È possibile creare o modificare una politica utilizzando AWS CLI, AWS APIo editor di JSON policy nella IAM console. Tramite la console, puoi verificare se la policy aggiornata concede un nuovo accesso rispetto alla versione esistente. Tramite AWS CLI e AWS API, puoi anche verificare che IAM azioni specifiche che ritieni critiche non siano consentite da una policy. Questi controlli evidenziano un'istruzione di policy che concede nuovi accessi. È possibile aggiornare l'istruzione di policy ed eseguire nuovamente i controlli finché la policy non sarà conforme allo standard di sicurezza. Per ulteriori informazioni sulla convalida delle policy tramite i controlli delle policy personalizzati, consulta Convalida le policy con i controlli personalizzati di IAM Access Analyzer.

Generazione delle policy

IAMAccess Analyzer analizza i AWS CloudTrail registra per identificare le azioni e i servizi che sono stati utilizzati da un'IAMentità (utente o ruolo) entro l'intervallo di date specificato. Quindi genera una IAM politica basata su tale attività di accesso. Puoi utilizzare la policy generata per rifinire le autorizzazioni di un'entità associandola a un IAM utente o a un ruolo. Per ulteriori informazioni sulla generazione di policy utilizzando IAM Access Analyzer, consulta. IAMGenerazione di policy di Access Analyzer

Prezzi di IAM Access Analyzer

IAMAccess Analyzer addebita i costi per l'analisi degli accessi non utilizzati in base al numero di IAM ruoli e utenti analizzati per analizzatore al mese.

Verrà addebitato il rispettivo costo per ogni analizzatore degli accessi creato.
La creazione di analizzatori degli accessi inutilizzati in più regioni comporterà un addebito per ogni analizzatore.
I ruoli collegati ai servizi non vengono analizzati per rilevare eventuali attività di accesso non utilizzate e non sono inclusi nel numero totale di ruoli analizzati. IAM

IAMAccess Analyzer addebita i costi per i controlli delle policy personalizzati in base al numero di API richieste effettuate ad IAM Access Analyzer per verificare nuovi accessi.

Per un elenco completo delle tariffe e dei prezzi di IAM Access Analyzer, consulta i prezzi di IAMAccess Analyzer.

Per visualizzare la fattura, accedi alla dashboard di Billing and Cost Management nel AWS Billing and Cost Management console. La fattura contiene collegamenti per passare ai report di utilizzo, che consentono di visualizzare i dettagli della fattura. Per ulteriori informazioni su Account AWS fatturazione, vedi AWS Billing Guida per l'utente

Se avete domande riguardanti AWS fatturazione, account ed eventi, contatta AWS Support.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Funzioni di sicurezza al di fuori di IAM

Risultati relativi agli accessi esterni e inutilizzati