Identificazione delle risorse condivise con un'entità esterna Identificazione dell'accesso inutilizzato concesso a utenti e ruoli IAM Convalida delle policy rispetto alle best practices AWS Convalida delle policy rispetto agli standard di sicurezza specificati Generazione delle policy Prezzi per Sistema di analisi degli accessi IAM

Uso di AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer fornisce le funzionalità seguenti:

Gli analizzatori degli accessi esterni di Sistema di analisi degli accessi IAM consente di identificare le risorse nell'organizzazione e negli account che sono condivise con un'entità esterna.
Gli analizzatori di accessi inutilizzati di Sistema di analisi degli accessi IAM aiutano a identificare gli accessi inutilizzati nell'organizzazione e negli account.
Sistema di analisi degli accessi IAM convalida le policy IAM rispetto alla sintassi delle policy e alle best practice di AWS.
I controlli delle policy personalizzati di Sistema di analisi degli accessi IAM a convalidare le policy IAM rispetto agli standard di sicurezza specificati.
Sistema di analisi degli accessi IAM genera le policy IAM in base all'attività di accesso nei tuoi log AWS CloudTrail.

Identificazione delle risorse condivise con un'entità esterna

Sistema di analisi degli accessi IAM consente di identificare le risorse nell'organizzazione e negli account, ad esempio bucket Amazon S3 o ruoli IAM, condivise con un'entità esterna. In questo modo puoi identificare l'accesso non intenzionale alle risorse e ai dati, che rappresenta un rischio per la sicurezza. Sistema di analisi degli accessi IAM individua le risorse condivise con entità esterne utilizzando il ragionamento basato sulla logica per analizzare le policy basate sulle risorse nell'ambiente AWS. Per ogni istanza di una risorsa condivisa al di fuori dell'account, Sistema di analisi degli accessi IAM genera un risultato. I risultati comprendono informazioni sull'accesso e sull'entità esterna a cui è concesso. Puoi rivedere i risultati per determinare se l'accesso è intenzionale e sicuro o se è involontario e rappresenta un rischio per la sicurezza. Oltre a facilitare l'identificazione delle risorse condivise con un'entità esterna, puoi utilizzare i risultati di Sistema di analisi degli accessi IAM per visualizzare in anteprima il modo in cui le policy influiscono sull'accesso multi-account e pubblico sulla risorsa prima di implementare le autorizzazioni delle risorse. I risultati sono organizzati in una dashboard visiva riassuntiva. La dashboard evidenzia la suddivisione tra risultati relativi all'accesso multi-account e pubblico e differenzia i risultati per tipo di risorsa. Per ulteriori informazioni sulle dashboard, consulta Visualizzare il pannello di controllo dei risultati di Sistema di analisi degli accessi IAM.

Nota

Un'entità esterna può essere un altro account AWS, un utente root, un utente o ruolo IAM, un utente federato, un utente anonimo o un'altra entità che è possibile utilizzare per creare un filtro. For more information, see Elementi della policy JSON di AWS: entità principale.

Quando abiliti Sistema di analisi degli accessi IAM, crei un analizzatore per l'intera organizzazione o per il tuo account. L'organizzazione o l'account scelto è noto come zona di attendibilità per l'analizzatore. L'analizzatore monitora tutte le risorse supportate all'interno della zona di attendibilità. È considerato attendibile qualsiasi accesso alle risorse da parte delle entità principali che si trovano all'interno della zona di attendibilità. Una volta abilitato, Sistema di analisi degli accessi IAM analizza le policy applicate a tutte le risorse supportate nella zona di attendibilità. Dopo la prima analisi, Sistema di analisi degli accessi IAM analizza queste policy periodicamente. Se aggiungi una nuova policy o ne modifichi una esistente, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata entro circa 30 minuti.

Durante l'analisi delle policy, se Sistema di analisi degli accessi IAM ne identifica una che concede l'accesso a un principale esterno che non rientra nella zona di attendibilità, viene generato un risultato. Ogni risultato include i dettagli sulla risorsa, sull'entità esterna che ha accesso e sulle autorizzazioni concesse in modo da poter intraprendere le azioni appropriate. Puoi visualizzare i dettagli inclusi nel risultato per determinare se l'accesso alla risorsa è intenzionale o un potenziale rischio da risolvere. Quando aggiungi una policy a una risorsa o aggiorni una policy esistente, per prima cosa Sistema di analisi degli accessi IAM la analizza. Sistema di analisi degli accessi IAM inoltre analizza periodicamente tutte le policy basate sulle risorse.

In rare occasioni e in determinate condizioni, Sistema di analisi degli accessi IAM non riceve alcuna notifica relativamente a una policy aggiunta o aggiornata, il che può causare dei ritardi nei risultati generati. Sistema di analisi degli accessi IAM può richiedere fino a 6 ore per generare o risolvere i risultati se crei o elimini un punto di accesso multi-regione associato a un bucket Amazon S3 o se aggiorni la policy per il punto di accesso multi-regione. Inoltre, se si verifica un problema di recapito con il recapito di log AWS CloudTrail o le modifiche alla limitazione delle policy di controllo delle risorse (RCP), la modifica della policy non avvia una nuova scansione della risorsa segnalata nel risultato. In questo caso, Sistema di analisi degli accessi IAM analizza la policy nuova o aggiornata durante la scansione periodica successiva, che avviene entro 24 ore. Se desideri confermare che una modifica apportata a una policy risolve un problema di accesso segnalato in un risultato, puoi eseguire nuovamente la scansione della risorsa segnalata in un risultato utilizzando il collegamento Rescan (Nuova scansione) nella pagina dei dettagli Findings (Risultati) o utilizzando l'operazione StartResourceScan dell'API di Sistema di analisi degli accessi IAM. Per ulteriori informazioni, consulta Risolvere i risultati di Sistema di analisi degli accessi IAM.

Importante

Sistema di analisi degli accessi IAM analizza solo le policy applicate alle risorse nella stessa regione AWS in cui è abilitato. Per monitorare tutte le risorse nell'ambiente AWS, devi creare un analizzatore per abilitare Sistema di analisi degli accessi IAM in ogni regione in cui utilizzi le risorse AWS supportate.

Sistema di analisi degli accessi IAM analizza i seguenti tipi di risorse:

Identificazione dell'accesso inutilizzato concesso a utenti e ruoli IAM

Sistema di analisi degli accessi IAM aiuta a identificare e rivedere gli accessi inutilizzati nell'organizzazione e negli account AWS. Sistema di analisi degli accessi IAM monitora continuamente tutti i ruoli e gli utenti IAM dell'organizzazione e degli account AWS e genera risultati per gli accessi inutilizzati. I risultati evidenziano ruoli inutilizzati, chiavi di accesso inutilizzate per gli utenti IAM e password inutilizzate per gli utenti IAM. Per i ruoli e gli utenti IAM attivi, i risultati forniscono visibilità su servizi e operazioni inutilizzati.

I risultati relativi agli analizzatori degli accessi esterni e di quelli inutilizzati sono organizzati in una dashboard visiva riassuntiva. La dashboard mostra gli Account AWS con il maggior numero di risultati e li suddivide per tipo. Per ulteriori informazioni sulle pagine del pannello di controllo, consulta Visualizzare il pannello di controllo dei risultati di Sistema di analisi degli accessi IAM.

Sistema di analisi degli accessi IAM esamina le ultime informazioni a cui si è effettuato l'accesso per tutti i ruoli dell'organizzazione e degli account AWS per identificare gli accessi inutilizzati. Le ultime informazioni a cui si è effettuato l'accesso per le operazioni IAM aiutano a identificare le azioni inutilizzate per i ruoli all'interno degli Account AWS. Per ulteriori informazioni, consulta Perfezionamento delle autorizzazioni in AWS utilizzando le informazioni sull'ultimo accesso.

Convalida delle policy rispetto alle best practices AWS

È possibile convalidare le policy in rapporto alla sintassi della policy IAM e alle best practice AWS utilizzando i controlli delle policy di base forniti dalla convalida delle policy di Sistema di analisi degli accessi IAM. È possibile creare o modificare una policy utilizzando la AWS CLI, l'API AWS o l'editor di policy JSON nella console IAM. È possibile visualizzare i risultati del controllo della convalida delle policy che includono avvisi di sicurezza, errori, avvisi generali e suggerimenti per la policy. Questi risultati forniscono suggerimenti utili che consentono di creare policy funzionali e conformi alle best practice AWS. Per ulteriori informazioni sulla convalida delle policy tramite l'apposito procedimento, consulta Convalidare le policy con Sistema di analisi degli accessi IAM.

Convalida delle policy rispetto agli standard di sicurezza specificati

È possibile convalidare le policy rispetto agli standard di sicurezza specificati utilizzando i controlli delle policy personalizzati di Sistema di analisi degli accessi IAM. È possibile creare o modificare una policy utilizzando la AWS CLI, l'API AWS o l'editor di policy JSON nella console IAM. Tramite la console, puoi verificare se la policy aggiornata concede un nuovo accesso rispetto alla versione esistente. Tramite AWS CLI e l'API AWS puoi anche verificare che operazioni IAM specifiche che ritieni critiche non siano consentite da una policy. Questi controlli evidenziano un'istruzione di policy che concede nuovi accessi. È possibile aggiornare l'istruzione di policy ed eseguire nuovamente i controlli finché la policy non sarà conforme allo standard di sicurezza. Per ulteriori informazioni sulla convalida delle policy tramite i controlli delle policy personalizzati, consulta Convalidare le policy utilizzando i controlli delle policy personalizzate di Sistema di analisi degli accessi IAM.

Generazione delle policy

Sistema di analisi degli accessi IAM analizza i log AWS CloudTrail per identificare le operazioni e i servizi che sono stati utilizzati da un'entità IAM (utente o ruolo) all'interno di un intervallo temporale specificato. Viene quindi generata una policy IAM basata su tale attività di accesso. È possibile utilizzare la policy generata per perfezionare le autorizzazioni di un'entità collegandola a un utente o ruolo IAM. Per ulteriori informazioni sulla generazione di policy tramite Sistema di analisi degli accessi IAM, consulta Generazione di policy per Sistema di analisi degli accessi IAM.

Prezzi per Sistema di analisi degli accessi IAM

Sistema di analisi degli accessi IAM addebita i costi per l'analisi degli accessi inutilizzati in base al numero di ruoli e utenti IAM analizzati ogni mese da ogni analizzatore.

Verrà addebitato il rispettivo costo per ogni analizzatore degli accessi creato.
La creazione di analizzatori degli accessi inutilizzati in più regioni comporterà un addebito per ogni analizzatore.
I ruoli collegati a servizi non vengono analizzati per attività di accesso non utilizzate e non sono inclusi nel numero totale di ruoli IAM analizzati.

Sistema di analisi degli accessi IAM addebita i costi per i controlli delle policy personalizzati in base al numero di richieste API ricevute per verificare la presenza di nuovi accessi.

Per un elenco completo delle tariffe e dei prezzi specifici per Sistema di analisi degli accessi IAM, consulta la pagina dedicata.

Per vedere la tua fattura, vai sul Pannello di controllo di gestione dei costi e della fatturazione nella console AWS Billing and Cost Management. La fattura contiene collegamenti per passare ai report di utilizzo, che consentono di visualizzare i dettagli della fattura. Per ulteriori informazioni sulla fatturazione dell'Account AWS, consulta la Guida per l'utente di AWS Billing.

Per domande relative a fatturazione, account ed eventi AWS, contatta AWS Support.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Funzioni di sicurezza al di fuori di IAM

Risultati relativi agli accessi esterni e inutilizzati