Verificações de validação de políticas - AWS Identity and Access Management
Como funcionam as verificações de políticas personalizadasExemplos de políticas de referência para verificar novos acessosInspecionar verificações de políticas personalizadas com falha

Verificações de validação de políticas

O IAM Access Analyzer fornece verificações de políticas que ajudam a validar suas políticas do IAM antes de anexá-las a uma entidade. Isso inclui verificações básicas de políticas fornecidas pela validação de políticas para validar sua política em relação à gramática da política e às práticas recomendadas da AWS. É possível visualizar as descobertas de verificação de validação de política que incluem avisos de segurança, erros, avisos gerais e sugestões para sua política.

Você pode usar verificações de políticas personalizadas para verificar novos acessos com base em seus padrões de segurança. Uma cobrança é associada a cada verificação de novo acesso. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

Como funcionam as verificações de políticas personalizadas

Você pode validar suas políticas de acordo com seus padrões especificados de segurança usando verificações de política personalizadas do AWS Identity and Access Management Access Analyzer. É possível executar os seguintes tipos de verificações de política personalizada:

  • Compare uma política de referência: ao editar uma política, você pode verificar se a política atualizada concede novo acesso em comparação com uma política de referência, como uma versão existente da política. É possível executar essa verificação ao editar uma política usando a AWS Command Line Interface (AWS CLI), a API do IAM Access Analyzer (API), ou um editor de políticas JSON no console IAM.

    nota

    As verificações de políticas personalizadas do IAM Access Analyzer permitem curingas no elemento Principal para políticas de recursos de referência.

  • Comparar com uma lista de ações ou recursos do IAM: você pode verificar para garantir que ações ou recursos específicos do IAM não são permitidos por sua política. Se especificar somente ações, o IAM Access Analyzer verificará o acesso às ações em todos os recursos da política. Se especificar somente recursos, o IAM Access Analyzer verificará quais ações têm acesso aos recursos especificados. Se especificar ações e recursos, o IAM Access Analyzer verificará quais das ações especificadas têm acesso aos recursos especificados. É possível executar essa verificação ao criar ou editar uma política usando a AWS CLI ou a API.

  • Verificar o acesso público: você pode verificar se uma política de recursos pode conceder acesso público a um tipo de recurso específico. É possível executar essa verificação ao criar ou editar uma política usando a AWS CLI ou a API. Esse tipo de verificação de política personalizada é diferente da visualização prévia do acesso, porque a verificação não exige nenhum contexto de analisador de conta ou de acesso externo. As visualizações prévias de acesso permitem que você visualize as descobertas do IAM Access Analyzer antes de implantar permissões de recursos, enquanto a verificação personalizada determina se uma política pode conceder acesso público.

Uma cobrança é associada a cada verificação de política personalizada. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

Você pode executar verificações de políticas personalizadas em políticas baseadas em identidade e recursos. As verificações de políticas personalizadas não dependem de técnicas de correspondência de padrões nem da análise de logs de acesso para determinar se um acesso novo ou específico é permitido por uma política. Semelhante às descobertas de acessos externos, as verificações de políticas personalizadas são baseadas em Zelkova. O Zelkova converte políticas do IAM em declarações lógicas equivalentes e executa um conjunto de solucionadores lógicos especializados e de uso geral (teorias do módulo da satisfatibilidade) em relação ao problema. Para verificar o acesso novo ou especificado, o IAM Access Analyzer aplica Zelkova repetidamente a uma política. As consultas se tornam cada vez mais específicas para caracterizar classes de comportamentos que a política permite com base no conteúdo da política. Para obter mais informações sobre as teorias do módulo da satisfatibilidade, consulte Satisfiability Modulo Theories.

Em casos raros, o IAM Access Analyzer não é capaz de determinar completamente se uma instrução de política concede acesso novo ou especificado. Nesses casos, ele erra ao declarar um falso positivo ao falhar na verificação da política personalizada. O IAM Access Analyzer foi projetado para fornecer uma avaliação de política completa e faz o possível para minimizar a ocorrência de falsos negativos. Essa abordagem significa que o IAM Access Analyzer fornece um alto grau de garantia de que uma verificação aprovada significa que o acesso não foi concedido pela política. Você pode inspecionar manualmente as verificações que falharam ao revisar a declaração de política relatada na resposta do IAM Access Analyzer.

Exemplos de políticas de referência para verificar novos acessos

Você pode encontrar exemplos de políticas de referência e aprender como configurar e executar uma verificação de política personalizada para novos acessos no repositório de amostras de verificações de políticas personalizadas do IAM Access Analyzer no GitHub.

Antes de usar esses exemplos

Antes de usar esses exemplos de políticas de referência, faça o seguinte:

  • Revise atentamente e personalize as políticas de referência de acordo com suas necessidades específicas.

  • Teste detalhadamente as políticas de referência em seu ambiente com os Serviços da AWS que você usa.

    As políticas de referência demonstram a implementação e o uso de verificações de políticas personalizadas. Eles não são destinados a ser interpretado como recomendações oficiais ou práticas recomendadas da AWS a serem implementadas exatamente como mostrado. É sua responsabilidade testar cuidadosamente as políticas de referência quanto à sua adequação para resolver os requisitos de segurança do seu ambiente.

  • As verificações de políticas personalizadas são independentes do ambiente em suas análises. Sua análise considera apenas as informações contidas nas políticas de entrada. Por exemplo, verificações de políticas personalizadas não podem verificar se uma conta é membro de uma organização específica AWS. Portanto, as verificações de políticas personalizadas não podem comparar novos acessos com base nos valores da chave de condição para as chaves de condição aws:PrincipalOrgId e aws:PrincipalAccount.

Inspecionar verificações de políticas personalizadas com falha

Quando uma verificação de política personalizada falha, a resposta do IAM Access Analyzer inclui o ID da declaração (Sid) da declaração de política que causou a falha na verificação. Embora a ID da declaração seja um elemento opcional da política, recomendamos que você adicione uma ID da declaração para cada declaração de política. A verificação personalizada de política também retorna um índice de declaração para ajudar a identificar o motivo da falha na verificação. O índice da declaração segue a numeração com base em zero, em que a primeira declaração é referenciada como 0. Quando há várias declarações que causam a falha de uma verificação, a verificação retorna somente uma ID de declaração por vez. Recomendamos que você corrija a declaração destacada no motivo e execute novamente a verificação até que ela seja aprovada.