Verificações de política personalizadas do IAM Access Analyzer - AWS Identity and Access Management
Como funcionam as verificações de políticas personalizadasExemplos de políticas de referência para verificar novos acessosInspecionando falhas nas verificações de políticas personalizadasValidar políticas com verificações personalizadas de políticas (console)Validar políticas com verificações personalizadas de políticas (AWS CLI ou API)

Verificações de política personalizadas do IAM Access Analyzer

Você pode validar suas políticas de acordo com seus padrões especificados de segurança usando verificações de política personalizadas do AWS Identity and Access Management Access Analyzer. É possível executar os seguintes tipos de verificações de política personalizada:

  • Compare uma política de referência: ao editar uma política, você pode verificar se a política atualizada concede novo acesso em comparação com uma política de referência, como uma versão existente da política. É possível executar essa verificação ao editar uma política usando a AWS Command Line Interface (AWS CLI), a API do IAM Access Analyzer (API), ou um editor de políticas JSON no console IAM.

  • Comparar com uma lista de ações ou recursos do IAM: você pode verificar para garantir que ações ou recursos específicos do IAM não são permitidos por sua política. Se especificar somente ações, o IAM Access Analyzer verificará o acesso às ações em todos os recursos da política. Se especificar somente recursos, o IAM Access Analyzer verificará quais ações têm acesso aos recursos especificados. Se especificar ações e recursos, o IAM Access Analyzer verificará quais das ações especificadas têm acesso aos recursos especificados. É possível executar essa verificação ao criar ou editar uma política usando a AWS CLI ou a API.

  • Verificar o acesso público: você pode verificar se uma política de recursos pode conceder acesso público a um tipo de recurso específico. É possível executar essa verificação ao criar ou editar uma política usando a AWS CLI ou a API. Esse tipo de verificação de política personalizada é diferente da visualização prévia do acesso, porque a verificação não exige nenhum contexto de analisador de conta ou de acesso externo. As visualizações prévias de acesso permitem que você visualize as descobertas do IAM Access Analyzer antes de implantar permissões de recursos, enquanto a verificação personalizada determina se uma política pode conceder acesso público.

Uma cobrança é associada a cada verificação de política personalizada. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

Como funcionam as verificações de políticas personalizadas

Você pode executar verificações de políticas personalizadas em políticas baseadas em identidade e recursos. As verificações de políticas personalizadas não dependem de técnicas de correspondência de padrões nem da análise de logs de acesso para determinar se um acesso novo ou específico é permitido por uma política. Semelhante às descobertas de acessos externos, as verificações de políticas personalizadas são baseadas em Zelkova. O Zelkova converte políticas do IAM em declarações lógicas equivalentes e executa um conjunto de solucionadores lógicos especializados e de uso geral (teorias do módulo da satisfatibilidade) em relação ao problema. Para verificar o acesso novo ou especificado, o IAM Access Analyzer aplica Zelkova repetidamente a uma política. As consultas se tornam cada vez mais específicas para caracterizar classes de comportamentos que a política permite com base no conteúdo da política. Para obter mais informações sobre as teorias do módulo da satisfatibilidade, consulte Satisfiability Modulo Theories.

Em casos raros, o IAM Access Analyzer não é capaz de determinar completamente se uma instrução de política concede acesso novo ou especificado. Nesses casos, ele erra ao declarar um falso positivo ao falhar na verificação da política personalizada. O IAM Access Analyzer foi projetado para fornecer uma avaliação de política completa e faz o possível para minimizar a ocorrência de falsos negativos. Essa abordagem significa que o IAM Access Analyzer fornece um alto grau de garantia de que uma verificação aprovada significa que o acesso não foi concedido pela política. Você pode inspecionar manualmente as verificações que falharam ao revisar a declaração de política relatada na resposta do IAM Access Analyzer.

Exemplos de políticas de referência para verificar novos acessos

Você pode encontrar exemplos de políticas de referência e aprender como configurar e executar uma verificação de política personalizada para novos acessos no repositório de amostras de verificações de políticas personalizadas do IAM Access Analyzer no GitHub.

Antes de usar esses exemplos

Antes de usar esses exemplos de políticas de referência, faça o seguinte:

  • Revise atentamente e personalize as políticas de referência de acordo com suas necessidades específicas.

  • Teste detalhadamente as políticas de referência em seu ambiente com os Serviços da AWS que você usa.

    As políticas de referência demonstram a implementação e o uso de verificações de políticas personalizadas. Eles não são destinados a ser interpretado como recomendações oficiais ou práticas recomendadas da AWS a serem implementadas exatamente como mostrado. É sua responsabilidade testar cuidadosamente as políticas de referência quanto à sua adequação para resolver os requisitos de segurança do seu ambiente.

  • As verificações de políticas personalizadas são independentes do ambiente em suas análises. Sua análise considera apenas as informações contidas nas políticas de entrada. Por exemplo, verificações de políticas personalizadas não podem verificar se uma conta é membro de uma organização específica AWS. Portanto, as verificações de políticas personalizadas não podem comparar novos acessos com base nos valores da chave de condição para as chaves de condição aws:PrincipalOrgId e aws:PrincipalAccount.

Inspecionando falhas nas verificações de políticas personalizadas

Quando uma verificação de política personalizada falha, a resposta do IAM Access Analyzer inclui o ID da declaração (Sid) da declaração de política que causou a falha na verificação. Embora a ID da declaração seja um elemento opcional da política, recomendamos que você adicione uma ID da declaração para cada declaração de política. A verificação personalizada de política também retorna um índice de declaração para ajudar a identificar o motivo da falha na verificação. O índice da declaração segue a numeração com base em zero, em que a primeira declaração é referenciada como 0. Quando há várias declarações que causam a falha de uma verificação, a verificação retorna somente uma ID de declaração por vez. Recomendamos que você corrija a declaração destacada no motivo e execute novamente a verificação até que ela seja aprovada.

Validar políticas com verificações personalizadas de políticas (console)

Como uma etapa opcional, você pode executar uma verificação personalizada de política ao editar uma política no editor de políticas de JSON no console do IAM. É possível verificar se a política atualizada concede novo acesso em comparação com a versão existente.

Para verificar se há novos acessos ao editar políticas JSON do IAM

  1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação à esquerda, escolha Policies (Políticas).

  3. Na lista de políticas, escolha o nome da política que deseja visualizar. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.

  4. Escolha a guia Permissões e depois escolha Editar.

  5. Escolha a opção JSON e atualize sua política.

  6. No painel de validação de política abaixo da política, escolha a guia Verificar novos acessos e, em seguida, escolha Verificar política. Se as permissões modificadas concederem novo acesso, a declaração será destacada no painel de validação da política.

  7. Se você não pretende conceder um novo acesso, atualize a declaração de política e escolha Verificar política até que nenhum novo acesso seja detectado.

    nota

    Uma cobrança é associada a cada verificação de novo acesso. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

  8. Escolha Próximo.

  9. Na página Revisar e salvar, revise Permissões definidas nessa política e escolha Salvar alterações.

Validar políticas com verificações personalizadas de políticas (AWS CLI ou API)

Você pode executar verificações de políticas personalizadas do IAM Access Analyzer a partir da AWS CLI ou da API do IAM Access Analyzer.

Para executar verificações personalizadas de política (AWS CLI) do IAM Access Analyzer

  • Para verificar se um novo acesso é permitido para uma política atualizada em comparação com a política existente, execute o seguinte comando: check-no-new-access

  • Para verificar se o acesso especificado não é permitido por uma política, execute o seguinte comando: check-access-not-granted

  • Para verificar se uma política de recursos pode conceder acesso público a um tipo de recurso especificado, execute o seguinte comando: check-no-public-access

Verificações personalizadas de política do IAM Access Analyzer (API)

  • Para verificar se um novo acesso é permitido para uma política atualizada em comparação com a política existente, use a operação da API CheckNoNewAccess.

  • Para verificar se o acesso especificado não é permitido por uma política, use a operação da API CheckAccessNotGranted.

  • Para verificar se uma política de recursos pode conceder acesso público a um tipo de recurso especificado, execute a operação CheckNoPublicAccess de API.