Resolver descobertas do IAM Access Analyzer - AWS Identity and Access Management
Resolver descobertas de acessos externosComo resolver descobertas de acessos não utilizados

Resolver descobertas do IAM Access Analyzer

Resolver descobertas de acessos externos

Para resolver descobertas de acesso externo geradas por acesso não intencional, você deve modificar a declaração de política para remover as permissões que permitem o acesso ao recurso identificado.

Para descobertas relacionadas aos buckets do Amazon S3, use o console do Amazon S3 para configurar as permissões no bucket.

Para funções do IAM, use o console do IAM para modificar a política de confiança para a função do IAM listada.

Para outros recursos compatíveis, use o console para modificar as declarações de política que resultaram em uma descoberta gerada.

Após fazer uma alteração para resolver uma descoberta de acessos externos, como modificar uma política aplicada a um perfil do IAM, o IAM Access Analyzer verificará o recurso novamente. Se o recurso não for mais compartilhado fora da sua zona de confiança, o status da descoberta será alterado para Resolved. A descoberta será exibida na lista de descobertas resolvidas em vez da lista de descobertas ativas.

nota

Isso não se aplica às descobertas de Erro. Quando o IAM Access Analyzer não consegue analisar um recurso, ele vai gerar uma descoberta de erro. Se você resolver o problema que impedia o IAM Access Analyzer de analisar o recurso, a descoberta de erro será removida completamente em vez de ser alterada para uma descoberta resolvida.

Se as alterações feitas resultarem no compartilhamento do recurso fora da sua zona de confiança, mas de maneira diferente, como com outra entidade principal ou para outra permissão, o IAM Access Analyzer gerará outra descoberta com status Active.

nota

Pode levar até 30 minutos depois que uma política é modificada para que o IAM Access Analyzer analise novamente o recurso e atualize a descoberta. As descobertas resolvidas são excluídas 90 dias após a última atualização do status da descoberta.

Como resolver descobertas de acessos não utilizados

O IAM Access Analyzer fornece etapas recomendadas para resolver descobertas do analisador de acessos não utilizados com base no tipo de descoberta.

Após fazer uma alteração para resolver uma descoberta de credencial não utilizada, o status da descoberta será alterado para Resolvida na próxima vez em que o analisador de credencial não utilizada for executado. A descoberta não será mais exibida na lista de descobertas ativas e, em vez disso, será exibida na lista de descobertas resolvidas. Se você fizer uma alteração que aborde apenas parcialmente uma descoberta de credencial não utilizada, a descoberta existente será alterada para Resolvida, mas uma nova descoberta será gerada. Por exemplo, se você remover somente algumas das permissões não utilizadas em uma descoberta, mas não todas elas.

O IAM Access Analyzer cobra pela análise de acessos não utilizados com base no número de perfis e usuários do IAM analisados por mês. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

Resolvendo descobertas de permissões não utilizadas

Para descobertas de permissões não utilizadas, o IAM Access Analyzer pode recomendar políticas para remover de um usuário ou perfil do IAM e fornecer novas políticas para substituir as políticas de permissões existentes. A recomendação de política não é compatível com os seguintes cenários:

  • A descoberta de permissão não utilizada é para um usuário do IAM que está em um grupo de usuários.

  • A descoberta de permissão não utilizada é para um perfil do IAM no IAM Identity Center.

  • A descoberta de permissão não utilizada tem uma política de permissões existente que inclui o elemento notAction.

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Acesso não utilizado.

  3. Escolha uma descoberta com o Tipo de descoberta definido como Permissões não utilizadas.

  4. Na seção Recomendações, se houver políticas listadas na coluna Política recomendada, escolha Visualizar política para visualizar a política existente com a política recomendada para substituir a política existente. Se houver várias políticas recomendadas, você poderá escolher Próxima política e Política anterior para visualizar cada política existente e recomendada.

  5. Escolha Baixar JSON para baixar um arquivo .zip com arquivos JSON de todas as políticas recomendadas.

  6. Crie e anexe as políticas recomendadas ao usuário ou perfil do IAM. Para obter mais informações, consulte Alterar permissões de um usuário (console) e Modificar uma política de permissões de perfil (console).

  7. Remova as políticas listadas na coluna Política de permissões existentes do usuário ou perfil do IAM. Para obter mais informações, consulte Remover as permissões de um usuário (console) e Modificar uma política de permissões de perfil (console).

Resolver descobertas de perfil não utilizado

Para descobertas de perfil não utilizado, o IAM Access Analyzer recomenda excluir o perfil do IAM não utilizado.

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Acesso não utilizado.

  3. Escolha uma descoberta com o Tipo de descoberta definido como Perfil não utilizado.

  4. Na seção Recomendações, analise os detalhes do perfil do IAM.

  5. Exclua o perfil do IAM. Para obter mais informações, consulte Exclusão de um perfil do IAM (console).

Como resolver descobertas de chave de acesso não utilizada

Para descobertas de chave de acesso não utilizada, o IAM Access Analyzer recomenda desativar ou excluir a chave de acesso não utilizada.

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Acesso não utilizado.

  3. Escolha uma descoberta com o Tipo de descoberta definido como Chaves de acesso não utilizadas.

  4. Na seção Recomendações, analise os detalhes da chave de acesso.

  5. Desative ou exclua a chave de acesso. Para obter mais informações, consulte Gerenciar chaves de acesso (console).

Como resolver descobertas de senha não utilizada

Para descobertas de senha não utilizada, o IAM Access Analyzer recomenda excluir a senha não utilizada para o usuário do IAM.

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Escolha Acesso não utilizado.

  3. Escolha uma descoberta com o Tipo de descoberta definido como Senha não utilizada.

  4. Na seção Recomendações, analise os detalhes do usuário do IAM.

  5. Exclua a senha do usuário do IAM. Para obter mais informações, consulte Criar, alterar ou excluir uma senha de usuário do IAM (console).