Descobertas para acessos externos e não utilizados - AWS Identity and Access Management

Descobertas para acessos externos e não utilizados

O IAM Access Analyzer gera descobertas para acessos externos e acessos não utilizados em sua Conta da AWS ou organização. Para acessos externos, o IAM Access Analyzer gera uma descoberta para cada instância de uma política baseada em recursos que concede acesso a um recurso dentro da sua zona de confiança para uma entidade principal que não esteja dentro da sua zona de confiança. Ao criar um analisador de acessos externos, você escolhe uma organização ou uma Conta da AWS para analisar. Qualquer principal na organização ou na conta que você escolher para o analisador é considerado confiável. Como as entidades principais na mesma organização ou conta são confiáveis, os recursos e as entidades principais dentro da organização ou da conta compreendem a zona de confiança do analisador. Qualquer compartilhamento dentro da zona de confiança é considerado seguro, portanto, o IAM Access Analyzer não gera uma descoberta. Por exemplo, se você escolher uma organização como a zona de confiança de um analisador, todos os recursos e as entidades principais da organização estarão dentro da zona de confiança. Se você conceder permissões a um bucket do Amazon S3 em uma das contas-membro da organização para uma entidade principal em outra conta-membro da organização, o IAM Access Analyzer não gerará uma descoberta. No entanto, se você conceder permissão a uma entidade principal em uma conta que não seja membro da organização, o IAM Access Analyzer gerará uma descoberta.

O IAM Access Analyzer também gera descobertas sobre as acessos não utilizados concedidos em sua organização e contas da AWS. Quando você cria um analisador de acessos não utilizados, o IAM Access Analyzer monitora continuamente todas as funções e usuários do IAM em sua organização e contas AWS e gera descobertas sobre acessos não utilizados. O IAM Access Analyzer gera os seguintes tipos de descobertas para acessos não utilizados:

  • Perfis não utilizados: perfis sem atividade de acesso dentro da janela de uso especificada.

  • Chaves de acesso e senhas de usuários do IAM não usadas: credenciais pertencentes a usuários do IAM que não foram usadas para acessar sua Conta da AWS durante a janela de uso especificada.

  • Permissões não utilizadas: permissões de nível de serviço e de ação que não foram usadas por um perfil na janela de uso especificada. O IAM Access Analyzer usa políticas baseadas em identidade anexadas às funções para determinar os serviços e ações que essas funções podem acessar. O IAM Access Analyzer oferece suporte à análise de permissões não utilizadas para todas as permissões de nível de serviço. Para obter uma lista completa das permissões de nível de ação suportadas para descobertas de acessos não utilizados, consulte Serviços e ações para os quais a ação do IAM acessou informações pela última vez.

nota

O IAM Access Analyzer oferece descobertas de acessos externos gratuitamente e cobra por descobertas de acessos não utilizados com base no número de funções e usuários do IAM analisados por analisador por mês. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

Tópicos