Conceitos básicos sobre descobertas do AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management
Permissões necessárias para usar o IAM Access AnalyzerHabilitar o IAM Access AnalyzerStatus do IAM Access Analyzer

Conceitos básicos sobre descobertas do AWS Identity and Access Management Access Analyzer

Use as informações deste tópico para saber mais sobre os requisitos necessários para usar e gerenciar o AWS Identity and Access Management Access Analyzer IAM Access Analyzer, além de como habilitar o IAM Access Analyzer. Para saber mais sobre a função vinculada ao serviço para o IAM Access Analyzer, consulte Usar funções vinculadas ao serviço do AWS Identity and Access Management Access Analyzer.

Permissões necessárias para usar o IAM Access Analyzer

Para configurar e usar o IAM Access Analyzer com êxito, a conta usada deve receber as permissões necessárias.

Políticas gerenciadas pela AWS para o IAM Access Analyzer

O AWS Identity and Access Management Access Analyzer fornece políticas gerenciadas da AWS para ajudar você a começar rapidamente.

  • IAMAccessAnalyzerFullAccess: permite acesso total dos administradores ao IAM Access Analyzer. Esta política também permite criar as funções vinculadas ao serviço que são necessárias para permitir que o IAM Access Analyzer analise recursos em sua conta ou organização da AWS.

  • IAMAccessAnalyzerReadOnlyAccess: permite acesso somente leitura ao IAM. Você deve adicionar políticas adicionais às suas identidades do IAM (usuários, grupos de usuários ou funções) para permitir que elas visualizem suas descobertas.

Recursos definidos pelo IAM Access Analyzer

Para visualizar os recursos definidos pelo Access Analyzer, consulte Tipos de recursos definidos pelo IAM Access Analyzer na Referência de autorização do serviço.

Permissões necessárias do serviço IAM Access Analyzer

O IAM Access Analyzer usa uma função vinculada ao serviço (SRL) chamada de AWSServiceRoleForAccessAnalyzer. Essa SLR concede ao serviço acesso somente leitura a fim de analisar recursos AWS com políticas baseadas em recursos e analisar acessos não utilizados em seu nome. O serviço cria a função na sua conta nas seguintes situações:

  • Você cria um analisador de acessos externos com sua conta como zona de confiança.

  • Você cria um analisador de acessos não utilizados com sua conta como a conta selecionada.

Para ter mais informações, consulte Usar funções vinculadas ao serviço do AWS Identity and Access Management Access Analyzer.

nota

O IAM Access Analyzer é regional. Para utilizar acessos externos, é necessário habilitar o IAM Access Analyzer em cada região de maneira independente.

Para acessos não utilizados, as descobertas do analisador não mudam com base na região. Não é necessário criar um analisador em cada região em que você tem recursos.

Em alguns casos, após criar um analisador de acessos externos ou não utilizados no IAM Access Analyzer, a página Descobertas ou o painel são carregados sem descobertas ou resumo. Isso pode ocorrer devido a um atraso no console para preencher as descobertas. Talvez seja necessário atualizar manualmente o navegador ou voltar mais tarde para visualizar as descobertas ou o resumo. Se ainda não for exibida nenhuma descoberta para um analisador de acessos externos, é porque você não tem recursos compatíveis na conta que possam ser acessados por uma entidade externa. Se uma política que concede acesso a uma entidade externa for aplicada a um recurso, o IAM Access Analyzer gerará uma descoberta.

nota

Para analisadores de acessos externos, pode levar até 30 minutos depois que uma política é modificada para que o IAM Access Analyzer analise o recurso e gere outra descoberta ou atualize uma descoberta existente para o acesso ao recurso. Para analisadores de acessos externos e não utilizados, as atualizações das descobertas podem não ser refletidas imediatamente no painel.

Permissões necessárias do IAM Access Analyzer para visualizar o painel de descobertas

Para visualizar o painel de descobertas do IAM Access Analyzer, a conta usada deve receber acesso a fim de realizar as seguintes ações necessárias:

Para visualizar todas as ações definidas pelo IAM Access Analyzer, consulte Ações definidas pelo IAM Access Analyzer na Referência de autorização do serviço.

Habilitar o IAM Access Analyzer

Como criar um analisador de acessos externos com a Conta da AWS como zona de confiança

Para habilitar um analisador de acessos externos em uma região, é necessário criar um analisador nessa região. É necessário criar um analisador de acessos externos em cada região onde deseja monitorar o acesso aos recursos.

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Selecione Access analyzer (Analisador de acesso).

  3. Escolha Configurações do analisador.

  4. Selecione Create analyzer (Criar analisador).

  5. Na seção Análise, escolha Análise de acessos externos.

  6. Na seção Detalhes do analisador confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.

  7. Insira um nome para o analisador.

  8. Escolha Conta da AWS atual como a zona de confiança para o analisador.

    nota

    Se sua conta não for a conta de gerenciamento do AWS Organizations ou uma conta de administrador substituto, você pode criar apenas um analisador com sua conta como a zona de confiança.

  9. Opcional. Adicione as tags que deseja aplicar ao analisador.

  10. Selecione Enviar.

Ao criar um analisador de acessos externos para habilitar o IAM Access Analyzer, uma função vinculada a serviço chamada AWSServiceRoleForAccessAnalyzer será criada em sua conta.

Como criar um analisador de acessos externos com a organização como zona de confiança

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Selecione Access analyzer (Analisador de acesso).

  3. Escolha Configurações do analisador.

  4. Selecione Create analyzer (Criar analisador).

  5. Na seção Análise, escolha Análise de acessos externos.

  6. Na seção Detalhes do analisador confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.

  7. Insira um nome para o analisador.

  8. Escolha Organização atual como a zona de confiança para o analisador.

  9. Opcional. Adicione as tags que deseja aplicar ao analisador.

  10. Selecione Enviar.

Quando você cria um analisador de acessos externos com a organização como a zona de confiança, uma função vinculada a serviço chamada AWSServiceRoleForAccessAnalyzer é criada em cada conta da organização.

Para criar um analisador de acessos não utilizados para a conta atual

Use o procedimento a seguir para criar um analisador de acessos não utilizados para uma única Conta da AWS. Para acessos não utilizados, as descobertas do analisador não mudam com base na região. Não é necessário criar um analisador em cada região em que você tem recursos.

O IAM Access Analyzer cobra pela análise de acessos não utilizados com base no número de usuários e perfis do IAM analisados por mês por analisador. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Selecione Access analyzer (Analisador de acesso).

  3. Escolha Configurações do analisador.

  4. Selecione Create analyzer (Criar analisador).

  5. Na seção Análise, escolha Análise de acessos não utilizados.

  6. Insira um nome para o analisador.

  7. Em Período de rastreamento, insira o número de dias para gerar descobertas para permissões não utilizadas. Por exemplo, se você inserir 90 dias, o analisador gerará descobertas para entidades do IAM na conta selecionada para quaisquer permissões que não tenham sido usadas em 90 dias ou mais desde a última verificação do analisador. É possível escolher um valor entre 1 e 180 dias.

  8. Para Contas selecionadas, escolha Conta da AWS atual.

    nota

    Se sua conta não for a conta de gerenciamento do AWS Organizations ou uma conta de administrador delegado, você pode criar apenas um analisador com sua conta como a conta selecionada.

  9. Opcional. Adicione as tags que deseja aplicar ao analisador.

  10. Selecione Enviar.

Ao criar um analisador de acessos não utilizados para habilitar o IAM Access Analyzer, uma função vinculada ao serviço chamada AWSServiceRoleForAccessAnalyzer será criada em sua conta.

Para criar um analisador de acessos não utilizados com a organização atual

Use o procedimento a seguir para criar um analisador de acessos não utilizados para que uma organização analise centralmente todas as Contas da AWS em uma organização. Para a análise de acessos não utilizados, as descobertas do analisador não mudam com base na região. Não é necessário criar um analisador em cada região em que você tem recursos.

O IAM Access Analyzer cobra pela análise de acessos não utilizados com base no número de usuários e perfis do IAM analisados por mês por analisador. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

nota

Se a conta de um membro for removida da organização, o analisador de acessos não utilizados deixará de gerar novas descobertas e atualizar as descobertas existentes para essa conta após 24 horas. As descobertas associadas à conta do membro que for removida da organização serão removidas permanentemente após 90 dias.

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Selecione Access analyzer (Analisador de acesso).

  3. Escolha Configurações do analisador.

  4. Selecione Create analyzer (Criar analisador).

  5. Na seção Análise, escolha Análise de acessos não utilizados.

  6. Insira um nome para o analisador.

  7. Em Período de rastreamento, insira o número de dias para gerar descobertas para permissões não utilizadas. Por exemplo, se você inserir 90 dias, o analisador gerará descobertas para entidades do IAM nas contas da organização selecionada para quaisquer permissões que não tenham sido usadas em 90 dias ou mais desde a última verificação do analisador. É possível escolher um valor entre 1 e 180 dias.

  8. Para Contas selecionadas, escolha Organização atual como as contas selecionadas para o analisador.

  9. Opcional. Adicione as tags que deseja aplicar ao analisador.

  10. Selecione Enviar.

Ao criar um analisador de acessos não utilizados para habilitar o IAM Access Analyzer, uma função vinculada ao serviço chamada AWSServiceRoleForAccessAnalyzer será criada em sua conta.

Status do IAM Access Analyzer

Para visualizar o status dos analisadores, selecione Analyzers (Analisadores). Os analisadores criados para uma organização ou uma conta podem ter os seguintes status:

Status Descrição

Ativo

Para analisadores de acessos externos, o analisador está monitorando ativamente os recursos dentro de sua zona de confiança. O analisador gera ativamente novas descobertas e atualiza as descobertas existentes.

Para analisadores de acessos não utilizados, o analisador está monitorando ativamente os acessos não utilizados na Conta da AWS ou na organização selecionada no período de rastreamento especificado. O analisador gera ativamente novas descobertas e atualiza as descobertas existentes.

Criando

A criação do analisador ainda está em andamento. O analisador fica ativo quando a criação é concluída.

Desabilitado

O analisador é desabilitado devido a uma ação executada pelo administrador do AWS Organizations. Por exemplo, remover a conta do analisador como administrador delegado do IAM Access Analyzer. Quando o analisador está em um estado desabilitado, ele não gera novas descobertas nem atualiza as descobertas existentes.

Failed (Falha)

A criação do analisador falhou devido a um problema de configuração. O analisador não gerará nenhuma descoberta. Exclua o analisador e crie outro analisador.