Geração de política do IAM Access Analyzer

Gerar uma política para uma função do IAM

1. Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

2. No painel de navegação à esquerda, escolha Roles (Funções).

   nota

   As etapas para gerar uma política com base na atividade de um usuário do IAM são quase idênticas. Para fazer isso, escolha Users(Usuários) em vez de Roles (Funções).

3. Na lista de funções na sua conta, escolha o nome da função cuja atividade você deseja usar para gerar uma política.

4. Na guia Permissions (Permissões), na seção Gerar políticas com base em eventos do CloudTrail, escolha Generate policy (Gerar política).

5. Na página Generate policy (Gerar política), especifique o período em que IAM Access Analyzerdeseja analisar seus eventos do CloudTrail para ações realizadas com a função. Você pode escolher um intervalo de até 90 dias. Recomendamos que escolha o menor período possível para reduzir o tempo de geração de políticas.

6. Na seção CloudTrail access (Acesso ao CloudTrail), escolha uma função existente adequada ou crie uma nova função se não existir uma função adequada. A função concede ao IAM Access Analyzer permissões para acessar seus dados do CloudTrail em seu nome para revisar a atividade de acesso e identificar os serviços e ações que foram usados. Para saber mais sobre as permissões necessárias para essa função, consulte Permissões necessárias para gerar uma política.

7. Na seção CloudTrail trilha a ser analisada, especifique a trilha do CloudTrail que registra logs de eventos para a conta.

   Se você escolher uma trilha do CloudTrail que armazene logs em outra conta, uma caixa de informações sobre o acesso entre contas será exibida. O acesso entre contas requer configuração adicional. Para saber mais, consulte Choose a role for cross-account access mais adiante neste tópico.

8. Escolha Generate policy (Gerar política).

9. Enquanto a geração de políticas está em andamento, você é levado de volta à página Roles Summary (Resumo das funções) na guia Permissions (Permissões). Aguarde até que o status na seção Detalhes da solicitação de política exiba Success(Sucesso) e escolha View generated policy (Exibir política gerada). Você pode visualizar a política gerada por até sete dias. Se você gerar outra política, ela substituirá a política existente.

1. Analise as seguintes seções:

   • Na página Review permissions (Revisar permissões), analise a lista de Actions included in the generated policy (Ações incluídas na política gerada). A lista exibe os serviços e as ações que o IAM Access Analyzer identificou que foram usadas pela função no intervalo de datas especificado.

   • A seção Services used (Serviços usados) exibe outros serviços que o IAM Access Analyzer identificou que foram usados pela função no intervalo de datas especificado. As informações sobre quais ações foram usadas podem não estar disponíveis para os serviços listados nesta seção. Use os menus de cada serviço listado para escolher manualmente as ações que deseja incluir na política.

2. Quando terminar de adicionar ações, escolha Next (Avançar).

Para personalizar a política gerada

1. Atualize o modelo de política. O modelo da política contém espaços reservados do ARN do recurso para ações que oferecem suporte a permissões em nível de recurso, segundo as indicações da imagem a seguir. Permissões no nível do recurso se referem à capacidade de especificar em quais recursos os usuários têm permissão para realizar ações. Recomendamos que você use ARNs para especificar os recursos individuais na política para ações que oferecem suporte a permissões em nível do recurso. Você pode substituir os espaços reservados de ARNs do recurso por ARNs de recurso válidos para o seu caso de uso.

   Se uma ação não for compatível com permissões em nível do recurso, você deverá usar um curinga * para especificar que todos os recursos podem ser afetados pela ação. Para saber quais produtos da AWS oferecem suporte a permissões no nível de recurso, consulte Produtos da AWS que funcionam com o IAM. Para obter uma lista de ações em cada serviço e saber quais ações são compatíveis com permissões em nível do recurso, consulte Ações, recursos e chaves de condição para serviços da AWS.

   

2. (Opcional) Adicione, modifique ou remova declarações de política JSON no modelo. Para saber mais sobre como escrever políticas de JSON, consulte Criar políticas do IAM (console).

3. Quando você terminar de personalizar o modelo de política, terá as seguintes opções:

   • (Opcional) Você pode copiar o JSON no modelo para usar separadamente fora da página Generated policy (Política gerada). Por exemplo, se você quiser usar o JSON para criar uma política em uma conta diferente. Se a política em seu modelo exceder o limite de 6.144 caracteres das políticas JSON, ela será dividida em várias políticas.

   • Escolha Next (Próximo) para analisar e criar uma política gerenciada na mesma conta.

Para analisar e criar uma política

1. Na página Review and create managed policy (Revisar e criar uma política gerenciada), digite um Name (Nome) e uma Description (Descrição) (opcional) para a política que você está criando.

2. (Opcional) Na seção Summary (Resumo), você pode analisar as permissões que serão incluídas na política.

3. (Opcional) Adicione metadados à política associando tags como pares de chave-valor. Para obter mais informações sobre como usar etiquetas no IAM, consulte Recursos de etiquetas do IAM.

4. Quando terminar, execute uma as seguintes ações:

   • Você pode anexar a nova política diretamente à função que foi usada para gerar a política. Para fazer isso, perto da parte inferior da página, marque a caixa de seleção ao lado de Attach policy to seuRolename (Anexar política ao) (seu nome completo). Em seguida, escolha Create and attach policy (Criar e anexar política).

   • Caso contrário, escolha Create policy (Criar política). Você pode encontrar a política criada na lista de políticas no painel de navegação Policies (Políticas) do console do IAM.

5. Você pode anexar a política criada a uma entidade em sua conta. Depois de anexar a política, você pode remover qualquer outra política excessivamente ampla que possa estar anexada à entidade. Para saber como anexar uma política gerenciada, consulte Adicionar permissões de identidade do IAM (console).

Etapa 1: Escolher ou criar uma função para acesso entre contas

• Na tela Generate policy (Gerar política), a opção Use an existing role (Usar uma função existente) é pré-selecionada para você se existir uma função com as permissões necessárias em sua conta. Caso contrário, escolha Create and use a new service role (Criar e usar uma nova função de serviço). A nova função é usada para conceder acesso do IAM Access Analyzer aos logs do CloudTrail na conta B.

Etapa 2: Verificar ou atualizar a configuração de bucket do Amazon S3 na conta B

1. Faça login no AWS Management Console e abra o console do Amazon S3 em https://console.aws.amazon.com/s3/.

2. Na lista Buckets, escolha o nome do bucket onde seus logs de trilha do CloudTrail estão armazenados.

3. Selecione a guia Permissions (Permissões) e localize a seção Object ownership (Propriedade de objeto).

   Use as configurações de bucket de Amazon S3 Object Ownership (Propriedade de objetos do Amazon S3) para controlar a propriedade de objetos que são carregados nos buckets. Por padrão, quando outras Contas da AWS carregam objetos no seu bucket, os objetos pertencem à conta que faz o upload. Para gerar uma política, todos os objetos do bucket devem pertencer ao proprietário do bucket. Dependendo do caso de uso de ACL, talvez seja necessário alterar a configuração Object Ownership (Propriedade do objeto) para o bucket. Defina Object Ownership (Propriedade do objeto) como uma das opções a seguir.

   • Bucket owner enforced (Proprietário do bucked obrigatório) (recomendado)

   • Bucket owner preferred (Proprierário do bucket preferencial)

   Importante

   Para gerar uma política com sucesso, os objetos do bucket devem pertencer ao proprietário do bucket. Se escolher Bucket owner preferred (Proprierário do bucket preferencial), você só poderá gerar uma política para o período de tempo após a alteração da propriedade do objeto.

   Para saber mais sobre propriedade de objetos no Amazon S3, consulte Controlar a propriedade de objetos e desabilitar ACLs para seu bucket no Guia do Usuário do Amazon S3.

4. Adicione permissões à política de bucket do Amazon S3 na conta B para permitir acesso à função na conta A.

   A política de exemplo a seguir permite ListBucket e GetObject para o bucket chamado amzn-s3-demo-bucket. Ela permitirá o acesso se a função que acessa o bucket pertencer a uma conta em sua organização e tiver um nome que comece com AccessAnalyzerMonitorServiceRole. O uso de aws:PrincipalArn como uma Condition no elemento Resource garante que a função só possa acessar a atividade da conta se ela pertencer à conta A. É possível substituir amzn-s3-demo-bucket pelo nome do bucket, optional-prefix por um prefixo opcional para o bucket e organization-id pelo ID da organização.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "PolicyGenerationBucketPolicy",
         "Effect": "Allow",
         "Principal": {
           "AWS": "*"
         },
         "Action": [
           "s3:GetObject",
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket",
           "arn:aws:s3:::amzn-s3-demo-bucket/optional-prefix/AWSLogs/organization-id/${aws:PrincipalAccount}/*"
         ],
         "Condition": {
           "StringEquals": {
             "aws:PrincipalOrgID": "organization-id"
           },
           "StringLike": {
             "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
           }
         }
       }
     ]
   }

5. Se você criptografar logs usando o AWS KMS, atualize a política de chave do AWS KMS na conta em que você armazena os logs do CloudTrail para conceder ao IAM Access Analyzer acesso para usar a sua chave, conforme mostrado no exemplo de política a seguir. Substitua CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN pelo ARN da sua trilha e organization-id pelo ID da sua organização.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "*"
         },
         "Action": "kms:Decrypt",
         "Resource": "*",
         "Condition": {
           "StringEquals": {
             "kms:EncryptionContext:aws:cloudtrail:arn": "CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN",
             "aws:PrincipalOrgID": "organization-id"
           },
           "StringLike": {
             "kms:ViaService": [
               "access-analyzer.*.amazonaws.com",
               "s3.*.amazonaws.com"
             ],
             "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
           }
         }
       }
     ]
   }