Identificar recursos compartilhados com uma entidade externa Identificação de acessos não utilizados concedidos a perfis e usuários do IAM Validação de políticas em relação às práticas recomendadas da AWS Validar políticas de acordo com seus padrões especificados de segurança Geração de políticas Preços do IAM Access Analyzer

Usar o AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer fornece as seguintes capacidades:

Os analisadores de acessos externos do IAM Access Analyzer ajudam a identificar os recursos da organização e as contas que são compartilhadas com uma entidade externa.
Os analisadores de acessos não utilizados do IAM Access Analyzer ajudam a identificar os acessos não utilizados em sua organização e contas.
O IAM Access Analyzer valida políticas do IAM em relação à gramática e a práticas recomendadas da AWS.
As verificações de política personalizadas do IAM Access Analyzer ajudam a validar as políticas do IAM em relação aos padrões de segurança especificados.
O IAM Access Analyzer gera políticas do IAM com base na atividade de acesso dos logs do AWS CloudTrail.

Identificar recursos compartilhados com uma entidade externa

O IAM Access Analyzer ajuda você a identificar os recursos em sua organização e suas contas, como buckets do Amazon S3 ou funções do IAM, que são compartilhados com uma entidade externa. Isso permite identificar o acesso não intencional aos seus recursos e dados, o que é um risco de segurança. O IAM Access Analyzer identifica recursos compartilhados com entidades externas usando raciocínio baseado em lógica para analisar as políticas baseadas em recurso no ambiente da AWS. Para cada instância de um recurso compartilhado fora de sua conta, o IAM Access Analyzer gera uma descoberta. As descobertas incluem informações sobre o acesso e a entidade principal externa a que é concedido. Elas podem ser analisadas para determinar se o acesso é intencional e seguro ou se não é intencional e representa um risco à segurança. Além de ajudar você a identificar recursos compartilhados com uma entidade externa, você pode usar as descobertas do IAM Access Analyzer para pré-visualizar como sua política afeta o acesso público e entre contas ao seu recurso antes de implantar as permissões do recurso. As descobertas são organizadas em um painel de resumo visual. O painel destaca a divisão entre as descobertas de acesso público e entre contas e fornece um detalhamento das descobertas por tipo de recurso. Para saber mais sobre o painel, consulte Visualizar o painel de descobertas do IAM Access Analyzer.

nota

Uma entidade externa pode ser outra conta da AWS, um usuário raiz, um usuário ou um perfil do IAM, um usuário federado, um usuário anônimo ou outra entidade que você possa usar para criar um filtro. Para obter mais informações, consulte Elementos da política JSON da AWS: principal.

Ao habilitar o IAM Access Analyzer, você cria um analisador para toda a sua organização ou sua conta. A organização ou a conta escolhida é conhecida como a zona de confiança do analisador. O analisador monitora todos os recursos compatíveis dentro da sua zona de confiança. Qualquer acesso aos recursos feito por entidades que estão dentro da sua zona de confiança é considerado confiável. Depois de habilitado, o IAM Access Analyzer analisará as políticas aplicadas a todos os recursos compatíveis da zona de confiança. Depois da primeira análise, o IAM Access Analyzer analisará essas políticas periodicamente. Se você adicionar uma nova política ou alterar uma política existente, o IAM Access Analyzer analisará a política nova ou atualizada em cerca de 30 minutos.

Ao analisar as políticas, se o IAM Access Analyzer identificar uma que conceda acesso a uma entidade principal externa que não esteja dentro da sua zona de confiança, ele gerará uma descoberta. Cada descoberta inclui detalhes sobre o recurso, sobre a entidade externa com acesso a ele e sobre as permissões concedidas para que você possa tomar as medidas apropriadas. É possível visualizar os detalhes incluídos na descoberta para determinar se o acesso ao recurso é intencional ou um risco potencial que deve ser resolvido. Quando você adiciona uma política a um recurso ou atualiza uma política existente, o IAM Access Analyzer analisa a política. O IAM Access Analyzer também analisa todas as políticas baseadas em recurso periodicamente.

Em raras ocasiões sob determinadas condições, o IAM Access Analyzer não recebe notificação sobre uma política adicionada ou atualizada, o que pode causar atrasos nas descobertas geradas. O IAM Access Analyzer poderá levar até seis horas para gerar ou resolver descobertas se você criar ou excluir um ponto de acesso multirregional associado a um bucket do Amazon S3 ou atualizar a política para o ponto de acesso multirregiões. Além disso, se houver um problema de entrega com a entrega do log do AWS CloudTrail, a alteração da política não acionará uma nova verificação do recurso relatado na descoberta. Quando isso acontece, o IAM Access Analyzer analisa a política nova ou atualizada durante a próxima verificação periódica, que ocorre em até 24 horas. Se desejar confirmar que uma alteração feita em uma política resolve um problema de acesso relatado em uma descoberta, você poderá fazer outra verificação do recurso relatado em uma descoberta usando o link Rescan (Verificar novamente) na página de detalhes Findings (Descoberta) ou usando a operação StartResourceScan da API do IAM Access Analyzer. Para saber mais, consulte Resolver descobertas do IAM Access Analyzer.

Importante

O IAM Access Analyzer analisa somente políticas aplicadas a recursos na mesma região da AWS em que está habilitado. Para monitorar todos os recursos do seu ambiente da AWS, é necessário criar um analisador para habilitar o IAM Access Analyzer em cada região em que você está usando recursos da AWS compatíveis.

O IAM Access Analyzer analisa os seguintes tipos de recursos:

Identificação de acessos não utilizados concedidos a perfis e usuários do IAM

O IAM Access Analyzer ajuda você a identificar e analisar acessos não utilizados em sua organização e contas da AWS. O IAM Access Analyzer monitora continuamente todas os usuários e perfis do IAM em sua organização e contas AWS e gera descobertas para acessos não utilizados. As descobertas destacam perfis não utilizados, chaves de acesso não utilizadas para usuários do IAM e senhas não utilizadas para usuários do IAM. Para funções e usuários ativos do IAM, as descobertas fornecem visibilidade sobre serviços e ações não utilizados.

As descobertas tanto dos analisadores de acessos externos quanto de acessos não utilizados são organizadas em um painel de resumo visual. O painel destaca suas Contas da AWS que têm mais descobertas e fornece um detalhamento das descobertas por tipo. Para obter mais informações sobre o painel, consulte Visualizar o painel de descobertas do IAM Access Analyzer.

O IAM Access Analyzer analisa as informações do último acesso de todas as funções em sua organização e contas AWS para ajudar você a identificar acessos não utilizados. As informações do último acesso da ação do IAM ajudam a identificar ações não utilizadas para perfis em suas Contas da AWS. Para ter mais informações, consulte Refinar permissões na AWS usando informações do último acesso.

Validação de políticas em relação às práticas recomendadas da AWS

Você pode validar suas políticas em relação à gramática da política do IAM e às práticas recomendadas da AWS usando as verificações básicas de políticas fornecidas pela validação de políticas do IAM Access Analyzer. É possível criar ou editar uma política usando a AWS CLI,a API da AWS ou o editor de políticas de JSON no console do IAM. Você pode visualizar as descobertas de verificação de validação de política que incluem avisos de segurança, erros, avisos gerais e sugestões para sua política. Essas descobertas fornecem recomendações práticas que ajudam a criar políticas que sejam funcionais e estejam em conformidade com as práticas recomendadas da AWS. Para obter mais informações sobre como validar políticas usando validação de política, consulte Validar políticas com o IAM Access Analyzer.

Validar políticas de acordo com seus padrões especificados de segurança

Você pode validar suas políticas de acordo com seus padrões especificados de segurança usando verificações de política personalizadas do IAM Access Analyzer. É possível criar ou editar uma política usando a AWS CLI,a API da AWS ou o editor de políticas de JSON no console do IAM. Por meio do console, você pode verificar se sua política atualizada concede novo acesso em comparação com a versão existente. Por meio da AWS CLI e da API AWS, você também pode verificar se ações específicas do IAM que você considera críticas não são permitidas por uma política. Essas verificações destacam uma instrução de política que concede novo acesso. Você pode atualizar a declaração de política e executar novamente as verificações até que a política esteja em conformidade com seu padrão de segurança. Para obter mais informações sobre como validar políticas usando verificações de política personalizadas, consulte Validar políticas com verificações de políticas do IAM Access Analyzer.

Geração de políticas

O IAM Access Analyzer analisa seus logs do AWS CloudTrail para identificar ações e serviços que foram usados por uma entidade do IAM (usuário ou função) dentro do intervalo de datas especificado. Em seguida, ele gera uma política do IAM com base nessa atividade de acesso. Você pode usar a política gerada para refinar as permissões de uma entidade anexando-a a um usuário ou uma função do IAM. Para saber mais sobre como gerar políticas usando o IAM Access Analyzer, consulte Geração de política do IAM Access Analyzer.

Preços do IAM Access Analyzer

O IAM Access Analyzer cobra pela análise de acessos não utilizados com base no número de funções e usuários do IAM analisados por analisador por mês.

Você será cobrado por cada analisador de acessos não utilizados que criar.
A criação de analisadores de acessos não utilizados em várias regiões resultará na cobrança por cada analisador.
Os perfis vinculados ao serviço não são analisados quanto à atividade de acesso não utilizada e não são incluídos no número total de perfis do IAM analisados.

O IAM Access Analyzer cobra por verificações de política personalizadas com base no número de solicitações de API feitas ao IAM Access Analyzer para verificar novos acessos.

Para obter uma lista completa de cobranças e preços do IAM Access Analyzer, consulte Preços do IAM Access Analyzer.

Para ver sua fatura, acesse o Painel de gerenciamento de custos e faturamento no console do AWS Billing and Cost Management. Sua fatura contém links para relatórios de uso que fornecem detalhes sobre sua conta. Para saber mais sobre o faturamento da Conta da AWS, consulte o Guia do usuário do AWS Billing.

Se tiver dúvidas sobre faturamento, contas e eventos da AWS, entre em contato com o AWS Support.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Recursos de segurança fora do IAM

Descobertas para acessos externos e não utilizados