Recursos do AWS IAM Access Analyzer
Visão geral
O IAM Access Analyzer orienta você em direção ao privilégio mínimo, fornecendo ferramentas para definir, verificar e refinar permissões. Como uma ferramenta abrangente de análise de permissões e validação de políticas, o IAM Access Analyzer oferece descobertas de acesso, verificações de políticas e geração de políticas.
O IAM Access Analyzer usa segurança comprovada para fornecer descobertas abrangentes sobre acesso externo, interno e não utilizado, além de fornecer verificações de políticas personalizadas. A segurança comprovável conta com a tecnologia de raciocínio automatizado, que é a aplicação de lógica matemática para ajudar a responder a perguntas cruciais sobre a sua infraestrutura, incluindo permissões da AWS. Para saber como os métodos e as ferramentas de raciocínio automatizado da AWS proporcionam um nível mais alto de garantia de segurança para a nuvem, consulte O que é raciocínio automatizado? ou baixe o whitepaper Raciocínio formal sobre a segurança da Amazon Web Services.
Defina permissões refinadas
Abrir tudo
O IAM Access Analyzer gera uma política refinada com base na atividade de acesso capturada em seus logs do AWS CloudTrail. Isso significa que, depois de criar e executar uma aplicação, você pode gerar políticas do IAM que concedam apenas as permissões necessárias para operar a aplicação.
O IAM Access Analyzer orienta você a criar e validar políticas seguras e funcionais com base nas práticas recomendadas do IAM. Por exemplo, se sua política contiver a permissão IAM:PassRole com um asterisco no elemento Resource, o IAM Access Analyzer sinalizará isso como um aviso de segurança. O IAM Access Analyzer inclui quatro tipos de descoberta de validação de políticas, incluindo avisos de segurança, erros, avisos gerais e sugestões de práticas recomendadas do IAM para a sua política. As descobertas fornecem recomendações práticas que ajudam você a criar políticas que sejam funcionais e que estejam em conformidade com as práticas recomendadas da AWS e com seus padrões de segurança.
Verifique quem tem acesso ao quê
Abrir tudo
O IAM Access Analyzer orienta você a verificar se o acesso externo existente atende à sua intenção. O IAM Access Analyzer usa ferramentas de raciocínio automatizadas, para comprovada garantia de segurança, para analisar todo o acesso externo aos seus recursos da AWS. Quando você ativa o IAM Access Analyzer, ele monitora continuamente as permissões de recursos novos ou atualizados para ajudar você a identificar as permissões que concedem acesso público e entre contas. Por exemplo, se uma política de bucket do Amazon S3 fosse alterada, o IAM Access Analyzer alertaria você de que o bucket se tornou acessível por usuários de fora da conta. Usando essa mesma análise, o IAM Access Analyzer torna mais fácil revisar e validar o acesso público e entre contas antes de implantar alterações de permissões.
O IAM Access Analyzer identifica quem da sua organização da AWS tem acesso aos seus recursos essenciais da AWS. Ele usa raciocínio automatizado para avaliar coletivamente várias políticas e gera descobertas quando um usuário ou perfil tem acesso aos seus recursos do S3, do DynamoDB ou do RDS. As descobertas são agregadas em um painel unificado, simplificando a análise e o gerenciamento do acesso. Você pode usar o Amazon EventBridge para notificar automaticamente as equipes de desenvolvimento sobre novas descobertas para remoção de acesso não intencional. As descobertas de acesso interno fornecem às equipes de segurança a visibilidade para fortalecer os controles de acesso de recursos essenciais e ajudam as equipes de conformidade a demonstrar os requisitos de auditoria de controle de acesso.
O IAM Access Analyzer valida se as políticas do IAM cumprem os padrões de segurança antes das implantações. As verificações de políticas personalizadas usam o poder do raciocínio automatizado para que as equipes de segurança possam detectar proativamente atualizações de políticas que não estejam em conformidade. Por exemplo, alterações na política do IAM mais permissivas que as da versão anterior seriam sinalizadas para análise adicional. As equipes de segurança podem usar essas verificações para agilizar as análises, aprovando automaticamente políticas em conformidade com padrões de segurança e inspecionando mais detalhadamente as que não cumprem esses padrões. Equipes de segurança e desenvolvimento podem automatizar as análises das políticas em escala integrando verificações de políticas personalizadas às ferramentas e ambientes usados pelos desenvolvedores para a criação de políticas, como pipelines de CI/CD.
Refine o acesso
Abrir tudo
O IAM Access Analyzer simplifica a inspeção do acesso não utilizado para guiá-lo em direção ao menor privilégio. As equipes de segurança podem usar o IAM Access Analyzer para obter visibilidade do acesso não utilizado em toda a organização da AWS e automatizar a forma como dimensionam as permissões corretamente. O IAM Access Analyzer analisa continuamente suas contas para identificar o acesso não utilizado, oferecendo recomendações com orientações práticas para ajudar você a corrigir qualquer acesso não utilizado. Ele consolida as descobertas em um painel centralizado, ajudando as equipes de segurança a analisar as descobertas e a priorizar as contas com base no volume de descobertas. As descobertas destacam funções não utilizadas, chaves de acesso não utilizadas para usuários do IAM e senhas não usadas para usuários do IAM. Para funções e usuários ativos do IAM, as descobertas fornecem visibilidade sobre serviços e ações não utilizados. As equipes de segurança podem automatizar os fluxos de trabalho de notificação para ajudar as equipes de desenvolvimento a identificar e remover o acesso não utilizado.
O IAM Access Analyzer fornece as últimas informações acessadas sobre quando os serviços e ações da AWS de alguns serviços da AWS foram usados pela última vez por um perfil ou usuário por meio de suas políticas do IAM. Isso ajuda você a identificar oportunidades para refinar suas permissões. Com essas informações, você pode comparar as permissões que foram concedidas a um perfil ou usuário quando essas permissões foram acessadas pela última vez para remover o acesso não utilizado e refinar ainda mais suas permissões.
Integrações
Abrir tudo
Quando o IAM Access Analyzer é integrado ao AWS Security Hub Cloud Security Posture Management (CSPM), as descobertas de acesso externo e não utilizado podem ser enviadas ao CSPM e verificadas de acordo com os padrões e as melhores práticas do setor de segurança. Isso permite uma análise mais aprofundada de seus padrões de segurança, ajudando a identificar os problemas de segurança de maior prioridade. O Security Hub pode incluir descobertas do IAM Access Analyzer em sua análise de sua postura de segurança.
Ao integrar o IAM Access Analyzer com o Amazon EventBridge, você pode automatizar e escalar o refinamento de permissões alertando as equipes para que revisem e removam permissões excessivas em suas contas da AWS. O IAM Access Analyzer envia um evento para o EventBridge quando uma descoberta é gerada, excluída ou tem o status alterado. Para receber descobertas e notificações sobre as descobertas, você deve habilitar e criar uma regra de evento no EventBridge.