- Sicurezza, identità e conformità›
- Strumento di analisi degli accessi AWS IAM›
- Caratteristiche
Funzionalità del Sistema di analisi degli accessi AWS IAM
Panoramica
Il Sistema di analisi degli accessi IAM ti guida verso il privilegio minimo fornendoti strumenti per impostare, verificare e perfezionare le autorizzazioni. IAM Access Analyzer è uno strumento completo per l'analisi delle autorizzazioni e la convalida delle policy che offre esiti sugli accessi, controlli e generazione di policy.
Lo strumento di analisi degli accessi IAM utilizza una sicurezza certificabile per fornire esiti completi sugli accessi esterni, interni e non utilizzati e fornisce controlli personalizzati delle policy. La sicurezza certificabile si basa sulla tecnologia di ragionamento automatico, ovvero l'applicazione della logica matematica per aiutare a rispondere a domande critiche sulla tua infrastruttura, comprese le autorizzazioni AWS. Per scoprire come gli strumenti e i metodi di ragionamento automatico di AWS forniscono un livello di sicurezza più elevato per il cloud, consulta la pagina Cos'è il ragionamento automatico? o scarica il whitepaper Ragionamento formale sulla sicurezza di Amazon Web Services.
Argomenti della pagina
Imposta autorizzazioni granulari
Apri tutto
IAM Access Analyzer ti guida a creare e convalidare policy sicure e funzionali basate sulle best practice IAM. Ad esempio, se la tua policy contiene l'autorizzazione IAM:PassRole con un asterisco nell'elemento Resource, lo strumento di analisi degli accessi IAM lo contrassegna come un avviso di sicurezza. Lo strumento di analisi degli accessi IAM include quattro tipi di esiti per la convalida delle policy, tra cui avvisi di sicurezza, errori, avvisi generali e suggerimenti sulle best practice IAM per la tua policy. Gli esiti forniscono consigli pratici che ti aiutano a creare policy funzionali e conformi alle best practice di AWS e ai tuoi standard di sicurezza.
Verifica chi accede a cosa
Apri tutto
Lo strumento di analisi degli accessi IAM ti guida a verificare che l'accesso esterno esistente soddisfi le tue intenzioni. IAM Access Analyzer utilizza strumenti di ragionamento automatici, per una garanzia di sicurezza dimostrabile, per analizzare tutti gli accessi esterni alle tue risorse AWS. L'attivazione di Access Analyzer di IAM consente il monitoraggio continuo di autorizzazioni delle risorse nuove o aggiornate per aiutarti a identificare le autorizzazioni che concedono un accesso pubblico o tra più account. Ad esempio, se la policy di un bucket Amazon S3 dovesse cambiare, IAM Access Analyzer ti avviserà che il bucket è diventato accessibile dagli utenti esterni all'account. Utilizzando questa stessa analisi, IAM Access Analyzer semplifica la revisione e la convalida dell'accesso pubblico e multi-account prima di implementare le modifiche alle autorizzazioni.
Lo strumento di analisi degli accessi IAM identifica chi all'interno della tua organizzazione AWS ha accesso alle risorse AWS critiche. Utilizza il ragionamento automatico per valutare collettivamente più policy e generare esiti quando un utente o un ruolo ha accesso alle tue risorse S3, DynamoDB o RDS. Gli esiti sono aggregati in un pannello di controllo unificato, semplificando la revisione e la gestione degli accessi. Puoi utilizzare Amazon EventBridge per notificare automaticamente ai team di sviluppo nuovi esiti per rimuovere gli accessi non intenzionali. Gli esiti relativi agli accessi interni offrono ai team di sicurezza la visibilità necessaria per rafforzare i controlli di accesso sulle risorse critiche e aiutano i team di conformità a dimostrare il rispetto dei requisiti di audit sui controlli di accesso.
IAM Access Analyzer verifica che le policy IAM rispettino i tuoi standard di sicurezza prima delle implementazioni. I controlli personalizzati delle policy utilizzano la potenza del ragionamento automatico in modo che i team di sicurezza possano rilevare in modo proattivo gli aggiornamenti non conformi delle policy. Ad esempio, le modifiche alle policy IAM che sono più permissive rispetto alla versione precedente verrebbero contrassegnate per un'ulteriore revisione. I team di sicurezza possono utilizzare questi controlli per semplificare le revisioni, approvare automaticamente le politiche conformi ai loro standard di sicurezza e ispezionare più a fondo quelle che non lo sono. I team di sicurezza e sviluppo possono automatizzare le revisioni delle policy su larga scala, integrando controlli personalizzati delle policy negli strumenti e negli ambienti in cui gli sviluppatori creano le proprie policy, come le pipeline CI/CD.
Perfeziona l'accesso
Apri tutto
Lo strumento di analisi degli accessi IAM fornisce informazioni sull'ultima volta in cui i servizi e le azioni AWS di determinati servizi AWS sono stati utilizzati da un ruolo o da un utente tramite le relative policy IAM. Questo ti aiuta a identificare le opportunità per perfezionare le tue autorizzazioni. Con queste informazioni, puoi confrontare le autorizzazioni concesse a un ruolo o a un utente, la data dell'ultimo accesso a tali autorizzazioni per rimuovere l'accesso non utilizzato e perfezionare ulteriormente le tue autorizzazioni.
Integrazioni
Apri tutto
Quando IAM Access Analyzer è integrato con AWS Security Hub Cloud Security Posture Management (CSPM), i risultati degli accessi esterni e non utilizzati possono essere inviati a CSPM e verificati rispetto agli standard e alle best practice del settore della sicurezza. Ciò consente un'ulteriore analisi dei modelli di sicurezza e aiuta a identificare i problemi di sicurezza con la massima priorità. La Centrale di sicurezza può includere gli esiti del Sistema di analisi degli accessi IAM nell'analisi del tuo livello di sicurezza.