IAM ti aiuta ad analizzare gli accessi e ti guida lungo il percorso dei privilegio minimo. Mentre crei in AWS, devi impostare autorizzazioni granulari utilizzando policy IAM. IAM Access Analyzer offre oltre 100 controlli delle policy che consentono di convalidare le policy in modo proattivo durante la loro creazione. Questi controlli analizzano le policy e segnalano errori, avvisi e suggerimenti con raccomandazioni concrete che guidano nell'impostazione di autorizzazioni sicure e funzionali. Esattamente come i controlli grammaticali del proprio elaboratore di testo preferito, IAM Access Analyzer esegue automaticamente questi controlli delle policy mentre si creano le policy utilizzando l'editor di policy nella console IAM. Inoltre puoi convalidare le policy a livello di programmazione utilizzando le API di Access Analyzer. IAM Access Analyzer consente anche di convalidare l'accesso pubblico e tra più account alle risorse prima delle modifiche alle autorizzazioni di distribuzione. Puoi visualizzare l'anteprima degli accessi nella console di Amazon S3 o con le API di IAM Access Analyzer.

Mentre procedi nel percorso del privilegio minimo, IAM Access Analyzer contribuisce ad esaminare gli accessi esistenti, permettendo di identificare e rimuovere le autorizzazioni esterne o non utilizzate non previste. Per consentire di identificare le risorse con accesso pubblico o tra più account, IAM Access Analyzer utilizza il ragionamento automatico per generare risultati completi per le risorse a cui è possibile accedere dall'esterno di un account AWS. Per questa analisi, IAM Access Analyzer monitora continuamente le policy di risorse nuove o aggiornate e analizza le autorizzazioni concesse per i bucket Amazon S3, le chiavi AWS KMS, le code Amazon SQS, i ruoli AWS IAM, le funzioni AWS Lambda e le chiavi segrete AWS Secrets Manager. Per contribuire a rimuovere le autorizzazioni non utilizzate, IAM fornisce le informazioni sull'ultimo accesso per specificare l'ultima volta in cui un'entità IAM ha utilizzato un servizio o un'azione. Questo ti aiuta a ridurre l'accesso consentendoti di identificare e rimuovere facilmente le autorizzazioni non utilizzate. Per impostare guardrail per le autorizzazioni, puoi anche analizzare l'ultimo accesso a un servizio da parte di entità dell'organizzazione AWS, come unità organizzative o account. Per ulteriori informazioni su come utilizzare i dati di "ultimo accesso" per prendere decisioni in merito alle autorizzazioni concesse alle entità IAM o dell'organizzazione, consulta Scenari di esempio per l'utilizzo dei dati sull'ultimo accesso al servizio. Le funzionalità di IAM Access Analyzer sono disponibili senza costi aggiuntivi nella console IAM e tramite le API di IAM Access Analyzer.

Vantaggi

Creazione guidata di policy

IAM Access Analyzer esegue controlli delle policy che ti guidano nell'impostazione di autorizzazioni sicure e funzionali. Questi controlli analizzano le policy e segnalano errori, avvisi e suggerimenti con raccomandazioni concrete per aiutare a convalidare le policy. Esattamente come i controlli grammaticali del proprio elaboratore di testo preferito, IAM Access Analyzer esegue automaticamente questi controlli mentre crei le policy utilizzando l'editor di policy nella console IAM. Inoltre puoi convalidare le policy a livello di programmazione utilizzando le API di IAM Access Analyzer.

Analisi completa degli accessi pubblici e tra più account

IAM Access Analyzer analizza le policy per aiutarti a identificare e risolvere accessi pubblici o tra più account non previsti alle risorse. IAM Access Analyzer utilizza la logica matematica e l'inferenza per generare risultati completi per le risorse a cui è possibile accedere dall'esterno di un account AWS. Questi risultati ti aiutano a identificare le risorse con un accesso pubblico o tra più account non previsto. IAM Access Analyzer valuta le autorizzazioni concesse utilizzando policy per i bucket Amazon S3, le chiavi AWS KMS, le code Amazon SQS, i ruoli AWS IAM e le funzioni AWS Lambda e fornisce risultati dettagliati tramite le console AWM IAM, Amazon S3 e AWS Security Hub e anche tramite le sue API. Con IAM Access Analyzer puoi anche visualizzare l'anteprima dei risultati e verificare che le modifiche delle policy consentano solo l'accesso alle risorse previsto. Visualizzando l'anteprima dei risultati, puoi prevenire accessi indesiderati prima di distribuire le autorizzazioni.

Monitora continuamente e riduce le autorizzazioni

IAM Access Analyzer monitora e analizza continuamente le policy di risorse nuove o aggiornate per aiutarti a identificare le autorizzazioni che concedono un accesso pubblico o tra più account. Ad esempio, quando viene modificata una policy per il bucket Amazon S3, IAM Access Analyzer ti avvisa che il bucket è accessibile dagli utenti dall'esterno dell'account.

IAM inoltre ti fornisce le informazioni del timestamp dell'ultimo accesso in cui un'entità IAM, come un ruolo IAM, ha utilizzato l'ultima volta un servizio o un'azione. Questo ti consente di ridurre le autorizzazioni rimuovendo quelle non utilizzate e concedendo solo l'accesso necessario per svolgere un'attività.

Fornisce i massimi livelli di sicurezza

Per generare risultati completi per le risorse a cui è possibile accedere dall'esterno di un account AWS, IAM Access Analyzer utilizza il ragionamento automatico, una forma di logica matematica e inferenza. Chiamiamo questi risultati analitici una sicurezza dimostrabile, una garanzia superiore di sicurezza del cloud e nel cloud. Mentre alcuni strumenti ti consentono di testare scenari di accesso particolari, IAM Access Analyzer utilizza la matematica per analizzare tutte le possibili richieste di accesso e generare risultati per l'accesso esterno. Questo ti consente di verificare l'accesso esterno in tutta fiducia.

Come funziona: monitoraggio dell'accesso esterno alle risorse

Come funziona IAM Access Analyzer

Ragionamento automatico per l'analisi degli accessi esterni

Il ragionamento automatico è un'area della scienza cognitiva che automatizza diversi aspetti del ragionamento relativi alla matematica e alla logica formale. AWS Automated Reasoning Group progetta algoritmi e crea codice in grado di ragionare su risorse, configurazioni e infrastrutture cloud per fornire rapidamente garanzie su aspetti dei loro comportamenti. Nel caso delle policy delle risorse, AWS le trasforma in formule logiche precise e quindi utilizza ragionamenti automatizzati per sintetizzare in modo completo quali risorse concedono l'accesso pubblico o a livello di account. Scopri come gli strumenti e i metodi di ragionamento automatico all'interno degli Amazon Web Services offrono un livello più elevato di garanzia di sicurezza per il cloud leggendo "Formal Reasoning About AWS."

Ulteriori informazioni sulle funzionalità di AWS IAM

Visita la pagina delle funzionalità
Ti senti pronto?
Inizia a usare AWS IAM
Hai altre domande?
Contattaci