AWS Identity and Access Management (IAM) consente di controllare gli accessi e le autorizzazioni ai servizi e alle risorse AWS, come il calcolo delle istanze e bucket di archiviazione. Usando le policy delle risorse, per esempio, IAM consente ai clienti di controllare in modo dettagliato chi è in grado di accedere a una risorsa specifica e come può usarla.

Grazie al cloud, puoi aumentare velocemente le risorse quando necessario, distribuendo centinaia o persino migliaia di server in pochi minuti. Pertanto, diventa particolarmente importante essere in grado di esaminare rapidamente le policy delle risorse e identificare quelle con accesso pubblico o a livello di account che non sono previste. IAM Access Analyzer genera risultati completi che identificano le risorse a cui è possibile accedere dall'esterno di un account AWS. IAM Access Analyzer esegue questa operazione valutando le politiche delle risorse utilizzando la logica matematica e l'inferenza per determinare i possibili percorsi di accesso consentiti dalle policy. IAM Access Analyzer monitora continuamente le policy nuove o aggiornate e analizza le autorizzazioni concesse utilizzando le policy per i bucket Amazon S3, le chiavi AWS KMS, le code Amazon SQS, i ruoli AWS IAM e le funzioni AWS Lambda.

Come best practice sulla sicurezza, è anche importante esaminare come le autorizzazioni vengono effettivamente utilizzate nel tempo, in modo da poter rimuovere le autorizzazioni non necessarie, in conformità con il principio del privilegio minimo. IAM fornisce i dati di "ultimo accesso al servizio", ovvero un timestamp di quando una policy o un'entità IAM, come un utente o un ruolo, ha utilizzato un servizio per ultima. Ciò consente di identificare facilmente le autorizzazioni non utilizzate e di migliorare la sicurezza rimuovendo le autorizzazioni che non sono necessarie all'utente, al gruppo o al ruolo per eseguire un'attività specifica. Dall'account principale AWS Organizations, puoi anche vedere l'ultima volta che il root dell'organizzazione, le unità organizzative (OU) e gli account hanno effettuato l'accesso a un servizio. Per ulteriori informazioni su come utilizzare i dati di "ultimo accesso al servizio" per prendere decisioni in merito alle autorizzazioni concesse all'entità o alle organizzazioni IAM, consulta Scenari di esempio per l'utilizzo dei dati dell'ultimo accesso al servizio.

Vantaggi

Risparmia tempo analizzando le politiche delle risorse per l'accessibilità pubblica o a livello di account

Rispetto all'euristica o alle tecniche di pattern matching che potrebbero richiedere giorni o settimane, IAM Access Analyzer utilizza la logica matematica e l'inferenza per ridurre drasticamente il tempo per generare risultati completi sulle risorse a cui è possibile accedere dall'esterno di un account AWS. IAM Access Analyzer monitora le autorizzazioni concesse utilizzando policy per i bucket Amazon S3, le chiavi AWS KMS, le code Amazon SQS, i ruoli AWS IAM e le funzioni AWS Lambda. IAM Access Analyzer fornisce risultati dettagliati tramite le console AWS IAM, Amazon S3 e AWS Security Hub e anche tramite le sue API.

Monitora continuamente e aiuta a perfezionare le autorizzazioni

IAM Access Analyzer monitora e analizza continuamente qualsiasi politica delle risorse nuova o aggiornata per aiutarti a comprendere le potenziali implicazioni di sicurezza. Per esempio, quando viene modificata una policy per il bucket Amazon S3, IAM ti avvisa che il bucket è accessibile dagli utenti dall'esterno dell'account.

Oltre a IAM Access Analyzer, IAM fornisce anche un timestamp dell'"ultimo accesso al servizio" che indica quando una policy o entità IAM ha utilizzato un servizio per l'ultima volta. Questo permette di identificare e rimuovere facilmente le autorizzazioni non utilizzate per migliorare la sicurezza concedendo solo le autorizzazioni richieste per eseguire un'attività specifica.

Fornisce i massimi livelli di sicurezza

IAM Access Analyzer utilizza il ragionamento automatico, una forma di logica matematica e di inferenza, per determinare tutti i possibili percorsi di accesso consentiti da una policy delle risorse. Chiamiamo questi risultati analitici una sicurezza dimostrabile, una garanzia superiore di sicurezza del cloud e nel cloud.

Mentre alcuni strumenti ti consentono di testare particolari scenari di accesso, IAM Access Analyzer è in grado di utilizzare la matematica per analizzare tutte le possibili richieste di accesso assicurandoti che le tue policy consentano solo l'accesso che desideri.

Come funziona

Come funziona IAM Access Analyzer

Ragionamento automatico per l'analisi delle policy

Il ragionamento automatico è un'area della scienza cognitiva che automatizza diversi aspetti del ragionamento relativi alla matematica e alla logica formale. AWS Automated Reasoning Group progetta algoritmi e crea codice in grado di ragionare su risorse, configurazioni e infrastrutture cloud per fornire rapidamente garanzie su aspetti dei loro comportamenti. Nel caso delle policy delle risorse, AWS le trasforma in formule logiche precise e quindi utilizza ragionamenti automatizzati per sintetizzare in modo completo quali risorse concedono l'accesso pubblico o a livello di account. Scopri come gli strumenti e i metodi di ragionamento automatico all'interno degli Amazon Web Services offrono un livello più elevato di garanzia di sicurezza per il cloud leggendo "Formal Reasoning About AWS."

Ulteriori informazioni sulle funzionalità di AWS IAM

Visita la pagina delle funzionalità
Ti senti pronto?
Inizia a usare AWS IAM
Hai altre domande?
Contattaci