O AWS Identity and Access Management (IAM) ajuda você a controlar o acesso e as permissões aos recursos e serviços da AWS, como instâncias de computação e buckets de armazenamento. Ao usar políticas de recursos, por exemplo, o IAM permite que os clientes controlem granularmente quem pode acessar um recurso específico e como eles podem usá-lo.

Com a nuvem, você pode disponibilizar rapidamente os recursos conforme necessário, implantando milhares de servidores em questão de minutos. Portanto, é especialmente importante poder analisar rapidamente as políticas de recursos e identificar recursos com acesso público ou entre contas que você não pretende ter. O IAM Access Analyzer gera descobertas abrangentes que identificam recursos que podem ser acessados de fora de uma conta da AWS. O IAM Access Analyzer faz isso avaliando políticas de recursos usando lógica matemática e inferência para determinar os possíveis caminhos de acesso permitidos pelas políticas. O IAM Access Analyzer monitora continuamente as políticas novas ou atualizadas e analisa as permissões concedidas usando políticas para seus buckets do Amazon S3, chaves do AWS KMS, filas do Amazon SQS, funções do AWS IAM e funções do AWS Lambda.

Como melhor prática de segurança, também é importante observar como as permissões estão realmente sendo usadas ao longo do tempo, para que você possa remover permissões desnecessárias, de acordo com o princípio do privilégio mínimo. O IAM fornece dados de "último acesso", que são um carimbo de data/hora que descreve quando uma política ou entidade do IAM, como um usuário ou uma função, usou pela última vez um serviço ou uma ação dos serviços compatíveis. Isso permite que você identifique facilmente permissões não utilizadas e melhore sua postura de segurança removendo as permissões desnecessárias para que o usuário, grupo ou função execute uma tarefa específica. Na conta principal da AWS Organizations, você também pode ver a última vez que um serviço foi acessado pela raiz da organização, unidades organizacionais (OUs) e contas. Para saber mais sobre como usar os dados de “último acesso” para tomar decisões sobre as permissões concedidas às entidades do IAM ou das Organizações, consulte Cenários de exemplo para usar os últimos dados acessados pelo serviço..

Benefícios

Economiza tempo analisando políticas de recursos para acessibilidade pública ou entre contas

Comparado a heurísticas ou técnicas de correspondência de padrões que podem levar dias ou semanas, o IAM Access Analyzer usa lógica matemática e inferência para reduzir drasticamente o tempo para gerar descobertas abrangentes sobre recursos que podem ser acessados de fora de uma conta da AWS. O IAM Access Analyzer avalia as permissões concedidas usando políticas para seus buckets do Amazon S3, chaves do AWS KMS, filas do Amazon SQS, funções do AWS IAM e funções do AWS Lambda. O IAM Access Analyzer fornece descobertas detalhadas por meio dos consoles AWS IAM, Amazon S3 e AWS Security Hub e também por meio de suas APIs.

Monitora continuamente e ajuda você a refinar as permissões

O IAM Access Analyzer monitora e analisa continuamente qualquer política de recursos nova ou atualizada para ajudá-lo a entender as possíveis implicações de segurança. Por exemplo, quando uma política de bucket do Amazon S3 é alterada, o IAM alertará você de que o bucket é acessível pelos usuários de fora da conta.

O IAM também fornece dados do carimbo de data/hora de "último aceso" de quando uma política ou entidade do IAM usou um serviço pela última vez, para que você possa identificar e remover facilmente permissões não usadas para melhorar sua postura de segurança, concedendo apenas as permissões necessárias para executar uma tarefa específica.

Fornece os mais altos níveis de garantia de segurança

O IAM Access Analyzer usa raciocínio automatizado, uma forma de lógica matemática e inferência, para determinar todos os caminhos de acesso possíveis permitidos por uma política de recursos. Chamamos esses resultados analíticos de segurança comprovável, um nível mais alto de segurança para a segurança da nuvem e na nuvem.

Embora algumas ferramentas permitam testar cenários de acesso específicos, o IAM Access Analyzer pode usar a matemática para analisar todas as solicitações de acesso possíveis, aumentando a confiança de que suas políticas permitem apenas o acesso que você pretende.

Como funciona

Como o IAM Access Analyzer funciona

Raciocínio automatizado para análise de política

O raciocínio automatizado é uma área da ciência cognitiva que automatiza diferentes aspectos do raciocínio relacionado à matemática e à lógica formal. O AWS Automated Reasoning Group projeta algoritmos e cria código que pode raciocinar sobre recursos, configurações e infraestrutura da nuvem para fornecer rapidamente garantias sobre aspectos de seus comportamentos. No caso de políticas de recursos, a AWS as transforma em fórmulas lógicas precisas e, em seguida, usa raciocínios automatizados para resumir de forma abrangente quais recursos concedem acesso público ou entre contas. Saiba como ferramentas e métodos de raciocínio automatizados em Amazon Web Services fornecem um nível mais alto de garantia de segurança para a nuvem lendo "Raciocínio formal sobre AWS."

Saiba mais sobre os recursos do AWS IAM

Acesse a página de recursos
Pronto para criar?
Comece a usar o AWS IAM
Mais dúvidas?
Entre em contato conosco