O IAM ajuda a analisar o acesso e orienta você ao longo de sua jornada de privilégio mínimo. Conforme você cria na AWS, é necessário definir permissões refinadas usando políticas do IAM. O IAM Access Analyzer fornece mais de 100 verificações de política que ajudam a validar as políticas de maneira proativa durante a criação delas. Essas verificações analisam sua política e relatam erros, avisos e sugestões com recomendações acionáveis que o orientam na definição de permissões seguras e funcionais. Semelhante às verificações gramaticais no seu editor de texto favorito, o IAM Access Analyzer executa automaticamente essas verificações de políticas à medida que você cria as políticas de identidade usando o editor de políticas no console do IAM. Você também pode validar suas políticas de modo programático usando APIs do Access Analyzer. O IAM Access Analyzer também permite validar o acesso público e entre contas a recursos antes da implantação de alterações de permissões. Você pode visualizar o acesso no console do Amazon S3 ou com as APIs do IAM Access Analyzer.

Conforme você percorre sua jornada de privilégio mínimo, o IAM Access Analyzer ajuda você a revisar o acesso atual, permitindo identificar e remover permissões externas ou não utilizadas não intencionais. Para permitir que você identifique recursos com acesso público ou entre contas, o IAM Access Analyzer usa raciocínio automatizado para gerar descobertas abrangentes para recursos que podem ser acessados de fora de uma conta da AWS. Para essa análise, o IAM Access Analyzer monitora continuamente as políticas de recursos novas ou atualizadas e analisa as permissões concedidas para buckets do Amazon S3, chaves do AWS KMS, filas do Amazon SQS, funções do AWS IAM, funções do AWS Lambda e segredos do AWS Secrets Manager. Para ajudar você a remover as permissões não utilizadas, o IAM fornece as informações do último acesso para especificar quando uma entidade do IAM usou um serviço ou uma ação pela última vez. Isso ajuda a reduzir o acesso, permitindo que você identifique e remova facilmente as permissões não utilizadas. Para ajudar você a definir barreiras de permissão, você também pode analisar a última vez que um serviço foi acessado por entidades em sua organização da AWS, como organizational units (OUs – unidades organizacionais) ou contas. Para saber mais sobre como usar os dados de “último acesso” para tomar decisões sobre as permissões concedidas às entidades do IAM ou das Organizações, consulte Cenários de exemplo para uso de dados do último acesso ao serviço. Os recursos do IAM Access Analyzer estão disponíveis sem custo adicional no console do IAM e por meio das APIs do IAM Access Analyzer.

Benefícios

Criação de política guiada

O IAM Access Analyzer realiza verificações de política que o orientam para definir permissões seguras e funcionais. Essas verificações analisam suas políticas e relatam erros, avisos e sugestões com recomendações acionáveis para ajudar você a validar suas políticas. Semelhante às verificações gramaticais nos processadores de texto, o IAM Access Analyzer executa automaticamente essas verificações à medida que você cria as políticas de identidade usando o editor de políticas no console do IAM. Você também pode validar suas políticas de modo programático usando APIs do IAM Access Analyzer.

Análise abrangente para acesso público e entre contas

O IAM Access Analyzer analisa as políticas para ajudar você a identificar e resolver o acesso público não intencional ou entre contas aos seus recursos. O IAM Access Analyzer usa inferência e lógica matemática para gerar descobertas abrangentes para recursos que podem ser acessados de fora de uma conta da AWS. Essas descobertas ajudam você a identificar recursos com acesso público ou entre contas não intencionais. O IAM Access Analyzer avalia as permissões concedidas usando políticas para seus buckets do Amazon S3, chaves do AWS KMS, filas do Amazon SQS, funções do AWS IAM e funções do AWS Lambda, além de oferecer descobertas detalhadas por meio dos consoles do AWS IAM, Amazon S3 e AWS Security Hub, e também por meio das APIs dele. Com o IAM Access Analyzer, você também pode visualizar descobertas e validar se as suas alterações de política estão concedendo apenas o acesso pretendido aos seus recursos. Ao visualizar descobertas, você pode impedir o acesso não intencional antes de implantar permissões.

Monitora e reduz permissões continuamente

O IAM Access Analyzer monitora e analisa continuamente políticas de recursos novas ou atualizadas para ajudar você a identificar permissões que concedem acesso público e entre contas. Por exemplo, quando uma política de bucket do Amazon S3 é alterada, o IAM Access Analyzer alertará você de que o bucket é acessível pelos usuários de fora da conta.

O IAM também fornece informações de registro de data e hora do último acesso sobre quando uma entidade do IAM, como uma função do IAM, usou um serviço ou uma ação pela última vez. Isso permite que você reduza as permissões removendo permissões não utilizadas e concedendo apenas o acesso necessário para executar uma tarefa.

Fornece os mais altos níveis de garantia de segurança

Para gerar descobertas abrangentes para recursos que podem ser acessados de fora de uma conta da AWS, o IAM Access Analyzer usa raciocínio automatizado, uma forma de inferência e lógica matemática. Chamamos esses resultados analíticos de segurança comprovável, um nível mais alto de segurança para a segurança da nuvem e na nuvem. Embora algumas ferramentas permitam testar cenários de acesso específicos, o IAM Access Analyzer usa matemática para analisar todas as solicitações de acesso possíveis e gerar descobertas para acesso externo. Isso permite que você verifique o acesso externo com confiança.

Como funciona: monitoramento do acesso externo aos recursos

Como o IAM Access Analyzer funciona

Raciocínio automatizado para análise de acesso externo

O raciocínio automatizado é uma área da ciência cognitiva que automatiza diferentes aspectos do raciocínio relacionado à matemática e à lógica formal. O AWS Automated Reasoning Group projeta algoritmos e cria código que pode raciocinar sobre recursos, configurações e infraestrutura da nuvem para fornecer rapidamente garantias sobre aspectos de seus comportamentos. No caso de políticas de recursos, a AWS as transforma em fórmulas lógicas precisas e, em seguida, usa raciocínios automatizados para resumir de forma abrangente quais recursos concedem acesso público ou entre contas. Saiba como ferramentas e métodos de raciocínio automatizados em Amazon Web Services fornecem um nível mais alto de garantia de segurança para a nuvem lendo "Raciocínio formal sobre AWS."

Saiba mais sobre os recursos do AWS IAM

Acesse a página de recursos
Pronto para criar?
Comece a usar o AWS IAM
Mais dúvidas?
Entre em contato conosco