Obter o privilégio mínimo é um ciclo contínuo para conceder as permissões detalhadas corretas à medida que seus requisitos evoluem. O AWS Identity and Access Management (IAM) Access Analyzer ajuda a simplificar o gerenciamento de permissões em cada etapa do ciclo.

Imagem mostrando definir, verificar e refinar

Sua jornada para privilégios mínimos: definir, verificar e refinar

Defina permissões refinadas

A geração de políticas com o IAM Access Analyzer gera uma política refinada com base na atividade de acesso capturada em seus logs. Isso significa que, depois de criar e executar uma aplicação, você pode gerar políticas que concedem apenas as permissões necessárias para operar a aplicação.

A validação de política com o IAM Access Analyzer orienta você a criar e validar políticas seguras e funcionais com mais de 100 verificações de políticas. Você pode usar essas verificações ao criar novas políticas ou para validar as políticas existentes.

Verifique as permissões previstas

As descobertas públicas e entre contas com o IAM Access Analyzer orientam você a verificar se o acesso existente atende aos seus objetivos. O IAM Access Analyzer usa segurança comprovável para analisar todos os caminhos de acesso e fornecer uma análise abrangente de acesso externo aos seus recursos. Quando você ativa o IAM Access Analyzer, ele monitora continuamente as permissões de recursos novos ou atualizados para ajudar você a identificar as permissões que concedem acesso público e entre contas. Por exemplo, quando uma política de bucket do Simple Storage Service (Amazon S3) for alterada, o IAM Access Analyzer alertará você de que o bucket é acessível por usuários de fora da conta.

Usando essa mesma análise, o IAM Access Analyzer torna mais fácil revisar e validar o acesso público e entre contas antes de implantar alterações de permissões.

Refine as permissões removendo o acesso não utilizado

As informações do último acesso fornecem dados sobre quando os produtos da AWS foram usados pela última vez, o que ajuda a identificar oportunidades para restringir suas permissões. Com essas informações, você pode comparar as permissões que foram concedidas quando essas permissões foram acessadas pela última vez para remover o acesso não utilizado e refinar ainda mais suas permissões.

Você também pode usar carimbos de data e hora usados pela última vez para suas funções do IAM e chaves de acesso para remover entidades do IAM que não são mais necessárias.

Segurança comprovável para análise pública e entre contas

O IAM Access Analyzer usa segurança comprovável para fornecer descobertas abrangentes para acesso público e entre contas aos recursos. A segurança comprovável depende da tecnologia de raciocínio automatizado, que é a aplicação de lógica matemática para ajudar a responder a perguntas críticas sobre a infraestrutura, incluindo permissões da AWS. Para saber como as ferramentas e métodos de raciocínio automatizado da AWS fornecem um nível mais alto de garantia de segurança para a nuvem, consulte Formal Reasoning About the Security of Amazon Web Services (Raciocínio formal sobre a segurança da Amazon Web Services).

Assista a estes vídeos para saber mais sobre o IAM Access Analyzer

A least-privilege journey: IAM policies and IAM Access Analyzer (Uma jornada de privilégios mínimos: políticas do IAM e IAM Access Analyzer) (55:59)
Using IAM Access Analyzer with Amazon S3 Buckets (Usar o IAM Access Analyzer com buckets do Simple Storage Service [Amazon S3]) (8:06)
Use Access Analyzer policy validation to set secure and functional policies (Use a validação de políticas do Access Analyzer para estabelecer políticas seguras e funcionais) (2:59)

Saiba mais sobre os recursos do IAM

Acesse a página de recursos
Pronto para desenvolver?
Comece com IAM
Tem mais perguntas?
Entre em contato conosco