Como usar o simulador de políticas do IAM e o analisador de acesso da AWS para testar as funções do IAM

Essas duas ferramentas incorporadas ao Console de Gerenciamento do IAM são muito úteis ao realizar revisões de segurança, permitindo testar suas políticas do IAM, acesso específico ao usuário e acesso entre contas e até mesmo enviar problemas de aviso. >

Revisões regulares de segurança são importantes

Se você tem muitos funcionários e usa usuários do IAM para contas de funcionários, deve fazer análises regulares de segurança para garantir que suas políticas sejam mantidas sob controle. Como os usuários podem ter várias políticas anexadas à sua conta, é possível diminuir e acidentalmente conceder ao usuário mais permissões do que ele precisa. Sem análises de segurança, esse usuário continuará a ter permissões elevadas até que alguém perceba.

O problema é exacerbado com várias contas. É bastante comum que grandes empresas usem as Organizações da AWS para separar suas contas em ambientes de desenvolvimento, teste, preparo e produção. Isso mantém tudo separado e permite que o ambiente de desenvolvimento tenha mais permissões relaxadas.

A configuração do acesso entre contas é fácil; por exemplo, você pode conceder a um usuário no ambiente de desenvolvimento acesso a determinados recursos no ambiente de teste. Você quer ter certeza de que o ambiente de produção está mais bloqueado e não permite o acesso a contas externas que não precisam dele. E, é claro, se você estiver trabalhando com outra empresa, poderá conceder a eles acesso federado a alguns de seus recursos. Você quer ter certeza de que isso está configurado corretamente ou pode se tornar um problema de segurança.

O simulador de políticas testa o acesso por conta

O Policy Simulator é bastante simples em conceito. Você seleciona uma conta e ela assume as permissões dessa conta e simula solicitações de API para testar a quais recursos essa conta tem acesso.

Acesse o IAM Management Console para testá-lo. Selecione um usuário, grupo ou função na barra lateral esquerda e selecione um serviço para testar.

Você pode testar chamadas de API individuais diretamente, selecionando uma ação específica, mas é muito mais útil simplesmente "Selecionar todas". e teste todas as ações possíveis automaticamente. Isso pode detectar erros nos quais, por exemplo, você concedeu a um usuário acesso de gravação a um bucket (com a intenção de conceder permissão de upload), mas perdeu o fato de que a permissão de gravação também fornece permissão de exclusão.

Se você clicar em uma ação, será mostrado qual política e regra do IAM dá ao usuário acesso a esse recurso. Você pode editar e criar novas políticas do IAM diretamente aqui, tornando-o um tipo de IDE para o IAM. Realmente, isso é tudo o que o Simulador de políticas do IAM faz, mas é útil o suficiente para que não precise ser super chamativo.

O Access Analyzer identifica problemas com o acesso entre contas

O Access Analyzer é uma nova adição ao pacote IAM que pode detectar automaticamente problemas nas configurações do IAM, principalmente quando se trata de permitir recursos fora do seu círculo de confiança. Se, por exemplo, você tiver uma chave KMS no ambiente de produção que possa ser acessada por alguém no ambiente de desenvolvimento, o Access Analyzer detectará isso e enviará um aviso.

É totalmente gratuito e é executado em segundo plano na sua conta da AWS, verificando de vez em quando e avisando sobre problemas. Não há razão para não habilitá-lo.

Vá para a guia Access Analyzer do IAM Management Console e clique em "“ Create Analyzer." ”

Ele deve ser executado automaticamente uma vez criado e, se tudo estiver bom, você não verá mais nada, apenas uma lista vazia de descobertas. Se encontrar alguma coisa, você será notificado e aparecerá na lista de descobertas.

A partir daqui, você poderá marcar se a descoberta se destina a ser acessada ou não.

Se estiver desencadeando muitos falsos positivos, você poderá configurar um filtro em "Regras de arquivamento". ”

Via: How to Geek