Esiti di errore relativi agli accessi esterni Esiti di errore relativi agli accessi interni Risoluzione degli esiti di errore

Esiti di errore di Sistema di analisi degli accessi IAM

Quando Strumento di analisi degli accessi IAM analizza le risorse, solitamente genera degli esiti che mostrano chi ha accesso alle tue risorse. Tuttavia, in alcuni casi, l'analizzatore potrebbe riscontrare dei problemi che gli impediscono di completare l'analisi. In questi casi, Sistema di analisi degli accessi IAM genera invece esiti di errore.

Gli esiti di errore indicano che Strumento di analisi degli accessi IAM non è riuscito a completare l'analisi per una risorsa specifica o per una specifica coppia principale-risorsa. Questi esiti aiutano a identificare le risorse che potrebbero richiedere attenzione per garantire un'analisi corretta.

Esiti di errore relativi agli accessi esterni

Gli analizzatori degli accessi esterni, che identificano le risorse condivise all'esterno dell'account o dell'organizzazione, possono generare due tipi di esiti di errore:

INTERNAL_ERROR: indica che Strumento di analisi degli accessi IAM ha riscontrato un problema interno durante l'analisi della risorsa. Questo potrebbe essere dovuto a limitazioni dei servizi o a problemi temporanei.


{
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR",
	"createdAt": "2022-07-14T01:31:43.085000+00:00",
	"resourceType": "AWS::IAM::Role",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
}

ACCESS_DENIED: indica che Strumento di analisi degli accessi IAM non dispone delle autorizzazioni necessarie per analizzare la risorsa. Questo accade in genere quando al ruolo collegato ai servizi (SLR) per Sistema di analisi degli accessi IAM viene negato l'accesso alla risorsa.


{
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
	"status": "ACTIVE",
	"error": "ACCESS_DENIED",
	"createdAt": "2022-07-14T01:31:43.104000+00:00",
	"resourceType": "AWS::KMS::Key",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
}

Esiti di errore relativi agli accessi interni

Gli analizzatori degli accessi interni, che identificano l'accesso all'interno dell'account o dell'organizzazione, possono generare quattro tipi di esiti di errore:

PRINCIPAL_LIMIT_EXCEEDED: viene generato quando più di 3.000 principali hanno accesso a una risorsa critica. Questo errore consente di identificare le risorse con un accesso troppo ampio che potrebbe essere necessario limitare.

Se si apportano modifiche alla risorsa o ai principali dell'ambiente che portano il numero di principali al di sotto del limite, l'analizzatore genererà esiti normali durante la scansione successiva e l'esito di errore verrà contrassegnato come risolto.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Errori a livello di risorsa (INTERNAL_ERROR o ACCESS_DENIED): simili agli errori di accesso esterno, indicano che l'analizzatore non è riuscito ad analizzare una risorsa specifica a causa di problemi interni o problemi di autorizzazione. Quando si verifica un errore a livello di risorsa, l'analizzatore genera un singolo esito di errore per la risorsa anziché gli esiti normali.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Errori a livello di principale (INTERNAL_ERROR o ACCESS_DENIED): indica che l'analizzatore non è riuscito ad analizzare l'accesso di un principale specifico a una risorsa specifica. A differenza degli errori a livello di risorsa, una risorsa può avere esiti normali per alcuni principali ed esiti di errore per altri principali.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess", 
	"findingDetails": [
		{
			"internalAccessDetails": {
				"principal": {
					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
				},
				"principalOwnerAccount": "111122223333",
				"principalType": "IAM_ROLE",
				"accessType": "INTRA_ACCOUNT"
			}
		}
	]
}

PRINCIPAL_ERRORS_LIMIT_EXCEEDED: viene generato quando vengono rilevati troppi errori a livello di principale per una singola risorsa. Si tratta di un esito di errore a livello di risorsa che può comparire insieme agli esiti normali della medesima risorsa.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Risoluzione degli esiti di errore

Se risolvi il problema che ha impedito a Sistema di analisi degli accessi IAM di analizzare la risorsa, il risultato dell'errore verrà rimosso completamente invece di passare a un risultato risolto.

Per risolvere gli esiti di errore, considera i seguenti approcci in base al tipo di errore:

Per gli errori ACCESS_DENIED, verifica che il ruolo collegato ai servizi di Strumento di analisi degli accessi IAM disponga delle autorizzazioni necessarie per accedere alla risorsa.
Per gli errori PRINCIPAL_LIMIT_EXCEEDED, esamina le policy di accesso della risorsa e valuta la possibilità di limitare l'accesso a un numero inferiore di principali.
Per gli esiti INTERNAL_ERROR, potrebbe essere necessario attendere un ciclo di analisi successivo o contattare il supporto AWS se il problema persiste.
Per PRINCIPAL_ERRORS_LIMIT_EXCEEDED, rivedi e potenzialmente semplifica i modelli di accesso per la risorsa interessata.

Dopo aver apportato modifiche per risolvere i problemi sottostanti, Strumento di analisi degli accessi IAM tenterà di analizzare nuovamente le risorse durante il ciclo di scansione successivo.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Risolvere i risultati

Tipi di risorse supportati