Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
# Comprendere i risultati degli accessi non utilizzati in Security Hub
Security Hub utilizza IAM Access Analyzer per identificare le autorizzazioni, i ruoli, le chiavi di accesso e le password IAM non utilizzati nel tuo account. Questi risultati ti aiutano a implementare le best practice di sicurezza dell'accesso con privilegi minimi, evidenziando i principi e le autorizzazioni IAM che non vengono utilizzati attivamente. Questa funzionalità viene fornita a tutti i clienti Security Hub senza costi aggiuntivi.
## Come funziona l'analisi degli accessi non utilizzati
Quando abiliti Security Hub, il servizio crea automaticamente un IAM Access Analyzer collegato al servizio nel tuo account. Questo analizzatore valuta tutti i principali IAM (ruoli e utenti) rispetto ai dati di AWS CloudTrail attività per determinare quali principi e autorizzazioni non sono stati utilizzati entro un periodo di lookback di 90 giorni. Il periodo di lookback non è configurabile.
IAM Access Analyzer rivaluta tutti i risultati attivi ogni 24 ore. Quando un principio o un'autorizzazione precedentemente inutilizzati diventano attivi, il risultato corrispondente viene risolto automaticamente.
L'analizzatore di accessi non utilizzato viene eseguito negli Stati Uniti orientali (Virginia settentrionale) perché IAM è un servizio globale. Security Hub replica i risultati in tutte le regioni in cui è stato abilitato Security Hub. Non è necessario abilitare Security Hub negli Stati Uniti orientali (Virginia settentrionale) per l'esecuzione dell'analizzatore.
## Tipi di ricerca degli accessi non utilizzati
Security Hub genera quattro tipi di risultati di accesso non utilizzati:
| Tipo di risultato | Description | Risorsa valutata |
| --- | --- | --- |
| Ruolo ID non utilizzato | Un ruolo IAM che non è stato assunto entro il periodo di riferimento di 90 giorni. | Ruolo IAM |
| UnusedIAMUserAccessKey | Una chiave di accesso utente IAM che non è stata utilizzata per firmare le richieste API entro il periodo di lookback di 90 giorni. | Utente IAM |
| UnusedIAMUserPassword | Una password utente IAM che non è stata utilizzata per l'accesso alla console entro il periodo di lookback di 90 giorni. | Utente IAM |
| UnusedPermission | Azioni IAM specifiche concesse a un ruolo o a un utente ma che non sono state richiamate entro il periodo di lookback di 90 giorni. | Ruolo IAM o utente IAM |
## Service-linked analizzatore
L'IAM Access Analyzer creato da Security Hub è un analizzatore collegato ai servizi. Puoi visualizzarlo nella console IAM Access Analyzer, ma non puoi modificarlo o eliminarlo mentre Security Hub è abilitato.
Quando si disabilita Security Hub in tutte le regioni, l'analizzatore collegato al servizio viene automaticamente eliminato. Se l'eliminazione automatica fallisce, puoi eliminare l'analizzatore chiamando l'operazione API IAM Access Analyzer. `DeleteServiceLinkedAnalyzer` Questa operazione riesce solo dopo che Security Hub è stato completamente disabilitato per il tuo account.
L'analizzatore collegato ai servizi è separato da qualsiasi analizzatore gestito dal cliente che potresti aver creato indipendentemente in IAM Access Analyzer. La creazione o l'eliminazione di analizzatori gestiti dal cliente non influisce sull'analizzatore collegato al servizio e viceversa.
## Visualizzazione dei risultati di accesso non utilizzati
I risultati degli accessi non utilizzati vengono visualizzati nella console di Security Hub insieme ad altri risultati di Security Hub. È possibile filtrare i risultati per tipo per visualizzare solo i risultati di accesso non utilizzati. I risultati degli accessi non utilizzati sono formattati nell'Open Cybersecurity Schema Framework (OCSF), lo stesso formato utilizzato da tutti i risultati di Security Hub.
Per UnusedPermission quanto riguarda i risultati, se rimuovi alcune autorizzazioni non utilizzate dalla politica eccessivamente permissiva, ma non tutte, Security Hub chiuderà la ricerca esistente e ne creerà una nuova per la politica rivista se è ancora eccessivamente permissiva.
I risultati sugli accessi non utilizzati sono accessibili anche dalla console IAM Access Analyzer. I risultati degli accessi non utilizzati nella console IAM Access Analyzer sono di sola lettura e sono visibili solo nella regione Stati Uniti orientali (Virginia settentrionale).
## Accesso non utilizzato ai risultati dell'esposizione
Le informazioni di accesso non utilizzate possono apparire come caratteristiche contestuali nei risultati di esposizione di Security Hub. Quando un ruolo IAM collegato a una risorsa dispone di autorizzazioni non utilizzate, i risultati relativi all'esposizione includono tali autorizzazioni come contesto supplementare. Questo ti aiuta a comprendere il potenziale raggio di diffusione di una vulnerabilità: una risorsa con un ruolo IAM troppo privilegiato presenta un rischio maggiore rispetto a una con autorizzazioni con privilegi minimi.
I seguenti tipi di risorse possono mostrare caratteristiche contestuali di accesso non utilizzate nei risultati di esposizione:
+ Istanze Amazon Elastic Compute Cloud
+ AWS Lambda funzioni
+ Servizi Amazon Elastic Container Service
+ Cluster Amazon Elastic Kubernetes Service
+ Utenti IAM (direttamente)
Per ulteriori informazioni sui risultati dell'esposizione, vedere[Esiti relativi alle esposizioni in Security Hub](exposure-findings.md).
## Raccomandazioni politiche per le autorizzazioni non utilizzate
Per UnusedPermission quanto riguarda i risultati, Security Hub può generare raccomandazioni sulla politica dei privilegi minimi. Questi consigli mostrano una politica sostitutiva dettagliata che conserva solo le autorizzazioni effettivamente utilizzate dal principale. Per ulteriori informazioni, consulta [Generazione di raccomandazioni politiche per i risultati di accesso non utilizzati](unused-access-recommendations.md).
## Prezzi
L'IAM Access Analyzer collegato al servizio viene fornito a tutti i clienti Security Hub senza costi aggiuntivi. Non ti verranno addebitati separatamente i costi dell'analizzatore o dei risultati di accesso non utilizzati.