View a markdown version of this page

Generazione di raccomandazioni politiche per i risultati di accesso non utilizzati - AWS Security Hub
Come funzionano le raccomandazioni politicheChi può generare consigliCiclo di vita dei consigliCasi di erroreUtilizzo della consoleGuida di riferimento alle API

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Generazione di raccomandazioni politiche per i risultati di accesso non utilizzati

Per quanto riguarda i risultati delle autorizzazioni non utilizzate, Security Hub può generare raccomandazioni sulla politica dei privilegi minimi che mostrano una politica sostitutiva mirata. La raccomandazione valuta ogni policy associata al principale IAM e genera una politica sostitutiva che conserva solo le autorizzazioni effettivamente utilizzate dal principale. Questa funzionalità viene fornita a tutti i clienti Security Hub senza costi aggiuntivi.

Come funzionano le raccomandazioni politiche

La generazione di raccomandazioni politiche è un'operazione asincrona. Per generare e recuperare una raccomandazione:

  1. Recupera le autorizzazioni non utilizzate trovate da Security Hub utilizzando l'GetFindingsV2operazione API. Annota il metadata.uid campo del risultato.

  2. Chiama GenerateRecommendedPolicyV2 con i risultatimetadata.uid. Ciò avvia la generazione dei consigli, che in genere viene completata entro 20 secondi.

  3. Fai un sondaggio GetRecommendedPolicyV2 con lo stesso metadata.uid fino alla restituzione del status campo. SUCCEEDED

  4. La risposta contiene uno o più passaggi di raccomandazione. Ogni passaggio specifica una recommendedAction delle due opzioni CREATE_POLICY (creare e allegare una politica sostitutiva con un ambito ristretto) o DETACH_POLICY (scollegare la politica originale con privilegi eccessivi). Per quanto riguarda CREATE_POLICY i passaggi, la risposta include sia il JSON che il existingPolicy JSON in modo da poterli confrontare. recommendedPolicy

È necessario chiamare GenerateRecommendedPolicyV2 prima di chiamare GetRecommendedPolicyV2 se in precedenza non è stata generata una raccomandazione per tale risultato.

Chi può generare consigli

Sia il proprietario dell'account che gli amministratori delegati possono richiamare queste operazioni API:

  • I proprietari degli account possono generare e visualizzare consigli sui risultati delle autorizzazioni non utilizzate nel proprio account.

  • Gli amministratori delegati possono generare e visualizzare consigli sui risultati relativi alle autorizzazioni non utilizzate di qualsiasi account membro all'interno della propria organizzazione.

Se non sei un amministratore delegato e il risultato appartiene a un altro account, l'operazione API restituisce un errore. AccessDeniedException

Ciclo di vita dei consigli

  • I consigli vengono memorizzati nella cache per 90 giorni e rimangono disponibili finché il risultato è attivo (non chiuso). Tuttavia, una chiamata GenerateRecommendedPolicyV2 ripetuta invaliderà la cache e avvierà un nuovo processo che sostituirà la politica memorizzata nella cache. Si consiglia di chiamare GenerateRecommendedPolicyV2 solo una volta per ricerca.

  • La raccomandazione segue uno schema di distacco e attacco. Non modifica le politiche IAM esistenti. Rivedi la policy consigliata e la applichi manualmente nella console IAM o tramite l'API IAM.

  • Se il problema viene risolto (ad esempio, perché ora vengono utilizzate le autorizzazioni precedentemente inutilizzate), il consiglio non è più disponibile.

Casi di errore

Le operazioni API restituiscono errori nelle seguenti situazioni:

  • Il problema è stato risolto — InvalidInputException (HTTP 400).

  • Il risultato non è un risultato di autorizzazioni inutilizzate — InvalidInputException (HTTP 400).

  • Il principale IAM è stato creato tramite il set di autorizzazioni IAM Identity Center. Le politiche per i principali dei set di autorizzazioni non possono essere modificate direttamente. La raccomandazione restituisce uno FAILED stato con una spiegazione.

  • Il chiamante non è un amministratore delegato e il risultato appartiene a un altro account AccessDeniedException (HTTP 403).

  • Non è stato ancora generato alcun consiglio e si chiama GetRecommendedPolicyV2 senza prima chiamare GenerateRecommendedPolicyV2ResourceNotFoundException (HTTP 404).

Utilizzo della console

Nella console Security Hub, puoi generare una raccomandazione politica visualizzando una ricerca di autorizzazioni non utilizzate e selezionando la scheda Riparazione. La console visualizza uno spinner di caricamento durante la creazione del consiglio. Quando il consiglio è pronto, puoi scegliere Anteprima per visualizzare un confronto tra la tua politica attuale e la soluzione sostitutiva consigliata con il privilegio minimo. Puoi copiare la politica consigliata in formato JSON.

Guida di riferimento alle API

  • GenerateRecommendedPolicyV2— Avvia la generazione asincrona di una raccomandazione sulla politica dei privilegi minimi per una ricerca di autorizzazioni non utilizzate. Prende metadata.uid i risultati come input. Restituisce HTTP 200 con un corpo vuoto in caso di successo.

  • GetRecommendedPolicyV2— Recupera la raccomandazione politica generata. Prende i risultati metadata.uid come input. Supporta l'impaginazione con maxResults (1—100) e parametri. nextToken Restituisce lo stato del consiglio (IN_PROGRESSSUCCEEDED,, oFAILED), i passaggi dei consigli, l'ARN della risorsa ed eventuali errori.

Per una documentazione dettagliata sull'API, consulta il riferimento all'API Security Hub.