Lo Strumento di analisi degli accessi AWS Identity and Access Management (IAM) dirige verso il privilegio minimo fornendo strumenti per impostare, verificare e perfezionare le autorizzazioni. Lo Strumento di analisi degli accessi IAM fornisce gli esiti dell’analisi degli accessi, nonché controlli e generazione di policy.

Quando abiliti lo Strumento di analisi degli accessi IAM, crei un analizzatore che controlla regolarmente gli account o l’organizzazione AWS per individuare accessi esterni e non utilizzati. Lo Strumento di analisi genera esiti di accesso per ruoli IAM, utenti IAM e risorse AWS. È possibile abilitare due tipi di analizzatori, ovvero quello degli accessi esterni e quello degli accessi non utilizzati:

• L’analizzatore degli accessi esterni genera esiti degli accessi pubblici e multi-account per le risorse AWS. Questo strumento viene fornito senza costi aggiuntivi.
• L’analizzatore degli accessi non utilizzati ispeziona questo tipo di accessi per dirigere verso il privilegio minimo. Si tratta di una funzionalità a pagamento. Per ogni analizzatore degli accessi non utilizzati abilitato, i prezzi sono calcolati per ruolo IAM oppure per utente IAM al mese. Poiché i ruoli e gli utenti IAM sono globali, è necessario abilitare un solo analizzatore in tutte le Regioni di una partizione.

I costi relativi all’analizzatore degli accessi non utilizzati vengono addebitati una volta durante la configurazione e successivamente con cadenza mensile il primo giorno del mese.

Lo Strumento di analisi degli accessi IAM offre inoltre due tipi di controlli delle policy:

• La convalida della policy tramite lo Strumento di analisi degli accessi IAM aiuta a creare e convalidare policy sicure e funzionali basate sulle best practice IAM. Questo strumento viene fornito senza costi aggiuntivi.
• I controlli delle policy personalizzate eseguiti dallo Strumento di analisi degli accessi IAM convalidano, prima dell’implementazione, la conformità delle policy create dagli sviluppatori agli standard di sicurezza specificati. Si tratta di una funzionalità a pagamento. I controlli delle policy personalizzate fanno ricorso al ragionamento automatico, una garanzia di sicurezza dimostrabile supportata da prove matematiche, per consentire ai team addetti alla sicurezza di rilevare in modo proattivo gli aggiornamenti alle policy non conformi. I controlli delle policy personalizzate vengono addebitati in base al numero di controlli eseguiti tramite le chiamate alle API dello Strumento di analisi degli accessi IAM.

La generazione di policy con lo Strumento di analisi degli accessi IAM crea policy granulari sull’attività di accesso acquisita nei log. Questo strumento viene fornito senza costi aggiuntivi.