Tipi di informazioni sull'ultimo accesso per IAM Ultime informazioni di accesso per AWS Organizations Cose da sapere sulle ultime informazioni di accesso Autorizzazioni richieste Risoluzione dei problemi delle attività per le entità IAM e Organizations Dove AWS tiene traccia delle ultime informazioni a cui si accede

Perfezionamento delle autorizzazioni per AWS l'utilizzo delle informazioni dell'ultimo accesso

In qualità di amministratore, puoi concedere alle risorse IAM (utenti, ruoli, gruppi di utenti o policy) autorizzazioni aggiuntive rispetto a quelle indispensabili. IAM fornisce le informazioni sull'ultimo accesso per facilitare l'identificazione delle autorizzazioni inutilizzate in modo da poterle rimuovere. È possibile utilizzare le informazioni relative all'ultimo accesso per perfezionare le policy e consentire l'accesso solo ai servizi e alle operazioni utilizzati dalle identità IAM. In questo modo è più facile rispettare le best practice dei privilegi minimi. È possibile visualizzare le informazioni relative all'ultimo accesso per le identità o le policy esistenti in IAM o AWS Organizations.

È possibile monitorare continuamente le informazioni relative all'ultimo accesso con analizzatori degli accessi inutilizzati. Per ulteriori informazioni, consulta Risultati relativi agli accessi esterni e inutilizzati.

Argomenti

Tipi di informazioni sull'ultimo accesso per IAM

È possibile visualizzare due tipi di informazioni relative all'ultimo accesso per le identità IAM: informazioni sui servizi AWS consentiti e informazioni sulle operazioni consentite. Le informazioni includono la data e l'ora in cui è stato effettuato il tentativo di accedere a un' AWS API. Per le operazioni, le informazioni relative all'ultimo accesso riportano le operazioni di gestione del servizio. Le azioni di gestione includono le azioni di creazione, eliminazione e modifica. Per ulteriori informazioni su come visualizzare le informazioni sull'ultimo accesso per IAM, consulta Visualizzazione delle informazioni sull'ultimo accesso per IAM.

Per esempi di scenari di impiego delle informazioni relative all'ultimo accesso per prendere decisioni sulle autorizzazioni da concedere alle identità IAM, consulta la pagina Scenari di esempio per l'utilizzo delle ultime informazioni di accesso.

Per ulteriori informazioni su come vengono fornite le informazioni per le azioni di gestione, vedere Cose da sapere sulle ultime informazioni di accesso.

Ultime informazioni di accesso per AWS Organizations

Se accedi utilizzando le credenziali dell'account di gestione, puoi visualizzare le informazioni sull'ultimo accesso al servizio per un' AWS Organizations entità o una politica dell'organizzazione. AWS Organizations le entità includono la radice dell'organizzazione, le unità organizzative (OU) o gli account. Le informazioni relative all'ultimo accesso AWS Organizations includono informazioni sui servizi consentiti da una policy di controllo dei servizi (SCP). Le informazioni indicano quali principali (utente root, ruolo o utente IAM) di un'organizzazione o un account hanno tentato l'ultimo accesso al servizio e quando. Per ulteriori informazioni sul rapporto e su come visualizzare le informazioni relative all'ultimo accesso AWS Organizations, vedereVisualizzazione delle informazioni sull'ultimo accesso per Organizations.

Per esempi di scenari dell'utilizzo delle informazioni sull'ultimo accesso per prendere decisioni sulle autorizzazioni da concedere alle entità di Organizations, consulta Scenari di esempio per l'utilizzo delle ultime informazioni di accesso.

Cose da sapere sulle ultime informazioni di accesso

Prima di utilizzare le informazioni relative all'ultimo accesso presenti in un report per modificare le autorizzazioni per un'identità IAM o un'entità Organizations, esamina i seguenti dettagli sulle informazioni.

Periodo di monitoraggio: l'attività recente viene visualizzata nella console IAM entro quattro ore. Il periodo di monitoraggio per le informazioni sul servizio dura almeno 400 giorni, a seconda di quando il servizio ha avviato il monitoraggio delle informazioni sulle operazioni. Il periodo di monitoraggio delle informazioni sulle operazioni Amazon S3 è iniziato il 12 aprile 2020. Il periodo di monitoraggio per le operazioni di Amazon EC2, IAM e Lambda è iniziato il 7 aprile 2021. Il periodo di monitoraggio per tutti gli altri servizi è iniziato il 23 maggio 2023. Per un elenco dei servizi per i quali sono disponibili le informazioni relative all'ultimo accesso a un'operazione, consulta la pagina IAMazione: servizi e azioni di informazione a cui si è avuto accesso per ultimo. Per ulteriori informazioni sulle regioni per le quali sono disponibili le informazioni relative all'ultimo accesso a un'operazione, consulta la pagina Dove AWS tiene traccia delle ultime informazioni a cui si accede.
Tentativi segnalati: i dati dell'ultimo accesso al servizio includono tutti i tentativi di accesso a un' AWS API, non solo quelli riusciti. Ciò include tutti i tentativi effettuati utilizzando l' AWS Management Console AWS API tramite uno qualsiasi degli SDK o uno qualsiasi degli strumenti a riga di comando. Una voce non prevista nell'ultimo accesso ai dati del servizio non significa che l'account è stato compromesso, poiché la richiesta potrebbe essere stata rifiutata. Fai riferimento ai tuoi CloudTrail log come fonte autorevole per informazioni su tutte le chiamate API e sull'esito positivo o negativo dell'accesso.
PassRole— L'iam:PassRoleazione non viene tracciata e non è inclusa nelle informazioni relative all'ultimo accesso dell'azione IAM.
Informazioni sull'ultimo accesso all'operazione: le informazioni sull'ultimo accesso a un'operazione sono disponibili per le operazioni di gestione del servizio alle quali le identità IAM hanno eseguito l'accesso. Consulta l'elenco di servizi e delle relative operazioni per scoprire a quale operazione si riferiscono i report relativi all'ultimo accesso.

Nota
Le informazioni sull'ultima operazione alla quale è stato effettuato l'accesso non sono disponibili per gli eventi di dati di Amazon S3.
Eventi di gestione: IAM fornisce informazioni sulle azioni per gli eventi di gestione dei servizi registrati da. CloudTrail A volte, gli eventi di CloudTrail gestione vengono anche chiamati operazioni del piano di controllo o eventi del piano di controllo. Gli eventi di gestione forniscono visibilità sulle operazioni amministrative eseguite sulle risorse dell'azienda Account AWS. Per ulteriori informazioni sugli eventi di gestione in CloudTrail, vedere Registrazione degli eventi di gestione nella Guida per l'AWS CloudTrail utente.
Proprietario del report: solo il principale che genera un report può visualizzare i dettagli del report. Ciò significa che quando si visualizzano le informazioni contenute in AWS Management Console, potrebbe essere necessario attendere che vengano generate e caricate. Se utilizzi l' AWS API AWS CLI or per ottenere i dettagli del report, le tue credenziali devono corrispondere alle credenziali del responsabile che ha generato il rapporto. Se si utilizzano credenziali temporanee per un ruolo o un utente federato, è necessario generare e recuperare il report durante la stessa sessione. Per ulteriori informazioni sulle entità principal di sessione del ruolo assunto, consulta AWS Elementi della policy JSON: Principal.
Risorse IAM : le informazioni relative all'ultimo accesso per IAM includono le risorse IAM (ruoli, utenti, gruppi di utenti e policy) presenti nell'account. Le ultime informazioni a cui si accede per Organizations includono i principali (utenti IAM, ruoli IAM o i Utente root dell'account AWS) nell'entità Organizations specificata. Le informazioni relative all'ultimo accesso non includono i tentativi non autenticati.
Tipi di policy IAM: le informazioni relative all'ultimo accesso per IAM includono i servizi consentiti dalle policy di un'identità IAM. Si tratta delle policy collegate a un ruolo o a un utente direttamente o tramite un gruppo. L'accesso consentito da altri tipi di policy non è incluso nel report. I tipi di policy esclusi includono le policy basate sulle risorse, le liste di controllo accessi, le SCP di AWS Organizations , i limiti delle autorizzazioni IAM e le policy di sessione. Le autorizzazioni fornite dai ruoli collegati ai servizi sono definite dal servizio a cui sono collegati e non possono essere modificati in IAM. Per ulteriori informazioni sui ruoli collegati ai servizi, vedere Uso di ruoli collegati ai servizi. Per informazioni sulla valutazione dei diversi tipi di criteri per consentire o negare l'accesso, vedere Logica di valutazione delle policy.
Tipi di policy di Organizations: le informazioni per AWS Organizations includono solo servizi consentiti da una policy di controllo dei servizi (SCP) ereditata di un'entità Organizations. Le SCP sono policy collegate a una root, una UO o un account L'accesso consentito da altri tipi di policy non è incluso nel report. I tipi di policy esclusi includono le policy basate sulle risorse, le liste di controllo accessi, i limiti delle autorizzazioni IAM e le policy di sessione. Per ulteriori informazioni su come i diversi tipi di policy vengono valutati per consentire o negare l'accesso, consulta Logica di valutazione delle policy.
Specificazione di un ID di policy: quando si utilizza l' AWS API AWS CLI or per generare un report per le informazioni dell'ultimo accesso in Organizations, è possibile specificare facoltativamente un ID di policy. Il report risultante include i dati per i servizi consentiti solo da tale policy. Le informazioni includono l'attività più recente dell'account nell'entità Organizations specificata o nei relativi figli. Per ulteriori informazioni, consulta aws iam generate-organizations-access-report o. GenerateOrganizationsAccessReport
Account di gestione di Organizations: è necessario accedere all'account di gestione dell'organizzazione per visualizzare le informazioni sull'ultimo accesso al servizio. Puoi scegliere di visualizzare le informazioni per l'account di gestione utilizzando la console IAM AWS CLI, l'o l' AWS API. Il report risultante elenca tutti i AWS servizi, poiché l'account di gestione non è limitato dagli SCP. Se specifichi un ID policy nella CLI o nell'API, la policy viene ignorata. Per ogni servizio, il report include le informazioni solo per l'account di gestione. Tuttavia, i report per altre entità di Organizations non riportano i dati delle attività nell'account di gestione.
Impostazioni di Organizations: prima di poter generare i dati per Organizations, un amministratore deve abilitare le SCP nella tua root dell'organizzazione.

Autorizzazioni richieste

Per visualizzare le ultime informazioni a cui si accede in AWS Management Console, è necessario disporre di una politica che conceda le autorizzazioni necessarie.

Autorizzazioni per le informazioni IAM

Per utilizzare la console IAM per visualizzare le informazioni sull'ultimo accesso per un utente, ruolo o policy IAM, devi disporre di una policy che includa le seguenti operazioni:

iam:GenerateServiceLastAccessedDetails
iam:Get*
iam:List*

Queste autorizzazioni consentono a un utente di visualizzare ciò che segue:

Gli utenti, i gruppi o i ruoli collegati a una policy gestita
I servizi cui può accedere un utente o ruolo
L'ultima volta che ha effettuato l'accesso al servizio
L'ultima volta che hanno provato a utilizzare un'operazione Amazon EC2, IAM, Lambda o Amazon S3 specifica

Per utilizzare l' AWS API AWS CLI or per visualizzare le informazioni dell'ultimo accesso per IAM, devi disporre delle autorizzazioni corrispondenti all'operazione che desideri utilizzare:

iam:GenerateServiceLastAccessedDetails
iam:GetServiceLastAccessedDetails
iam:GetServiceLastAccessedDetailsWithEntities
iam:ListPoliciesGrantingServiceAccess

Questo esempio mostra come creare una policy basata sull'identità che consenta di visualizzare le informazioni sull'ultimo accesso a IAM. Inoltre, consente l'accesso in sola lettura a tutto IAM. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }

Autorizzazioni per le informazioni AWS Organizations

Per utilizzare la console IAM per visualizzare un report per la root, l'UO o le entità dell'account in Organizations, devi disporre di una policy che includa le seguenti operazioni:

iam:GenerateOrganizationsAccessReport
iam:GetOrganizationsAccessReport
organizations:DescribeAccount
organizations:DescribeOrganization
organizations:DescribeOrganizationalUnit
organizations:DescribePolicy
organizations:ListChildren
organizations:ListParents
organizations:ListPoliciesForTarget
organizations:ListRoots
organizations:ListTargetsForPolicy

Per utilizzare l' AWS API AWS CLI or per visualizzare le informazioni sull'ultimo accesso al servizio per Organizations, è necessario disporre di una politica che includa le seguenti azioni:

iam:GenerateOrganizationsAccessReport
iam:GetOrganizationsAccessReport
organizations:DescribePolicy
organizations:ListChildren
organizations:ListParents
organizations:ListPoliciesForTarget
organizations:ListRoots
organizations:ListTargetsForPolicy

Questo esempio mostra come creare una policy basata sull'identità che consenta di visualizzare le informazioni sull'ultimo accesso al servizio per Organizations. Inoltre, consente l'accesso in sola lettura a tutto Organizations. Questa policy definisce le autorizzazioni per l'accesso a livello di programmazione e alla console.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}

Puoi anche utilizzare la chiave iam: OrganizationsPolicyId condition per consentire la generazione di un report solo per una politica specifica di Organizations. Per un esempio di policy, consulta IAM: visualizzazione delle informazioni dell'ultimo accesso al servizio per una policy di Organizations.

Risoluzione dei problemi delle attività per le entità IAM e Organizations

In alcuni casi, l' AWS Management Console ultima tabella delle informazioni a cui si accede potrebbe essere vuota. O forse la tua richiesta AWS CLI o AWS l'API restituisce un set di informazioni vuoto o un campo nullo. In questi casi, verifica i problemi seguenti:

Per le informazioni sull'ultimo accesso, un'azione che si prevede di visualizzare potrebbe non essere restituita nell'elenco. Ciò può accadere perché l'identità IAM non dispone delle autorizzazioni per l'azione o AWS non tiene ancora traccia dell'azione per le ultime informazioni a cui si accede.
Per un utente IAM, assicurati che disponga di almeno una policy in linea o gestita collegata, direttamente o tramite le appartenenze ai gruppi.
Per un gruppo IAM, verifica che disponga di almeno una policy in linea o gestita collegata.
Per un gruppo IAM, il report restituisce solo i dati sull'ultimo accesso al servizio per i membri che hanno utilizzato le policy del gruppo per accedere a un servizio. Per scoprire se un membro ha utilizzato altre policy, esamina i dati sull'ultimo accesso al servizio per tale utente.
Per un ruolo IAM, verifica che disponga di almeno una policy in linea o gestita collegata.
Per un'entità IAM (utente o ruolo), esamina altri tipi di policy che potrebbero influenzare le autorizzazioni di tale entità. Questi includono policy basate sulle risorse, liste di controllo degli accessi, AWS Organizations policy, limiti di autorizzazione IAM o policy di sessione. Per ulteriori informazioni, consulta Tipi di policy o Valutazione delle policy in un singolo account.
Per una policy IAM, assicurati che la policy gestita specificata sia collegata ad almeno un utente, un gruppo con membri o un ruolo.
Per un'entità di Organizations (root, UO o account), assicurati di aver effettuato l'accesso utilizzando le credenziali dell'account di gestione di Organizations.
Verifica che le SCP sono abilitati nel root della tua organizzazione.
Le informazioni sull'ultimo accesso all'azione sono disponibili solo per alcune azioni elencate in IAMazione: servizi e azioni di informazione a cui si è avuto accesso per ultimo.

Quando apporti modifiche, le attività impiegano almeno quattro ore per comparire nel report della console IAM. Se utilizzi l' AWS API AWS CLI o, devi generare un nuovo rapporto per visualizzare le informazioni aggiornate.

Dove AWS tiene traccia delle ultime informazioni a cui si accede

AWS raccoglie le ultime informazioni a cui si accede per le AWS regioni standard. Quando si AWS aggiungono altre regioni, tali regioni vengono aggiunte alla tabella seguente, inclusa la data di AWS inizio del monitoraggio delle informazioni in ciascuna regione.

Informazioni sul servizio: il periodo di monitoraggio per i servizi dura almeno 400 giorni, o meno se la regione che ha avviato il monitoraggio di questa funzione negli ultimi 400 giorni.
Informazioni sulle operazioni: il periodo di monitoraggio delle operazioni di gestione Amazon S3 è iniziato il 12 aprile 2020. Il periodo di monitoraggio delle operazioni di gestione Amazon EC2, IAM e Lambda è iniziato il 7 aprile 2021. Il periodo di monitoraggio per le operazioni di gestione di tutti gli altri servizi è iniziato il 23 maggio 2023. Se la data di monitoraggio di una regione è successiva al 23 maggio 2023, le informazioni relative all'ultimo accesso all'operazione da quella regione inizieranno da una data successiva.

Nome Regione	Regione	Data di inizio monitoraggio
Stati Uniti orientali (Ohio)	us-east-2	27 ottobre 2017
US East (N. Virginia)	us-east-1	1 Ottobre 2015
US West (N. California)	us-west-1	1 Ottobre 2015
US West (Oregon)	us-west-2	1 Ottobre 2015
Africa (Cape Town)	af-south-1	22 aprile 2020
Asia Pacifico (Hong Kong)	ap-east-1	24 aprile 2019
Asia Pacific (Hyderabad)	ap-south-2	22 novembre 2022
Asia Pacifico (Giacarta)	ap-southeast-3	13 dicembre 2021
Asia Pacifico (Melbourne)	ap-southeast-4	23 gennaio 2023
Asia Pacific (Mumbai)	ap-south-1	27 giugno 2016
Asia Pacifico (Osaka-Locale)	ap-northeast-3	11 febbraio 2018
Asia Pacifico (Seul)	ap-northeast-2	6 gennaio 2016
Asia Pacific (Singapore)	ap-southeast-1	1 Ottobre 2015
Asia Pacific (Sydney)	ap-southeast-2	1 Ottobre 2015
Asia Pacifico (Tokyo)	ap-northeast-1	1 Ottobre 2015
Canada (Central)	ca-central-1	28 ottobre 2017
Europe (Frankfurt)	eu-central-1	1 Ottobre 2015
Europa (Irlanda)	eu-west-1	1 Ottobre 2015
Europe (London)	eu-west-2	28 ottobre 2017
Europa (Milano)	eu-south-1	28 aprile 2020
Europe (Paris)	eu-west-3	18 dicembre 2017
Europa (Spagna)	eu-south-2	15 novembre 2022
Europa (Stoccolma)	eu-north-1	12 dicembre 2018
Europa (Zurigo)	eu-central-2	8 novembre 2022
Israele (Tel Aviv)	il-central-1	1° agosto 2023
Medio Oriente (Bahrein)	me-south-1	29 luglio 2019
Medio Oriente (Emirati Arabi Uniti)	me-central-1	30 agosto 2022
Sud America (São Paulo)	sa-east-1	11 dicembre 2015
AWS GovCloud (Stati Uniti orientali)	us-gov-east-1	1 luglio 2023
AWS GovCloud (Stati Uniti occidentali)	us-gov-west-1	1 luglio 2023

Se una regione non è presente nella tabella precedente, significa che per tale regione non sono ancora disponibili i dati sull'ultimo accesso al servizio.

Una AWS regione è una raccolta di AWS risorse in un'area geografica. Le regioni sono raggruppate in partizioni. Le Regioni standard sono le Regioni che appartengono alla partizione aws. Per maggiori informazioni sulle diverse partizioni, consulta il formato Amazon Resource Names (ARN) in Riferimenti generali di AWS. Per ulteriori informazioni sulle regioni, vedere Informazioni sulle AWS regioni anche in Riferimenti generali di AWS.

Convenzioni dei documenti

Eliminazione di policy IAM

Visualizzazione delle informazioni di accesso a IAM