As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá. # `AWSSupport-TroubleshootIAMAccessDeniedEvents` **Descrição** **O** runbook de AWSSupport-TroubleshootIAMAccessDeniedEvents automação ajuda a solucionar problemas de acesso negado AWS Identity and Access Management (IAM). O runbook consulta eventos recentes CloudTrail de acesso negado relacionados à entidade IAM e à fonte de eventos de AWS serviço especificadas. Ele analisa eventos em uma janela de tempo configurável de até 24 horas, processando até 10 eventos por execução. Cada evento de acesso negado identificado é examinado para ajudar a entender o contexto da negação e das ações tentadas. A automação analisa as políticas de IAM baseadas em identidade e em recursos. Para políticas baseadas em identidade, ele examina as políticas em linha e gerenciadas anexadas à entidade do IAM. Para políticas baseadas em recursos, ele avalia políticas em vários serviços, AWS incluindo Amazon Simple Storage Service (Amazon S3), ( AWS Key Management Service )AWS KMS, Amazon Simple Notification Service ( AWS Lambda Amazon SNS), Amazon Elastic Container Registry (Amazon ECR), Amazon API Gateway, Amazon Elastic File System ( CodeArtifactAmazon EFS), Amazon Simple Amazon Queue Service (Amazon SQS), Amazon Service, Signer e. AWS Cloud9 OpenSearch AWS AWS Serverless Application Repository AWS Secrets Manager O runbook utiliza recursos de simulação de políticas do IAM para avaliar essas políticas em relação às ações negadas encontradas nos CloudTrail eventos. O runbook aproveita os recursos de simulação de políticas do IAM, tanto [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)para usuários do IAM quanto [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)para funções do IAM, para avaliar essas políticas em relação às ações negadas encontradas nos CloudTrail eventos. A automação gera um relatório que ajuda a identificar as ações específicas que foram negadas, diferenciando entre negações implícitas e explícitas, listando as políticas responsáveis pelas negações de acesso e fornecendo explicações para cada negação. O relatório também sugere possíveis resoluções, como identificar declarações de permissão ausentes ou declarações de negação conflitantes **Como funciona?** O runbook executa as seguintes etapas: + Descreve e valida `RequesterARN` (função ou usuário) para obter informações como tipo de entidade do IAM e ID do IAM. + Busca CloudTrail eventos associados ao`RequesterARN`,`EventSource`, e `ResourceARN` se fornecidos. + Analisa os CloudTrail eventos para obter a ação que foi executada quando o erro Access Denied foi retornado e, em seguida, examina todas as políticas do IAM, como políticas embutidas e gerenciadas anexadas à entidade do IAM, bem como políticas baseadas em recursos. Em seguida, ele simula essas políticas em relação às ações encontradas nos erros de acesso negado dos CloudTrail eventos em questão para determinar a causa do erro. + Produz um relatório determinando o tipo de erro de Acesso Negado, as políticas responsáveis pelos erros e fornece sugestões para uma possível solução para o erro. [Executar esta automação (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootIAMAccessDeniedEvents) **Tipo de documento** Automação **Proprietário** Amazon **Plataformas** / **Permissões obrigatórias do IAM** O parâmetro `AutomationAssumeRole` requer as seguintes ações para usar o runbook com êxito. + `apigateway:GetRestApis` + `cloudtrail:LookupEvents` + `cloud9:GetEnvironment` + `codeartifact:GetRepositoryPermissionsPolicy` + `ecr:GetRepositoryPolicy` + `elasticfilesystem:GetFileSystemPolicy` + `es:DescribeDomain` + `iam:GetPolicy` + `iam:GetPolicyVersion` + `iam:GetRole` + `iam:GetRolePolicy` + `iam:GetUser` + `iam:GetUserPolicy` + `iam:ListAttachedRolePolicies` + `iam:ListAttachedUserPolicies` + `iam:ListRolePolicies` + `iam:ListUserPolicies` + `iam:SimulatePrincipalPolicy` + `iam:SimulateCustomPolicy` + `kms:GetKeyPolicy` + `lambda:GetPolicy` + `secretsmanager:GetResourcePolicy` + `serverlessrepo:GetApplication` + `signer:GetSigningProfile` + `sns:GetTopicAttributes` + `ssm:StartAutomationExecution` + `ssm:StopAutomationExecution` + `sqs:GetQueueAttributes` + `s3:GetBucketPolicy` Exemplo de política: ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "iam:GetUser", "iam:GetRole", "iam:SimulatePrincipalPolicy", "iam:ListUserPolicies", "iam:ListRolePolicies", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:GetUserPolicy", "iam:GetPolicyVersion", "iam:ListAttachedUserPolicies", "ssm:StartAutomationExecution", "ssm:StopAutomationExecution", "cloudtrail:LookupEvents", "iam:SimulateCustomPolicy" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "s3:GetBucketPolicy", "kms:GetKeyPolicy", "lambda:GetPolicy", "sns:GetTopicAttributes", "ecr:GetRepositoryPolicy", "apigateway:GET", "codeartifact:GetRepositoryPermissionsPolicy", "elasticfilesystem:DescribeFileSystemPolicy", "sqs:GetQueueAttributes", "cloud9:DescribeEnvironmentStatus", "es:DescribeDomain", "signer:GetSigningProfile", "serverlessrepo:GetApplication", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Effect": "Allow" } ] } ``` ------ **Instruções** Siga estas etapas para configurar a automação: 1. Navegue até [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootIAMAccessDeniedEvents/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootIAMAccessDeniedEvents/description)em Systems Manager em Documentos. 1. Selecione **Execute automation (Executar automação)**. 1. Para os parâmetros de entrada, insira o seguinte: + **AutomationAssumeRole (Opcional):** + Descrição: (Opcional) O Amazon Resource Name (ARN) da função AWS Identity and Access Management (IAM) que permite que o SSM Automation execute as ações em seu nome. A função precisa ser adicionada à sua entrada de acesso ao cluster Amazon EKS ou à permissão RBAC para permitir chamadas de API do Kubernetes. + Tipo: `AWS::IAM::Role::Arn` + **RequestERARN (obrigatório):** + Descrição: (Obrigatório) O ARN do usuário ou função do IAM para o qual você deseja investigar as permissões de acesso em um recurso específico AWS . + Tipo: `String` + Padrão de permissão: `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$` + **ResourceArn (opcional):** + Descrição: (Opcional) O ARN do recurso para AWS o qual o acesso negado é avaliado. O recurso de AWS destino deve existir na mesma região em que o runbook de automação é executado. + Tipo: `String` + Padrão de permissão: `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):([a-zA-Z0-9\\-]{1,63}):([a-z0-9\\-]{0,63})?:(\\d{12})?:([a-zA-Z0-9\\-_/:.]{1,1024})$` + **EventSource (Obrigatório):** + Descrição: (Obrigatório) O endpoint da API da Amazon de onde o CloudTrail evento se originou. Por exemplo: `s3.amazonaws.com`. + Tipo: `String` + Padrão de permissão: `^([a-zA-Z0-9.-]+)\\.amazonaws\\.com$` + **EventName (Opcional):** + Descrição: (Opcional) O nome da ação da Amazon API associada ao CloudTrail evento. Por exemplo: `s3:CreateBucket`. + Tipo: `String` + Padrão de permissão: `^$|^[a-z0-9]+:[A-Za-z0-9]+$` + **LookBackHours (Opcional):** + Descrição: (Opcional) O número de horas para analisar os CloudTrail eventos ao pesquisar `Access Denied` eventos. Intervalo válido: `1` até `24` horas. + Tipo: inteiro + Padrão de permissão: `^([1-9]|1[0-9]|2[0-4])$` + Padrão: 12 + **MaxEvents (Opcional):** + Descrição: (Opcional) O número máximo de CloudTrail `Access Denied` eventos retornados ao pesquisar eventos. Intervalo válido: `1` até `5` eventos. + Tipo: inteiro + Padrão de permissão: `^([1-9]|1[0-9]|2[0-4])$` + Padrão: 3 + **UseContextEntries (Opcional):** + Descrição: (Opcional) Se você especificar`true`, a automação extrairá detalhes sobre o contexto da solicitação de API do CloudTrail evento e os incluirá na simulação da política do IAM. + Tipo: booliano + Padrão de permissão: `^([1-9]|1[0-9]|2[0-4])$` + Padrão: 3 1. Selecione **Executar**. 1. A automação é iniciada. 1. O bucket realiza as seguintes etapas: + **ValidateRequesterArn** Valida e desconstrói o `RequesterArn` ARN, recuperando informações sobre o usuário ou a função de destino do IAM. + **GetCloudTrailEvents****WithAccessDeniedError** Consulta os CloudTrail `Access Denied` eventos recentes relacionados à entidade e ao AWS serviço `EventSource` do IAM especificados. + **Avalie IAMRequester as políticas** Avalia as permissões do IAM da entidade IAM solicitante em relação às ações dos CloudTrail eventos. Essa avaliação inclui a análise de políticas baseadas em identidade e baseadas em recursos associadas ao solicitante. A automação utiliza os recursos de simulação de políticas do IAM para avaliar essas políticas no contexto das ações negadas identificadas nos CloudTrail eventos. 1. Depois de concluído, revise a seção **Saídas** para obter os resultados detalhados da execução: + **PermissionEvaluationResults** Produz um relatório que ajuda a identificar as ações específicas que foram negadas, diferenciando entre negações implícitas e explícitas. Ele também lista as políticas responsáveis pelas negações de acesso e fornece explicações para cada negação. O relatório também sugere possíveis resoluções, como identificar declarações de permissão ausentes ou declarações de negação conflitantes **Referências** Automação do Systems Manager + [Execute esta automação (console)](https://console.aws.amazon.com/systems-manager/documents/TroubleshootIAMAccessDeniedEvents/description) + [Executar uma automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Configurar a automação](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Página inicial dos fluxos de trabalho de automação](https://aws.amazon.com/premiumsupport/technology/saw/)