发布于: Dec 2, 2019
AWS Identity and Access Management (IAM) 访问分析器是一项新功能,让安全团队和管理员能够轻松确保其策略仅提供对资源的预期访问。通过资源策略,客户可以精细地控制谁可以访问特定资源以及如何在整个云环境中使用该资源。只需单击 IAM 控制台,客户就可以在其账户中启用 IAM 访问分析器,以持续分析使用与 Amazon S3 存储桶、AWS KMS 密钥、Amazon SQS 队列、AWS IAM 角色和 AWS Lambda 函数关联的策略授予的权限。
IAM 访问分析器持续监控策略的更改,这意味着客户不再需要依赖间歇性手动检查,以便在添加或更新策略时发现问题。使用 IAM 访问分析器,客户可以主动解决任何违反其有关资源共享的安全和管理最佳实践的资源策略,并保护其资源免遭意外访问。IAM 访问分析器通过 AWS IAM、Amazon S3 和 AWS Security Hub 控制台及其 API 提供全面的详细分析结果。也可以将结果导出为报告以供审计。IAM 访问分析器结果提供了明确的答案,说明谁可以从账户外部对 AWS 资源进行公开和跨账户访问。
IAM 访问分析器使用一种称为自动推理的数学分析形式,它应用逻辑和数学推理来确定资源策略允许的所有可能的访问路径。这意味着 IAM 访问分析器可以在几秒钟内评估客户环境中的数百甚至数千个策略,并提供有关可从账户外部访问的资源的全面结果。我们称之为可证明安全性。
此次发布后,IAM 访问分析器可在 IAM 控制台中免费使用,并可通过 API 在所有商业 AWS 区域中使用。还可以通过 AWS GovCloud(美国)区域的 API 使用 IAM 访问分析器。
要了解有关 IAM 访问分析器的更多信息,请参阅功能页面。