发布于: Mar 16, 2021
AWS Identity and Access Management (IAM) Access Analyzer 通过分析资源策略来提供可证明的安全性,并帮助您识别意外的公共访问或跨账户访问,从而更轻松地实现最低权限。最近的更新可使您在部署权限更改之前验证公有访问权限和跨账户访问权限。现在,我们正在扩展 IAM Access Analyzer 中的策略验证,增加了 100 多项带有可行性建议的策略检查。这些检查使用静态分析帮助您在策略编写期间主动验证权限策略,以设置安全的功能性权限。这些检查包括功能验证(就像开发人员可能期望从 linter 中得到的那样),而且还包括评估访问权限授予的最佳实践。这些检查分析您的策略,并根据其影响报告安全警告、错误、一般警告和建议。它们提供可行性建议,指导您设置安全的功能性权限。例如,当您的策略授予将任意角色传递给任何服务的访问权限时,由于此权限过度宽松,IAM Access Analyzer 将报告安全警告。安全警告包括缩小权限范围,仅传递特定角色的建议。
就像在常用的文字处理器上执行语法检查一样,当您在 IAM 控制台中使用 JSON 策略编辑器编写身份策略时,IAM Access Analyzer 会自动执行这些策略检查。您还可以使用 Access Analyzer ValidatePolicy API 以编程方式验证其他策略,如服务控制策略和资源策略。