IAM 访问权限分析器在 AWS GovCloud(美国)区域支持更多调查发现和检查
AWS Identity and Access Manager(IAM)访问权限分析器现已支持在 AWS GovCloud(美国东部和美国西部)区域支持以下功能:未使用的访问权限调查发现、内部访问权限调查发现和自定义策略检查,以帮助引导您实现最低权限目标。
IAM 访问权限分析器会持续分析您的账户以识别未使用的访问权限,并显示调查发现,以突出显示未使用的角色、未使用的 IAM 用户访问密钥和未使用的 IAM 用户密码。对于活跃的 IAM 角色和用户,调查发现可以让人们了解未使用的服务和操作。借助内部访问权限调查发现,您可以确定您的 AWS 组织中有哪些人员可以访问您的 Amazon S3、Amazon DynamoDB 或 Amazon Relational Database Service(RDS)资源。该功能通过自动推理技术,分析所有身份策略、资源策略、服务控制策略 (SCP) 和资源控制策略 (RCP),识别出所有可访问您选定关键资源的 IAM 用户和角色。在 IAM 控制台中启用新的分析器后,更新后的控制面板会突出显示调查发现项最多的 AWS 账户和资源,并按类型提供分析结果明细。安全团队可以通过两种方式响应新发现的问题:一是立即采取措施修复意外访问问题,二是通过 Amazon EventBridge 设置自动通知机制,通知开发团队及时处理。
自定义策略检查还利用自动推理功能,帮助安全团队主动检测策略的不合规更新。例如,IAM 策略更改比之前的版本更为宽松。安全团队可以使用这些检查来简化审查,自动批准符合其安全标准的策略,并在不符合安全标准时进行更深入的检查。
要了解有关 IAM 访问分析器的更多信息: