跳至主要内容

AWS IAM 访问权限分析器

AWS IAM Access Analyzer 功能

概览

IAM Access Analyzer 通过提供设置、验证和细化权限的工具来指导您获得最低权限。作为全面的权限分析和策略验证工具,IAM Access Analyzer 提供访问调查发现、策略检查和策略生成。

IAM Access Analyzer 使用可验证的安全性来提供关于外部、内部和未使用访问的全面调查发现,并提供自定义策略检查。 可证明的安全性依赖自动推理技术,该技术会应用数学逻辑来帮助回答有关基础设施的关键问题,包括 AWS 权限。要了解 AWS 自动推理工具和方法如何为云提供更高级别的安全保障,请参阅什么是自动推理?或下载白皮书《Formal Reasoning About the Security of Amazon Web Services》

设置精细权限

全部打开

    IAM 访问分析器根据您的 A WS Cloud Trail 日志中捕获的访问活动生成精细的策略。这意味着在构建和运行应用程序后,您可以生成仅授予操作应用程序所需权限的 IAM policy。

    IAM Access Analyzer 指导您根据 IAM 最佳实践编写和验证安全和功能策略。例如,如果您的策略包含 Resource 元素中带有星号的 IAM:PassRole 权限,IAM Access Analyzer 会将其标记为安全警告。IAM Access Analyzer 包含四种策略验证调查发现类型:安全警告、错误、一般警告和针对您的策略的 IAM 最佳实践建议。调查发现提供可行的建议,帮助您制定实用且符合 AWS 最佳实践和安全标准的策略。

验证谁可以访问哪些内容

全部打开

    IAM Access Analyzer 可指导您验证现有外部访问权限是否符合您的意图。IAM 访问分析器使用自动推理工具来分析对您的 AWS 资源的所有外部访问,以提供可证明的安全保障。在您启动 IAM 访问分析器时,它会持续监控新的或更新的资源权限,以帮助您识别授予公有和跨账户访问的权限。例如,如果 A mazon S3 存储桶策略发生变化,IAM 访问分析器会提醒您该存储桶已可供账户外部的用户访问。使用相同的分析,IAM Access Analyzer 可以更轻松地在部署权限更改之前审核和验证公共访问权限和跨账户访问权限。

    IAM Access Analyzer 可识别 AWS 组织内哪些用户有权访问关键 AWS 资源。它通过自动推理来综合评估多个策略,并在用户或角色有权访问 S3、DynamoDB 或 RDS 资源时生成调查发现。这些调查发现会汇总在统一的控制面板中,从而简化访问审查和管理流程。您可以使用 Amazon EventBridge 自动将新的调查发现通知开发团队,以移除意外访问权限。内部访问分析结果为安全团队提供了关键资源访问控制的可见性,同时也帮助合规团队满足访问审计的合规要求。

    IAM Access Analyzer 会在部署之前验证 IAM policy 是否符合您的安全标准。自定义策略检查利用自动推理功能,帮助安全团队主动检测策略的不合规更新。例如,如果 IAM 策略比之前的版本更宽松,则系统会对其进行标记以进行进一步审查。安全团队可以使用这些检查来简化审查,自动批准符合其安全标准的策略,并在不符合安全标准时进行更深入的检查。安全和开发团队可以通过将自定义策略检查集成到开发人员编写策略的工具和环境(例如 CI/CD 管道)中来大规模自动化策略审查。

优化访问权限

全部打开

    IAM Access Analyzer 可简化对未使用访问权限的检查,以指导您获得最低权限。安全团队可以使用 IAM Access Analyzer 来查看其 AWS 组织中未使用的访问权限,并自动调整权限规模。IAM Access Analyzer 会持续分析您的账户以识别未使用的访问权限,并提供包含可操作指导的建议,以帮助您修复任何未使用的访问权限。它会将调查发现整合到一个集中的控制面板中,以便安全团队审查,并根据调查发现的数量确定账户的优先级。检查结果会突出显示未使用的角色、未使用的 IAM 用户访问密钥以及未使用的 IAM 用户密码。对于活跃的 IAM 角色和用户,借助检查结果,您可以了解未使用的服务和操作。安全团队可以自动执行通知工作流,以帮助开发团队识别和移除未使用的访问权限。

    IAM Access Analyzer 提供有关角色或用户最后一次通过其 IAM policy 使用 AWS 服务和特定 AWS 服务中的操作的时间的上次访问信息。这可以帮助您发现完善权限的机会。通过此信息,您可以将已授予角色或用户的权限与上次访问时的权限进行比较,以删除未使用的访问权限,并进一步优化您的权限。

集成

全部打开

    当 IAM 访问分析器与 AWS 安全中心云安全状态管理 (CSPM) 集成时,可以将外部和未使用的访问结果发送到 CSPM,并根据安全行业标准和最佳实践进行检查。这可以进一步分析您的安全模式,并帮助确定最高优先级的安全问题。Security Hub 可以在其对您的安全状况的分析中包括来自 IAM 访问分析器的调查发现。

    通过将 IAM 访问分析器与 A mazon EventBridge 集成,您可以提醒团队审查和删除其 AWS 账户中的过多权限,从而自动化和扩展权限细化。当生成、删除调查发现或其状态更改时,IAM Access Analyzer 会向 EventBridge 发送事件。要接收调查发现和有关调查发现的通知,您必须在 EventBridge 中启用并创建事件规则。