实现最小权限是一个连续的循环,会随着您需求的发展授予正确的精细权限。AWS Identity and Access Management (IAM) 访问分析器可帮助您在整个周期的每个步骤中简化权限管理。

显示设置、验证和优化的映像

您的最小权限之旅:设置、验证和优化

设置精细权限

使用 IAM 访问分析器的策略生成会根据在您的日志中捕获的访问活动,生成精细策略。这意味着在构建和运行应用程序后,您可以生成仅授予操作应用程序所需权限的策略。

使用访问分析器的策略验证可指导您通过 100 多项策略检查来制定和验证安全和功能性策略。您可以在创建新策略或验证现有策略时,使用这些检查。

验证预期权限

使用访问分析器的公有和跨账户结果可指导您验证现有访问是否符合您的意图。访问分析器使用可证明的安全性来分析所有访问路径,并提供对资源外部访问的全面分析。在您启动访问分析器时,它会持续监控新的或更新的资源策略,以帮助您识别授予公有和跨账户访问的权限。例如,如果 Amazon S3 存储桶策略发生更改,访问分析器会提醒您该存储桶可由用户从账户外部访问。

使用相同的分析,访问分析器可以更轻松地在部署权限更改之前审核和验证公有访问权限和跨账户访问权限。

通过删除未使用的访问权限来优化权限

上次访问的信息提供有关上次是何时使用 AWS 服务的数据,这有助于您识别加强权限的机会。通过此信息,您可以将已授予的权限与上次访问时的权限进行比较,以删除未使用的访问权限,并进一步优化您的权限。

您还可以为您的 IAM 角色和访问密钥使用上次使用的时间戳,以删除不再需要的 IAM 实体。

公有和跨账户分析的可证明安全性

访问分析器会使用可证明安全性,以提供对您的资源的公有和跨账户访问权限的全面调查结果。可证明安全性依赖自动推理技术,该技术会应用数学逻辑来帮助回答有关基础设施的关键问题,包括 AWS 权限。要了解自动化 AWS 推理工具和方法如何为云提供更高级别的安全保证,请查看关于 Amazon Web Services 安全的形式推理

观看这些视频以了解有关访问分析器的更多信息

将访问分析器与 Amazon S3 存储桶结合使用 (8:06)
在部署权限更改前预览访问权限 (9:10)
使用访问分析器策略验证来设置安全和功能性策略 (2:59)

了解 IAM 功能的更多信息

访问功能页面
准备好开始构建了吗?
开始使用 IAM
还有更多问题?
联系我们