AWS Identity and Access Management (IAM) 可帮助您控制对 AWS 服务和资源(例如计算实例和存储桶)的访问和权限。例如,通过使用资源策略,IAM 允许客户精细地控制谁可以访问特定资源以及他们的使用方式。

利用云,您可以根据需要快速启动资源,在几分钟内部署数千台服务器。因此,能够快速查看资源策略并识别您可能不希望以公共或跨账户方式访问的资源变得尤为重要。IAM 访问分析器会生成可从 AWS 账户外部访问资源的全面鉴别结果。IAM 访问分析器通过使用数学逻辑和推论评估资源策略以确定策略允许的可能访问路径,最终实现这一目标。IAM 访问分析器持续监视新策略或更新策略,并分析使用针对您的 Amazon S3 存储桶、AWS KMS 密钥、Amazon SQS 队列、AWS IAM 角色和 AWS Lambda 函数的策略授予的权限。

作为安全性最佳实践,查看权限在一段时间内的实际使用情况也很重要,这使您可以根据最低权限原则删除不必要的权限。IAM 为您提供“上次访问”的数据,该数据是 IAM 策略或实体(例如用户或角色)最后一次使用服务或来自受支持服务的操作的时间戳。这使您可以轻松地识别未使用的权限,并通过删除用户、组或角色执行特定任务不需要的权限来改善安全状况。从 AWS Organizations 主账户中,您还可以查看组织根、组织单位 (OU) 和账户上次访问服务的时间。要了解有关如何使用“上次访问”的数据来完成授予 IAM 或组织实体权限的决策过程的更多信息,请参阅使用服务上次访问的数据的示例场景

优势

节省分析资源策略以获得公共或跨账户访问性的时间

与可能花费数天或数周的启发式或模式匹配技术相比,IAM 访问分析器使用数学逻辑和推理来大幅缩短可从 AWS 账户外部访问之资源的全面分析结果的生成时间。IAM 访问分析器使用针对您的 Amazon S3 存储桶、AWS KMS 密钥、Amazon SQS 队列、AWS IAM 角色和 AWS Lambda 函数的策略评估授予的权限。IAM 访问分析器通过 AWS IAM、Amazon S3 和 AWS Security Hub 控制台及其 API 提供详细的分析结果。

持续监控并帮助您完善权限

IAM 访问分析器不断监视和分析任何新的或更新的资源策略,以帮助您了解潜在的安全隐患。例如,当 Amazon S3 存储桶策略更改时,IAM 会提醒您该存储桶可由用户从账户外部访问。

IAM 还为您提供有关 IAM 策略或实体上次使用服务时间的“上次访问”的时间戳数据,因此您能轻松地识别和删除不使用的权限,通过仅授予执行特定任务所需的权限改善安全状况。

提供最高级别的安全保证

IAM 访问分析器使用自动推理(一种数学逻辑和推理形式)来确认资源策略允许的所有可能的访问路径。我们将这些分析结果称为可证明的安全性,即对云和云中安全性的更高级别的保证。

尽管某些工具可让您测试特定的访问场景,但IAM 访问分析器能够使用数学方法分析所有可能的访问请求,从而增强您对策略仅启用了您想要的访问权限的信心。

工作原理

IAM 访问分析器如何工作

以自动推理方式进行策略分析

自动推理是认知科学的一个领域,它使与数学和形式逻辑有关的推理的不同方面实现自动化。AWS 自动推理小组设计算法并构建可对云资源、配置和基础设施进行推理的代码,以快速提供有关其行为各个方面的保证。对于资源策略,AWS 将其转换为精确的逻辑公式,然后使用自动推理器全面总结哪些资源授予公共或跨账户访问权限。阅读“关于 AWS 的形式推理”,了解Amazon Web Services 中的自动化推理工具和方法如何为云提供更高级别的安全保证。

了解 AWS IAM 功能的更多信息

访问功能页面
是否已做好构建准备?
AWS IAM 入门
还有更多问题?
联系我们