IAM 可帮助您分析访问权限并在您的最小权限之旅中为您提供指导。当您在 AWS 上构建时,您需要使用 IAM 策略设置精细权限。IAM 访问分析器提供超过 100 个策略检查,可帮助您在策略编写期间主动验证策略。这些检查将分析您的策略并报告错误、警告和建议,并提供指导您设置安全和功能权限的可行建议。就像在常用的文字处理器上执行语法检查一样,当您在 IAM 控制台中使用策略编辑器编写策略时,IAM 访问分析器会自动执行这些策略检查。您还可以使用访问分析器 API 以编程方式验证您的策略。IAM 访问分析器还可使您在部署权限更改之前验证对资源的公有访问权限和跨账户访问权限。您可以在 Amazon S3 控制台中或使用 IAM 访问分析器 API 预览访问权限。

当您继续您的最低权限之旅时,IAM 访问分析器可以帮助您检查现有的访问,从而使您能够识别和删除意外的外部权限或未使用权限。为了使您能够识别具有公有或跨账户访问权限的资源,IAM 访问分析器使用 Automated Reasoning 为可以从 AWS 账户外部访问的资源生成全面的结果。在此分析中,IAM 访问分析器持续监控新资源策略或更新资源策略,并分析针对 Amazon S3 存储桶、AWS KMS 密钥、Amazon SQS 队列、AWS IAM 角色、AWS Lambda 函数和 AWS Secrets Manager 授予的权限。为了帮助您删除未使用的权限,IAM 提供最后一次访问的信息,以指定 IAM 实体最后一次使用服务或操作的时间。这可以帮助您轻松识别和删除未使用的权限,从而减少访问。为了帮助您设置权限护栏,您还可以分析您的 AWS 组织中的实体(如组织单位 (OU) 或账户)上一次访问服务的时间。要了解有关如何使用“上次访问”的数据来完成授予 IAM 或组织实体权限的决策过程的更多信息,请参阅使用服务上次访问的数据的示例场景。IAM 访问分析器功能可在 IAM 控制台中免费使用,并可通过 IAM 访问分析器 API 提供。

优势

策略编写指导

IAM 访问分析器执行策略检查,以指导您设置安全权限和功能权限。这些检查将分析您的策略并报告错误、警告和建议,并提供帮助您验证策略的可行建议。就像在常用的文字处理器上执行语法检查一样,当您在 IAM 控制台中使用策略编辑器编写策略时,IAM 访问分析器会自动执行这些检查。您还可以使用 IAM 访问分析器 API 以编程方式验证您的策略。

公有和跨账户访问的全面分析

IAM 访问分析器分析策略以帮助您识别和解决对资源的意外公有或跨账户访问。IAM 访问分析器使用数学逻辑和推理为可从 AWS 账户外部访问的资源生成全面结果。这些结果可以帮助您确定您可能不打算使用的公有或跨账户访问资源。IAM 访问分析器使用针对您的 Amazon S3 存储桶、AWS KMS 密钥、Amazon SQS 队列、AWS IAM 角色和 AWS Lambda 函数的策略评估授予的权限和 AWS Secrets Manager 的策略评估授予的权限,并通过 AWS IAM、Amazon S3 和 AWS Security Hub 控制台以及其 API 提供详细的结果。借助 IAM 访问分析器,您还可以预览结果并验证您的策略更改是否仅授权对资源的预期访问。通过预览结果,您可以在部署权限之前防止意外访问。

持续监控并减少权限

IAM 访问分析器持续监控和分析新的或更新的资源策略,以帮助您识别授予公有和跨账户访问的权限。例如,当 Amazon S3 存储桶策略更改时,IAM 访问分析器会提醒您该存储桶可由用户从账户外部访问。

IAM 还为您提供最近一次访问的时间戳信息,说明 IAM 实体(如 IAM 角色)最近一次使用服务或操作的时间。这使您能够通过删除未使用的权限和只授予执行任务所需的访问权限来减少权限。

提供最高级别的安全保证

IAM 访问分析器使用一种数学逻辑和推理形式 Automated Reasoning 为可从 AWS 账户外部访问的资源生成全面结果。我们将这些分析结果称为可证明的安全性,即对云和云中安全性的更高级别的保证。 虽然有些工具可让您测试特定的访问场景,但 IAM 访问分析器使用数学分析所有可能的访问请求并为外部访问生成结果。这使您能够自信地验证外部访问。

工作原理 - 监控对资源的外部访问

IAM 访问分析器如何工作

外部访问分析的自动推理

自动推理是认知科学的一个领域,它使与数学和形式逻辑有关的推理的不同方面实现自动化。AWS 自动推理小组设计算法并构建可对云资源、配置和基础设施进行推理的代码,以快速提供有关其行为各个方面的保证。对于资源策略,AWS 将其转换为精确的逻辑公式,然后使用自动推理器全面总结哪些资源授予公共或跨账户访问权限。阅读“关于 AWS 的形式推理”,了解Amazon Web Services 中的自动化推理工具和方法如何为云提供更高级别的安全保证。

了解 AWS IAM 功能的更多信息

访问功能页面
是否已做好构建准备?
AWS IAM 入门
还有更多问题?
联系我们