IAM membantu Anda menganalisis akses dan memandu Anda sepanjang perjalanan hak istimewa minimum Anda. Saat membangun di AWS, Anda perlu mengatur izin terperinci menggunakan kebijakan IAM. IAM Access Analyzer menyediakan lebih dari 100 pemeriksaan kebijakan yang membantu Anda secara proaktif memvalidasi kebijakan selam penulisan kebijakan. Pemeriksaan tersebut menganalisis kebijakan dan kesalahan laporan, peringatan, serta saran dengan rekomendasi yang dapat ditindaklanjuti untuk memandu Anda mengatur izin yang aman dan fungsional. Seperti pemeriksaan tata bahasa di alat pemrosesan kata favorit Anda, IAM Access Analyzer secara otomatis melakukan pemeriksaan kebijakan tersebut saat Anda menulis kebijakan menggunakan editor kebijakan di konsol IAM. Anda juga dapat memvalidasi kebijakan secara terprogram menggunakan API Access Analyzer. IAM Access Analyzer juga memungkinkan Anda memvalidasi akses publik dan lintas akun ke sumber daya sebelum men-deploy perubahan izin. Anda dapat mempratinjau akses di konsol Amazon S3 atau dengan API IAM Access Analyzer.

Seraya Anda melanjutkan perjalanan dengan hak istimewa minimum, IAM Access Analyzer membantu Anda meninjau akses yang ada, memungkinkan Anda mengidentifikasi dan menghapus izin eksternal yang tidak diinginkan atau tidak digunakan. Untuk memungkinkan Anda mengidentifikasi sumber daya dengan akses lintas akun, IAM Access Analyzer menggunakan penalaran otomatis guna menghasilkan temuan komprehensif bagi sumber daya yang dapat diakses dari luar akun AWS. Untuk analisis ini, IAM Access Analyzer terus memantau kebijakan baru atau yang diperbarui dan menganalisis izin yang diberikan untuk bucket Amazon S3, kunci AWS KMS, antrean Amazon SQS, AWS IAM role, fungsi AWS Lambda, dan rahasia AWS Secrets Manager. Untuk membantu Anda menghapus izin yang tidak digunakan, IAM menyediakan informasi yang terakhir diakses untuk menentukan kapan entitas IAM terakhir menggunakan layanan atau tindakan. Ini membantu mengurangi akses dengan memungkinkan Anda mengidentifikasi dan menghapus izin yang tidak digunakan dengan mudah. Untuk membantu mengatur pembatas izin, Anda juga dapat menganalisis kapan terakhir kali layanan diakses oleh entitas di organisasi AWS seperti unit organisasional (OU) atau akun. Untuk mempelajari lebih lanjut tentang cara menggunakan data “terakhir diakses” guna memutuskan tentang izin yang diberikan kepada IAM atau entitas Organisasi Anda, lihat Contoh Skenario untuk Menggunakan Data Layanan Terakhir Diakses. Fitur IAM Access Analyzer tersedia di konsol IAM tanpa biaya tambahan dan melalui API IAM Access Analyzer.

Keuntungan

Penulisan kebijakan terpandu

IAM Access Analyzer melakukan pemeriksaan kebijakan yang memandu Anda untuk mengatur izin yang aman dan fungsional. Pemeriksaan tersebut menganalisis kebijakan dan kesalahan laporan, peringatan, serta saran dengan rekomendasi yang dapat ditindaklanjuti untuk membantu Anda memvalidasi kebijakan. Seperti pemeriksaan tata bahasa di alat pemrosesan kata favorit Anda, IAM Access Analyzer secara otomatis melakukan pemeriksaan tersebut saat Anda menulis kebijakan menggunakan editor kebijakan di konsol IAM. Anda juga dapat memvalidasi kebijakan secara terprogram menggunakan API IAM Access Analyzer.

Analisis komprehensif untuk akses publik dan lintas akun

IAM Access Analyzer menganalisis kebijakan untuk membantu Anda mengidentifikasi dan menyelesaikan akses publik yang tidak diinginkan atau lintas akun ke sumber daya. IAM Access Analyzer menggunakan logika dan inferensi matematika guna menghasilkan temuan komprehensif untuk sumber daya yang dapat diakses dari luar akun AWS. Temuan tersebut membantu Anda mengidentifikasi sumber daya dengan akses publik atau lintas akun yang mungkin tidak sengaja Anda berikan. IAM Access Analyzer mengevaluasi izin yang diberikan dengan menggunakan kebijakan untuk bucket Amazon S3, kunci AWS KMS, antrean Amazon SQS, AWS IAM role, fungsi AWS Lambda, serta memberikan temuan terperinci melalui AWS IAM, Amazon S3, dan konsol AWS Security Hub juga melalui API-nya. Dengan IAM Access Analyzer, Anda juga dapat melihat pratinjau temuan dan memvalidasi apakah perubahan kebijakan hanya memberikan akses yang dimaksud ke sumber daya Anda. Dengan melihat pratinjau temuan, Anda dapat mencegah akses tak sengaja sebelum Anda men-deploy izin.

Terus memantau dan mengurangi izin

IAM Access Analyzer terus memantau dan menganalisis kebijakan sumber daya baru atau yang diperbarui untuk membantu Anda mengidentifikasi izin yang memberikan akses publik atau lintas akun. Misalnya, ketika kebijakan bucket Amazon S3 berubah, IAM Access Analyzer akan memperingatkan Anda bahwa bucket dapat diakses oleh pengguna dari luar akun.

IAM juga memberikan informasi waktu terakhir diakses tentang kapan entitas IAM, seperti IAM role, terakhir menggunakan layanan atau tindakan. Ini memungkinkan Anda mengurangi izin dengan menghapus izin yang tidak digunakan dan hanya memberikan akses yang diperlukan untuk melakukan tugas.

Memberikan jaminan keamanan tingkat tertinggi

Untuk menghasilkan temuan komprehensif bagi sumber daya yang dapat diakses dari luar akun AWS, IAM Access Analyzer menggunakan penalaran otomatis, sebuah bentuk logika dan inferensi matematika. Kami menyebut hasil analitik ini keamanan yang dapat dibuktikan, tingkat kepastian lebih tinggi untuk keamanan cloud dan di cloudMeski beberapa alat memungkinkan Anda menguji skenario akses tertentu, IAM Access Analyzer menggunakan matematika untuk menganalisis semua permintaan akses yang mungkin dan menghasilkan temuan bagi akses eksternal. Ini memungkinkan Anda memverifikasi akses eksternal dengan penuh keyakinan.

Cara kerja - memantau akses eksternal ke sumber daya

Cara kerja IAM Access Analyzer

Penalaran otomatis untuk analisis akses eksternal

Penalaran otomatis adalah bidang ilmu kognitif yang mengotomatisasi berbagai aspek penalaran yang berkaitan dengan matematika dan logika formal. AWS Automated Reasoning Group merancang algoritme dan membangun kode yang dapat memberi alasan tentang sumber daya cloud, konfigurasi, dan infrastruktur untuk dengan cepat memberikan jaminan tentang aspek perilakunya. Dalam hal kebijakan sumber daya, AWS mengubahnya menjadi formula logis yang tepat, dan kemudian menggunakan penalar otomatis untuk merangkum sumber daya mana saja yang memberikan akses publik atau lintas-akun. Pelajari bagaimana alat dan metode penalaran otomatis di Amazon Web Services memberikan jaminan tingkat keamanan lebih tinggi untuk cloud dengan membaca "Penalaran Formal Tentang AWS."

Pelajari selengkapnya tentang fitur AWS IAM

Kunjungi halaman fitur
Siap membangun?
Memulai dengan AWS IAM
Ada pertanyaan lagi?
Hubungi kami