AWS Identity and Access Management (IAM) membantu Anda mengontrol akses dan izin ke layanan AWS dan sumber daya Anda, seperti komputasi instans dan bucket penyimpanan. Dengan menggunakan kebijakan sumber daya, misalnya, IAM memungkinkan pelanggan mengontrol ketat siapa yang dapat mengakses sumber daya tertentu dan bagaimana pengguna dapat menggunakannya.

Dengan cloud, sumber daya yang dibutuhkan dapat diolah dengan cepat, menerapkan ribuan server dalam hitungan menit. Jadi, alangkah penting untuk dapat dengan cepat melihat kebijakan sumber daya dan mengidentifikasi sumber daya dengan akses publik atau lintas-akun yang mungkin tidak Anda maksudkan. IAM Access Analyzer menghasilkan temuan komprehensif yang mengidentifikasi sumber daya yang dapat diakses dari luar akun AWS. IAM Access Analyzer melakukannya dengan mengevaluasi kebijakan sumber daya dengan logika dan inferensi matematika untuk menentukan jalur akses yang diizinkan oleh kebijakan. IAM Access Analyzer terus memantau kebijakan baru atau yang diperbarui, dan menganalisis izin yang diberikan dengan menggunakan kebijakan untuk bucket Amazon S3, kunci AWS KMS, antrian Amazon SQS, peran IAM AWS, dan fungsi AWS Lambda.

Sebagai praktik terbaik keamanan, penting juga untuk melihat bagaimana sebenarnya izin digunakan dari waktu ke waktu, sehingga Anda dapat menghapus izin yang tidak perlu, sesuai dengan prinsip hak istimewa minimum. IAM memberikan Anda data “layanan terakhir diakses”, yang merupakan stempel waktu kapan kebijakan atau entitas IAM, seperti pengguna atau peran, terakhir menggunakan layanan. Ini memungkinkan Anda dengan mudah mengidentifikasi izin yang tidak digunakan dan meningkatkan postur keamanan Anda dengan menghapus izin yang tidak perlu bagi pengguna, grup, atau peran untuk menjalanan tugas tertentu. Dari akun induk AWS Organizations, Anda juga dapat melihat kapan terakhir kali layanan diakses oleh root organisasi, unit organisasi (OU), dan akun organisasi. Untuk mempelajari lebih lanjut tentang cara menggunakan data “layanan terakhir diakses” guna memutuskan tentang izin yang diberikan kepada IAM atau entitas Organisasi Anda, lihat Contoh Skenario untuk Menggunakan Data Layanan Terakhir Diakses.

Keuntungan

Menghemat waktu menganalisis kebijakan sumber daya untuk aksesibilitas publik atau lintas-akun

Dibandingkan dengan teknik heuristik atau pencocokan pola yang bisa memakan waktu berhari-hari atau berminggu-minggu, IAM Access Analyzer menggunakan logika dan inferensi matematis untuk secara drastis mengurangi waktu untuk menghasilkan temuan komprehensif tentang sumber daya yang dapat diakses dari luar akun AWS. IAM Access Analyzer mengevaluasi izin yang diberikan dengan menggunakan kebijakan untuk bucket Amazon S3, kunci AWS KMS, antrian Amazon SQS, peran IAM AWS, dan fungsi AWS Lambda. IAM Access Analyzer menghasilkan temuan detail melalui konsol-konsol AWS IAM, Amazon S3, dan AWS Security Hub dan juga melalui API-nya.

Terus memantau dan membantu Anda menyempurnakan izin

IAM Access Analyzer terus memantau dan menganalisis setiap kebijakan sumber daya baru atau yang diperbarui untuk membantu Anda memahami potensi implikasi keamanan. Misalnya, ketika kebijakan bucket Amazon S3 berubah, IAM akan memperingatkan Anda bahwa bucket dapat diakses oleh pengguna dari luar akun.

Selain IAM Access Analyzer, IAM juga memberi Anda data stempel waktu “layanan terakhir diakses” tentang kapan kebijakan atau entitas IAM terakhir menggunakan layanan, sehingga Anda dapat dengan mudah mengidentifikasi dan menghapus izin yang tidak digunakan untuk meningkatkan postur keamanan dengan hanya memberikan izin yang diperlukan untuk menjalankan tugas tertentu.

Memberikan jaminan tingkat keamanan tertinggi

IAM Access Analyzer menggunakan penalaran otomatis, suatu bentuk logika dan inferensi matematis, untuk menentukan semua jalur akses yang diizinkan oleh kebijakan sumber daya. Kami menyebut hasil analitik ini keamanan yang dapat dibuktikan, tingkat kepastian lebih tinggi untuk keamanan cloud dan di cloud.

Meski beberapa alat memungkinkan Anda menguji skenario akses tertentu, IAM Access Analyzer dapat menggunakan matematika untuk menganalisis semua kemungkinan permintaan akses yang meningkatkan keyakinan Anda bahwa kebijakan Anda hanya memungkinkan akses yang Anda maksudkan.

Cara kerja

Cara kerja AWS IAM Access Analyzer

Penalaran otomatis untuk analisis kebijakan

Penalaran otomatis adalah bidang ilmu kognitif yang mengotomatisasi berbagai aspek penalaran yang berkaitan dengan matematika dan logika formal. AWS Automated Reasoning Group merancang algoritme dan membangun kode yang dapat memberi alasan tentang sumber daya cloud, konfigurasi, dan infrastruktur untuk dengan cepat memberikan jaminan tentang aspek perilakunya. Dalam hal kebijakan sumber daya, AWS mengubahnya menjadi formula logis yang tepat, dan kemudian menggunakan penalar otomatis untuk merangkum sumber daya mana saja yang memberikan akses publik atau lintas-akun. Pelajari bagaimana alat dan metode penalaran otomatis di Amazon Web Services memberikan jaminan tingkat keamanan lebih tinggi untuk cloud dengan membaca "Penalaran Formal Tentang AWS."

Pelajari selengkapnya tentang fitur AWS IAM

Kunjungi halaman fitur
Siap membangun?
Memulai dengan AWS IAM
Ada pertanyaan lagi?
Hubungi kami