Publicado: Mar 16, 2021
O AWS Identity and Access Management (IAM) Access Analyzer facilita a implementação das permissões com privilégio mínimo, analisando as políticas de recursos para promover segurança comprovada e ajudar a identificar acessos públicos ou entre contas não intencionais. Uma atualização recente permite validar o acesso público e entre contas antes da implantação de alterações nas permissões. Adicionamos mais de 100 verificações de políticas com recomendações práticas para estender a validação de políticas no IAM Access Analyzer. Essas verificações usam análises estáticas para ajudar você a validar de forma proativa as políticas de permissão durante a criação das políticas para definir permissões seguras e funcionais. As verificações incluem validações funcionais, como as que os desenvolvedores esperam de um linter (um verificador de código estático), e vão além disso para avaliar as práticas recomendadas para a concessão de acesso. Essas verificações analisam as políticas e relatam os alertas de segurança, os erros e os alertas gerais, além de fazerem sugestões com base no impacto dos problemas relatados. Elas fornecem recomendações práticas que orientam você na definição de permissões seguras e funcionais. Por exemplo, o IAM Access Analyzer relata um alerta de segurança quando a sua política conceder acesso para passar qualquer função para qualquer serviço, o que é excessivamente permissivo. O alerta de segurança inclui uma recomendação para que você reduza as permissões para passar somente uma ou mais funções específicas.
Semelhante às verificações gramaticais nos processadores de texto, o IAM Access Analyzer executa automaticamente essas verificações de políticas, à medida que você cria as políticas de identidade usando o editor de políticas JSON no console do IAM. Outras políticas podem também ser validadas de forma programática, como as políticas de controle de serviços e políticas de recursos, usando a API Access Analyzer ValidatePolicy.
A validação de políticas do IAM Access Analyzer está disponível sem custo adicional em todas as regiões comerciais da AWS, bem como nas regiões AWS China e AWS GovCloud (EUA). Para saber mais sobre o IAM Access Analyzer, consulte a página de recursos.