Достижение принципа минимальных привилегий – это непрерывный цикл выдачи подходящих точных разрешений по мере появления требований. AWS Identity and Access Management (IAM) Access Analyzer помогает оптимизировать управление разрешениями на каждом этапе цикла.

Ваш путь к минимальным привилегиям: настройка, проверка и уточнение
Настройте точные разрешения
Благодаря созданию политики с помощью IAM Access Analyzer можно подготовить детализированную политику на основе записанной в журналах активности доступа. Значит, после создания и запуска приложения вы можете готовить политики, предоставляющие только необходимые разрешения для работы с приложением.
Проверка политики с Access Analyzer поможет с помощью более чем 100 проверок авторизовать и проверить безопасные и функциональные политики. Вы можете их использовать во время создания новых политик или для проверки существующих.
Проверьте надлежащие разрешения
Публичные и межаккаунтные находки с Access Analyzer IAM помогают проверить существующий доступ на соответствие вашим целям. Access Analyzer IAM использует доказательную безопасность для анализа всех путей доступа и всесторонней аналитики внешнего доступа к вашим ресурсам. При включении IAM Access Analyzer постоянно отслеживает новые или обновленные разрешения ресурсов, чтобы помочь вам выявить разрешения, которые обеспечивают общий и межаккаунтный доступ. Например, при изменении политики для корзины Amazon S3 вы получите уведомление в IAM Access Analyzer о том, что теперь доступ к корзине могут получить пользователи, не имеющие соответствующего аккаунта.
Используя тот же анализ, IAM Access Analyzer упрощает просмотр и проверку публичного доступа и межаккаунтного доступа перед развертыванием изменений разрешений.
Уточните разрешения, удалив неиспользуемые доступы
Информация о последнем доступе содержит данные о том, когда сервисы AWS использовались в последний раз, что помогает определить необходимость ужесточения разрешений. С этой информацией вы можете сравнивать выданные разрешения и время их последнего использования, чтобы удалять неиспользуемые доступы и в дальнейшем уточнять выдачу разрешений.
Также можно использовать метки времени последнего использования для ролей IAM и ключей доступа, чтобы удалить не требуемые объекты IAM.
Доказательная безопасность для публичной и межаккаунтной аналитики
IAM Access Analyzer использует доказательную безопасность для предоставления всесторонних результатов выдачи публичного и межаккаунтного доступа к вашим ресурсам. Доказательная безопасность полагается на технологию автоматизированного построения логического вывода, которая представляет собой математические методы, чтобы помогать обнаруживать ошибки в конфигурации и отвечать на критически важные вопросы о вашей инфраструктуре, включая разрешения AWS. Подробнее о том, как автоматизированные средства создания отчетов и методы AWS обеспечивают более высокий уровень безопасности в облаке см. Формальный отчет об Amazon Web Services.
Посмотрите эти видео, чтобы узнать больше об IAM Access Analyzer
Подробнее о возможностях IAM