Достижение принципа минимальных привилегий – это непрерывный цикл выдачи подходящих точных разрешений по мере появления требований. AWS Identity and Access Management (IAM) Access Analyzer помогает оптимизировать управление разрешениями на каждом этапе цикла.

Изображение с настройкой, проверкой и уточнением разрешений

Ваш путь к минимальным привилегиям: настройка, проверка и уточнение

Настройте точные разрешения

Благодаря созданию политики с помощью IAM Access Analyzer можно подготовить детализированную политику на основе записанной в журналах активности доступа. Значит, после создания и запуска приложения вы можете готовить политики, предоставляющие только необходимые разрешения для работы с приложением.

Проверка политики с Access Analyzer поможет с помощью более чем 100 проверок авторизовать и проверить безопасные и функциональные политики. Вы можете их использовать во время создания новых политик или для проверки существующих.

Проверьте надлежащие разрешения

Публичные и межаккаунтные находки с Access Analyzer помогают проверить существующий доступ на соответствие вашим целям. Access Analyzer использует доказательную безопасность для анализа всех путей доступа и всесторонней аналитики внешнего доступа к вашим ресурсам. При включении IAM Access Analyzer постоянно отслеживает новые или обновленные разрешения ресурсов, чтобы помочь вам выявить разрешения, которые обеспечивают общий и межаккаунтный доступ. Например, при изменении политики для корзины Amazon S3 вы получите уведомление в Access Analyzer о том, что теперь доступ к корзине могут получить пользователи, не имеющие соответствующего аккаунта.

Используя тот же анализ, Access Analyzer упрощает просмотр и проверку публичного доступа и межаккаунтного доступа перед развертыванием изменений разрешений.

Уточните разрешения, удалив неиспользуемые доступы

Информация о последнем доступе содержит данные о том, когда сервисы AWS использовались в последний раз, что помогает определить необходимость ужесточения разрешений. С этой информацией вы можете сравнивать выданные разрешения и время их последнего использования, чтобы удалять неиспользуемые доступы и в дальнейшем уточнять выдачу разрешений.

Также можно использовать метки времени последнего использования для ролей IAM и ключей доступа, чтобы удалить не требуемые объекты IAM.

Доказательная безопасность для публичной и межаккаунтной аналитики

Access Analyzer использует доказательную безопасность для предоставления всесторонних результатов выдачи публичного и межаккаунтного доступа к вашим ресурсам. Доказательная безопасность полагается на технологию автоматизированного построения логического вывода, которая представляет собой математические методы, чтобы помогать обнаруживать ошибки в конфигурации и отвечать на критически важные вопросы о вашей инфраструктуре, включая разрешения AWS. Подробнее о том, как автоматизированные средства создания отчетов и методы AWS обеспечивают более высокий уровень безопасности в облаке см. Формальный отчет об Amazon Web Services.

Посмотрите эти видео, чтобы узнать больше про Access Analyzer

Использование Access Analyzer с корзинами Amazon S3 (8:06)
Предварительный просмотр доступа перед развертыванием изменений разрешений (9:10)
Использование политики проверки Access Analyzer для настройки безопасных и функциональных политик (2:59)
Готовы приступить к разработке?
Начало работы с IAM
Есть вопросы?
Связаться с нами