IAM помогает вам анализировать доступ и направляет вас при наличии минимальных привилегий. Создавая продукты на базе AWS, вам необходимо предоставлять четко очерченные разрешения с помощью политик IAM. IAM Access Analyzer проводит более 100 проверок политик, которые вам помогают активно проверять политики во время их создания. Эти проверки анализируют политики и сообщают об ошибках, выдают предупреждения и формулируют предложения и практически применимые рекомендации, с помощью которых вы можете назначать безопасные и функциональные разрешения. Когда вы создаете политики в редакторе политик в консоли IAM, IAM Access Analyzer проверяет политики автоматически, подобно тому, как ваш любимый текстовый редактор автоматически проверяет орфографию. Также вы можете программно проверять свои политики с помощью API Access Analyzer. Также IAM Access Analyzer позволяет проводить проверку доступа к ресурсам (общего и из разных аккаунтов) перед развертыванием изменений в разрешениях. Права доступа можно предварительно просматривать в консоли Amazon S3 или с помощью API IAM Access Analyzer.

По мере того как вы переходите к использованию принципа минимальных привилегий, IAM Access Analyzer помогает вам проверять существующие права доступа, позволяя выявлять и удалять разрешения, которые назначены непреднамеренно или не используются. Чтобы вы могли идентифицировать свои ресурсы с общим или межаккаунтным доступом, IAM Access Analyzer использует автоматизированные выводы, чтобы генерировать комплексные результаты для ресурсов, к которым может быть получен доступ извне аккаунта AWS. Для этого анализа IAM Access Analyzer постоянно отслеживает добавление новых и обновление существующих политик, анализирует разрешения на использование корзин Amazon S3, ключей AWS KMS, очередей Amazon SQS, ролей AWS IAM, функций AWS Lambda и конфиденциальных данных AWS Secrets Manager. Чтобы помочь вам удалить неиспользуемые разрешения, IAM предоставляет последнюю запрошенную информацию о том, когда сущность IAM в последний раз использовала сервис или действие. Это помогает ограничить доступ, потому что вы можете быстро выявлять и удалять неиспользуемые разрешения. Кроме того, защитить разрешения можно путем анализа времени последних обращений сущностей к сервису в организации AWS, например в организационном подразделении (OU) или аккаунте. Подробнее о том, как использовать данные о последнем доступе для принятия решений о предоставлении доступа к IAM или объектам сервиса Organizations, см. в разделе Example Scenarios for Using Service Last Accessed Data. Функции IAM Access Analyzer предоставляются бесплатно в консоли IAM и в API IAM Access Analyzer.

Преимущества

Руководство по созданию политик

IAM Access Analyzer проводит проверки политик, в результате которых вы получаете рекомендации по настройке безопасных и функциональных разрешений. Эти проверки анализируют политики и сообщают об ошибках, выдают предупреждения и формулируют предложения и практически применимые рекомендации, с помощью которых вы можете проверять политики. Когда вы создаете политики в редакторе политик в консоли IAM, IAM Access Analyzer проводит эти проверки автоматически, подобно тому, как ваш любимый текстовый редактор автоматически проверяет орфографию. Также вы можете программно проверять свои политики с помощью API IAM Access Analyzer.

Комплексный анализ для общего и межаккаунтного доступа

IAM Access Analyzer анализирует политики, чтобы помочь вам выявлять возможности непреднамеренного общего или межаккаунтного доступа к вашим ресурсам и устранять эти возможности. IAM Access Analyzer использует математическую логику и логические выводы, чтобы генерировать комплексные отчеты с информацией о ресурсах, к которым можно получить доступ, не имея аккаунта AWS. Эти результаты помогают вам выявлять ресурсы, к которым непреднамеренно предоставлен общий или межаккаунтный доступ. IAM Access Analyzer анализирует разрешения, предоставленные с помощью политик корзин Amazon S3, ключей AWS KMS, очередей Amazon SQS, ролей AWS IAM и функций AWS Lambda и предоставляет подробные результаты в консолях AWS IAM, Amazon S3 и AWS Security Hub, а также посредством API. Также с помощью IAM Access Analyzer можно заранее просмотреть результаты и убедиться, что изменения в политике предоставляют только тот доступ к ресурсам, который вы намеревались предоставить. Благодаря предварительному просмотру результатов вы можете предотвратить попытки несанкционированного доступа перед развертыванием разрешений.

Постоянное отслеживание и ограничение разрешений

IAM Access Analyzer постоянно отслеживает и анализирует новые или обновленные политики ресурсов, чтобы помочь вам выявить разрешения, которые обеспечивают общий и межаккаунтный доступ. Например, после изменения политики для корзины Amazon S3 вы получите уведомление в IAM Access Analyzer о том, что теперь доступ к корзине могут получить пользователи, не имеющие соответствующего аккаунта.

Также IAM предоставляет временные метки последних попыток использования сервиса или действия сущностью IAM, например ролью. Это позволяет вам ограничивать разрешения, удаляя ненужные и предоставляя только необходимые права доступа для выполнения задачи.

Наивысший уровень гарантии безопасности

Чтобы генерировать комплексные отчеты с информацией о ресурсах, к которым можно получить доступ, не имея аккаунта AWS, IAM Access Analyzer использует автоматизированные логические рассуждения, форму математической логики и получения логических выводов. Мы называем эти аналитические результаты доказуемой безопасностью – более высоким уровнем гарантии безопасности облака и данных в нем. В то время как некоторые инструменты позволяют тестировать частные сценарии доступа, IAM Access Analyzer использует математику для анализа всех возможных запросов на доступ и генерирует результаты относительно доступа извне. Это позволяет вам уверенно обрабатывать попытки доступа извне.

Как это работает: отслеживание доступа к ресурсам извне

Принцип работы IAM Access Analyzer

Автоматизация выводов для анализа внешнего доступа

Автоматическое создание отчетов относится к сфере когнитивных наук, которая занимается автоматизацией разных аспектов ведения отчетности, связанной с математическими и формальными методами. AWS Automated Reasoning Group разрабатывает алгоритмы и создает коды, которые могут анализировать облачные ресурсы, конфигурации и инфраструктуру и создавать отчеты об аспектах их поведения на основе этих данных. В случае с политиками ресурсов AWS превращает их в точные логичные формулы, после чего использует автоматизированные средства создания отчетов для предоставления информации о том, какой ресурс имеет публичный или межаккаунтный доступ. Подробнее о том, как автоматизированные средства создания отчетов и методы, используемые в Amazon Web Services, обеспечивают более высокий уровень безопасности в облаке см. Формальный отчет об AWS.

Подробнее о возможностях AWS IAM

Перейти на страницу с описанием возможностей
Готовы приступить к разработке?
Начать работу с AWS IAM
Есть вопросы?
Связаться с нами