Достижение принципа минимальных привилегий – это непрерывный цикл выдачи подходящих точных разрешений по мере появления требований. AWS Identity and Access Management (IAM) Access Analyzer помогает оптимизировать управление разрешениями на каждом этапе цикла.

Изображение с настройкой, проверкой и уточнением разрешений

Ваш путь к минимальным привилегиям: настройка, проверка и уточнение

Настройте точные разрешения

Благодаря созданию политики с помощью IAM Access Analyzer можно подготовить детализированную политику на основе записанной в журналах активности доступа. Значит, после создания и запуска приложения вы можете готовить политики, предоставляющие только необходимые разрешения для работы с приложением.

Проверка политики с Access Analyzer поможет с помощью более чем 100 проверок авторизовать и проверить безопасные и функциональные политики. Вы можете их использовать во время создания новых политик или для проверки существующих.

Проверьте надлежащие разрешения

Публичные и межаккаунтные находки с Access Analyzer IAM помогают проверить существующий доступ на соответствие вашим целям. Access Analyzer IAM использует доказательную безопасность для анализа всех путей доступа и всесторонней аналитики внешнего доступа к вашим ресурсам. При включении IAM Access Analyzer постоянно отслеживает новые или обновленные разрешения ресурсов, чтобы помочь вам выявить разрешения, которые обеспечивают общий и межаккаунтный доступ. Например, при изменении политики для корзины Amazon S3 вы получите уведомление в IAM Access Analyzer о том, что теперь доступ к корзине могут получить пользователи, не имеющие соответствующего аккаунта.

Используя тот же анализ, IAM Access Analyzer упрощает просмотр и проверку публичного доступа и межаккаунтного доступа перед развертыванием изменений разрешений.

Уточните разрешения, удалив неиспользуемые доступы

Информация о последнем доступе содержит данные о том, когда сервисы AWS использовались в последний раз, что помогает определить необходимость ужесточения разрешений. С этой информацией вы можете сравнивать выданные разрешения и время их последнего использования, чтобы удалять неиспользуемые доступы и в дальнейшем уточнять выдачу разрешений.

Также можно использовать метки времени последнего использования для ролей IAM и ключей доступа, чтобы удалить не требуемые объекты IAM.

Доказательная безопасность для публичной и межаккаунтной аналитики

IAM Access Analyzer использует доказательную безопасность для предоставления всесторонних результатов выдачи публичного и межаккаунтного доступа к вашим ресурсам. Доказательная безопасность полагается на технологию автоматизированного построения логического вывода, которая представляет собой математические методы, чтобы помогать обнаруживать ошибки в конфигурации и отвечать на критически важные вопросы о вашей инфраструктуре, включая разрешения AWS. Подробнее о том, как автоматизированные средства создания отчетов и методы AWS обеспечивают более высокий уровень безопасности в облаке см. Формальный отчет об Amazon Web Services.

Посмотрите эти видео, чтобы узнать больше об IAM Access Analyzer

A least-privilege journey: IAM policies and IAM Access Analyzer (55:59)
Use IAM Access Analyzer with Amazon S3 buckets (8:06)
Use IAM Access Analyzer policy validation to set secure and functional policies (2:59)
Готовы приступить к разработке?
Начало работы с IAM
Есть вопросы?
Связаться с нами