С помощью сервиса AWS Identity and Access Management (IAM) вы сможете управлять разрешениями и доступом пользователей к сервисам и ресурсам AWS, таким как вычислительные инстансы и корзины. Например, благодаря политикам ресурса в IAM клиенты могут полностью управлять доступом к определенному ресурсу, решая кто и как сможет его использовать.

В облаке вы получаете возможность быстро расширять объем ресурсов по мере необходимости, развертывая тысячи серверов за считанные минуты. Именно поэтому очень важно иметь возможность быстро просматривать политики ресурса и выявлять ресурсы, к которым по ошибке предоставлен публичный или межаккаунтный доступ. IAM Access Analyzer генерирует комплексные отчеты с информацией о ресурсах, к которым можно получить доступ, не имея аккаунта AWS. IAM Access Analyzer создает их на основе оценки политик ресурса с использованием математических методов и логических выводов для определения разрешенных политиками способов получения доступа. IAM Access Analyzer постоянно отслеживает добавление новых и обновление существующих политик, анализирует разрешения, предоставленные с помощью политик корзин Amazon S3, ключей AWS KMS, очередей Amazon SQS, ролей AWS IAM, функций AWS Lambda и конфиденциальных данных AWS Secrets Manager.

С точки зрения безопасности также необходимо следить за фактическим использованием разрешений и удалять ненужные, как того требует принцип наименее привилегированного доступа. IAM предоставляет данные о последнем доступе к сервису. Они представляют собой метку времени с информацией о том, когда политика или сущность IAM, например пользователь или роль, в последний раз использовала сервис поддерживаемых сервисов или выполняла связанные с этим действие. Благодаря этому вы сможете с легкостью выявить неиспользуемые разрешения и усилить безопасность, удалив разрешения, которые не нужны пользователю, группе или роли для выполнения определенных заданий. Используя основной аккаунт AWS Organizations, вы также сможете получить информацию о том, когда в последний раз доступ к сервису получали корневой центр, организационные единицы и аккаунты. Подробнее о том, как использовать данные о последнем доступе для принятия решений о предоставлении доступа к IAM или объектам сервиса Organizations, см. в разделе Example Scenarios for Using Service Last Accessed Data.

Преимущества

Экономия времени на анализ политик ресурса касательно публичного и межаккаунтного доступа

По сравнению с техниками на основе эвристических алгоритмов или составления с образцом, для которых могут потребоваться дни или даже недели, IAM Access Analyzer использует математические методы и логические выводы, что значительно сокращает время, необходимое для формирования комплексных отчетов о ресурсах, доступ к которым можно получить, не имея аккаунта AWS. IAM Access Analyzer анализирует разрешения, предоставленные с помощью политик корзин Amazon S3, ключей AWS KMS, очередей Amazon SQS, ролей AWS IAM, функций AWS Lambda и конфиденциальных данных AWS Secrets Manager. IAM Access Analyzer предоставляет детализированные отчеты касательно AWS IAM, Amazon S3 и консолей AWS Security Hub, а также их API.

Постоянное отслеживание разрешений и помощь в удалении ненужных

IAM Access Analyzer постоянно отслеживает и анализирует добавление новых и обновление существующих политик ресурса, благодаря чему вы можете делать выводы о возможных последствиях для безопасности. Например, после изменения политики для корзины Amazon S3 вы получите уведомление в IAM о том, что теперь доступ к корзине могут получить пользователи, не имеющие соответствующего аккаунта.

В IAM вы также получите данные о последнем доступе. Эта метка времени содержит информацию о том, когда политика или сущность IAM последний раз использовала сервис. Благодаря этому вы сможете с легкостью выявлять и удалять неиспользуемые разрешения, чтобы усилить безопасность, предоставляя только доступ, необходимый для выполнения определенного задания.

Наивысший уровень гарантии безопасности

IAM Access Analyzer использует функцию автоматического создания отчетов, а также математические методы и логические выводы для определения всех разрешенных политикой ресурса способов получения доступа. Мы называем эти аналитические результаты доказуемой безопасностью – более высоким уровнем гарантии безопасности облака и данных в нем.

В то время как некоторые инструменты дают вам возможность протестировать всего несколько способов получения доступа, IAM Access Analyzer использует математические методы и способен проанализировать все возможные способы, тем самым усиливая вашу уверенность в том, что система безопасности обеспечивает именно тот уровень защиты, на который вы рассчитываете.

Принцип работы сервиса

Принцип работы IAM Access Analyzer

Автоматизация выводов для анализа внешнего доступа

Автоматическое создание отчетов относится к сфере когнитивных наук, которая занимается автоматизацией разных аспектов ведения отчетности, связанной с математическими и формальными методами. AWS Automated Reasoning Group разрабатывает алгоритмы и создает коды, которые могут анализировать облачные ресурсы, конфигурации и инфраструктуру и создавать отчеты об аспектах их поведения на основе этих данных. В случае с политиками ресурсов AWS превращает их в точные логичные формулы, после чего использует автоматизированные средства создания отчетов для предоставления информации о том, какой ресурс имеет публичный или межаккаунтный доступ. Подробнее о том, как автоматизированные средства создания отчетов и методы, используемые в Amazon Web Services, обеспечивают более высокий уровень безопасности в облаке см. Формальный отчет об AWS.

Подробнее о возможностях AWS IAM

Перейти на страницу с описанием возможностей
Готовы приступить к разработке?
Начать работу с AWS IAM
Есть вопросы?
Связаться с нами