С помощью сервиса AWS Identity and Access Management (IAM) вы сможете управлять разрешениями и доступом пользователей к сервисам и ресурсам AWS, таким как вычислительные инстансы и корзины. Например, благодаря политикам ресурса в IAM клиенты могут полностью управлять доступом к определенному ресурсу, решая кто и как сможет его использовать.

В облаке вы получаете возможность быстро расширять объем ресурсов по мере необходимости, развертывая тысячи серверов за считанные минуты. Именно поэтому очень важно иметь возможность быстро просматривать политики ресурса и выявлять ресурсы, к которым по ошибке предоставлен публичный или межаккаунтный доступ. IAM Access Analyzer генерирует комплексные отчеты с информацией о ресурсах, к которым можно получить доступ, не имея аккаунта AWS. IAM Access Analyzer создает их на основе оценки политик ресурса с использованием математических методов и логических выводов для определения разрешенных политиками способов получения доступа. IAM Access Analyzer постоянно отслеживает добавление новых и обновление существующих политик, анализирует разрешения, предоставленные с помощью политик корзин Amazon S3, ключей AWS KMS, очередей Amazon SQS, ролей AWS IAM и функций AWS Lambda.

С точки зрения безопасности также необходимо следить за фактическим использованием разрешений и удалять ненужные, как того требует принцип наименее привилегированного доступа. IAM предоставляет данные о последнем доступе к сервису. Они представляют собой метку времени с информацией о том, когда политика или сущность IAM, например пользователь или роль, использовала сервис в последний раз. Благодаря этому вы сможете с легкостью выявить неиспользуемые разрешения и усилить безопасность, удалив разрешения, которые не нужны пользователю, группе или роли для выполнения определенных заданий. Используя основной аккаунт AWS Organizations, вы также сможете получить информацию о том, когда в последний раз доступ получали корневой центр, организационные единицы и аккаунты. Подробнее о том, как использовать данные о последнем доступе к сервису для принятия решений о предоставлении доступа к IAM или объектам сервиса Organizations, см. Примеры использования данных о последнем доступе к сервису.

Преимущества

Экономия времени на анализ политик ресурса касательно публичного и межаккаунтного доступа

По сравнению с техниками на основе эвристических алгоритмов или составления с образцом, для которых могут потребоваться дни или даже недели, IAM Access Analyzer использует математические методы и логические выводы, что значительно сокращает время, необходимое для формирования комплексных отчетов о ресурсах, доступ к которым можно получить, не имея аккаунта AWS. IAM Access Analyzer анализирует разрешения, предоставленные с помощью политик корзин Amazon S3, ключей AWS KMS, очередей Amazon SQS, ролей AWS IAM и функций AWS Lambda. IAM Access Analyzer предоставляет детализированные отчеты касательно AWS IAM, Amazon S3 и консолей AWS Security Hub, а также их API.

Постоянное отслеживание разрешений и помощь в удалении ненужных

IAM Access Analyzer постоянно отслеживает и анализирует добавление новых и обновление существующих политик ресурса, благодаря чему вы можете делать выводы о возможных последствиях для безопасности. Например, после изменения политики для корзины Amazon S3 вы получите уведомление в IAM о том, что теперь доступ к корзине могут получить пользователи, не имеющие соответствующего аккаунта.

Кроме IAM Access Analyzer в IAM вы также получите данные о последнем доступе к сервису. Эта метка времени содержит информацию о том, когда политика или сущность IAM последний раз использовала сервис. Благодаря этому вы сможете с легкостью выявлять и удалять неиспользуемые разрешения, а также усилить безопасность, предоставляя только доступ, необходимый для выполнения определенного задания.

Наивысший уровень гарантии безопасности

IAM Access Analyzer использует функцию автоматического создания отчетов, а также математические методы и логические выводы для определения всех разрешенных политикой ресурса способов получения доступа. Мы называем эти аналитические результаты доказуемой безопасностью – более высоким уровнем гарантии безопасности облака и данных в нем.

В то время как некоторые инструменты дают вам возможность протестировать всего несколько способов получения доступа, IAM Access Analyzer использует математические методы и способен проанализировать все возможные способы, тем самым усиливая вашу уверенность в том, что система безопасности обеспечивает именно тот уровень защиты, на который вы рассчитываете.

Принцип работы сервиса

Принцип работы IAM Access Analyzer

Автоматическое создание отчетов по результатам анализа политик

Автоматическое создание отчетов относится к сфере когнитивных наук, которая занимается автоматизацией разных аспектов ведения отчетности, связанной с математическими и формальными методами. AWS Automated Reasoning Group разрабатывает алгоритмы и создает коды, которые могут анализировать облачные ресурсы, конфигурации и инфраструктуру и создавать отчеты об аспектах их поведения на основе этих данных. В случае с политиками ресурсов AWS превращает их в точные логичные формулы, после чего использует автоматизированные средства создания отчетов для предоставления информации о том, какой ресурс имеет публичный или межаккаунтный доступ. Подробнее о том, как автоматизированные средства создания отчетов и методы, используемые в Amazon Web Services, обеспечивают более высокий уровень безопасности в облаке см. Формальный отчет об AWS.

Подробнее о возможностях AWS IAM

Перейти на страницу с описанием возможностей
Готовы приступить к разработке?
Начать работу с AWS IAM
Возникли дополнительные вопросы?
Свяжитесь с нами