ตัววิเคราะห์การเข้าถึง IAM รองรับผลการวิเคราะห์และการตรวจสอบเพิ่มเติมในรีเจี้ยน AWS GovCloud (สหรัฐฯ)
ตัววิเคราะห์การเข้าถึง AWS Identity and Access Manager (IAM) รองรับการค้นพบการเข้าถึงที่ไม่ได้ใช้ การค้นพบการเข้าถึงภายใน และการตรวจสอบนโยบายที่กำหนดเองในรีเจี้ยน AWS GovCloud (สหรัฐอเมริกาฝั่งตะวันออกและสหรัฐอเมริกาฝั่งตะวันตก) เพื่อช่วยให้คุณมีการให้สิทธิ์เท่าที่จำเป็น
ตัววิเคราะห์การเข้าถึง IAM วิเคราะห์บัญชีของคุณอย่างต่อเนื่องเพื่อระบุการเข้าถึงที่ไม่ได้ใช้ และแสดงผลการค้นพบเพื่อเน้นบทบาทที่ไม่ได้ใช้ คีย์การเข้าถึงที่ไม่ได้ใช้สำหรับผู้ใช้ IAM และรหัสผ่านที่ไม่ได้ใช้สำหรับผู้ใช้ IAM สำหรับผู้ใช้และบทบาทใน IAM ที่ใช้งานอยู่ การค้นพบจะแสดงบริการและการดำเนินการที่ไม่ได้ใช้ ด้วยการค้นพบการเข้าถึงภายใน คุณสามารถระบุบุคคลภายในองค์กร AWS ของคุณที่มีสิทธิ์เข้าถึงทรัพยากร Amazon S3, Amazon DynamoDB หรือ Amazon Relational Database Service (RDS) โดยจะใช้การให้เหตุผลอัตโนมัติในการประเมินนโยบายข้อมูลระบุตัวตน นโยบายทรัพยากร นโยบายการควบคุมบริการ (SCP) และนโยบายการควบคุมทรัพยากร (RCP) ทั้งหมด เพื่อแสดงผู้ใช้และบทบาท IAM ทั้งหมดที่มีสิทธิ์เข้าถึงทรัพยากรสำคัญที่คุณเลือก หลังจากเปิดใช้งานตัววิเคราะห์ใหม่ในคอนโซล IAM แล้ว แดชบอร์ดที่อัปเดตจะเน้นบัญชี AWS และทรัพยากรของคุณที่มีการค้นพบมากที่สุด และแสดงรายละเอียดของการค้นพบตามประเภท ทีมรักษาความปลอดภัยสามารถตอบสนองต่อการค้นพบใหม่ ๆ ได้สองวิธีคือ ดำเนินการทันทีเพื่อแก้ไขสิทธิ์เข้าถึงที่ไม่ได้ตั้งใจ หรือตั้งค่าการแจ้งเตือนอัตโนมัติผ่าน Amazon EventBridge เพื่อดึงดูดทีมพัฒนาให้เข้ามาดำเนินการแก้ไข
การตรวจสอบนโยบายแบบกำหนดเองยังใช้พลังของการให้เหตุผลอัตโนมัติเพื่อช่วยให้ทีมรักษาความปลอดภัยสามารถตรวจจับการอัปเดตนโยบายที่ไม่สอดคล้องกันในเชิงรุกอีกด้วย ตัวอย่างเช่น การเปลี่ยนแปลงนโยบาย IAM ที่อนุญาตมากกว่าเวอร์ชันก่อนหน้า ทีมรักษาความปลอดภัยสามารถใช้การตรวจสอบเหล่านี้เพื่อปรับปรุงการตรวจสอบ อนุมัตินโยบายที่สอดคล้องกับมาตรฐานความปลอดภัยโดยอัตโนมัติ และตรวจสอบอย่างลึกซึ้งยิ่งขึ้น
หากต้องการดูเพิ่มเติมเกี่ยวกับ IAM Access Analyzer:
- ดูเอกสารประกอบ
- ตรวจสอบค่าบริการ