- ความปลอดภัย การระบุตัวตน และการปฏิบัติตามข้อกำหนด›
- AWS Identity and Access Management
คำถามที่พบบ่อยเกี่ยวกับ AWS Identity and Access Management (IAM)
ข้อมูลทั่วไป
AWS Identity and Access Management (IAM) คืออะไร
IAM ให้การควบคุมการเข้าถึงโดยละเอียดทั่วทั้ง AWS IAM ช่วยให้คุณสามารถควบคุมการเข้าถึงบริการและทรัพยากรต่างๆ ภายใต้เงื่อนไขเฉพาะ ใช้นโยบาย IAM ในการจัดการสิทธิ์อนุญาตให้แก่พนักงานและระบบของคุณเพื่อรับรองว่ามีการให้สิทธิ์เท่าที่จำเป็น IAM เป็นบริการแบบไม่เสียค่าใช้จ่ายเพิ่มเติม ดูข้อมูลเพิ่มเติมได้ที่ IAM คืออะไร
IAM ทำงานอย่างไรและทำอะไรได้บ้าง
IAM มีบริการรับรองความถูกต้องและให้สิทธิ์อนุญาตสำหรับบริการของ AWS บริการจะประเมินว่าจะอนุญาตหรือปฏิเสธคำขอของ AWS สิทธิ์การเข้าถึงจะถูกปฏิเสธก่อนตามค่าเริ่มต้น และจะได้รับอนุญาตก็ต่อเมื่อนโยบายให้สิทธิ์การเข้าถึงอย่างชัดแจ้งเท่านั้น คุณสามารถแนบนโยบายเข้ากับบทบาทและทรัพยากรต่างๆ เพื่อควบคุมการเข้าถึงทั่วทั้ง AWS ได้ ดูข้อมูลเพิ่มเติมได้ที่ทำความเข้าใจวิธีการทำงานของ IAM
สิทธิ์อนุญาตเท่าที่จำเป็นคืออะไร
เมื่อคุณตั้งค่าสิทธิ์อนุญาตด้วยนโยบาย IAM ระบบจะมอบสิทธิ์อนุญาตเฉพาะสิทธิ์ที่จำเป็นในการดำเนินการงานเท่านั้น แนวทางนี้เรียกว่าการให้สิทธิ์เท่าที่จำเป็น คุณสามารถใช้การมอบสิทธิ์อนุญาตเท่าที่จำเป็นใน IAM โดยกำหนดการดำเนินการที่สามารถทำได้กับทรัพยากรเฉพาะภายใต้เงื่อนไขเฉพาะ ดูข้อมูลเพิ่มเติมได้ที่การจัดการสิทธิ์การเข้าถึงสำหรับทรัพยากรของ AWS
ฉันจะเริ่มต้นใช้งาน IAM ได้อย่างไร
ในการเริ่มต้นใช้งาน IAM เพื่อจัดการสิทธิ์อนุญาตสำหรับบริการและทรัพยากรของ AWS ให้สร้าง IAM Role และมอบสิทธิ์อนุญาต สำหรับผู้ใช้ที่เป็นพนักงาน ให้สร้างบทบาทที่ผู้ให้บริการข้อมูลประจำตัวของคุณสวมบทบาทได้ สำหรับระบบ ให้สร้างบทบาทที่บริการที่คุณใช้ เช่น Amazon EC2 หรือ AWS Lambda สวมบทบาทได้ หลังจากที่สร้างบทบาทแล้ว คุณสามารถแนบนโยบายเข้ากับบทบาทเพื่อมอบสิทธิ์อนุญาตที่ตรงกับความต้องการของคุณ หากคุณเพิ่งเริ่มต้นใช้งาน คุณอาจไม่ทราบสิทธิ์อนุญาตเฉพาะที่คุณต้องการ ดังนั้นคุณจึงสามารถเริ่มต้นด้วยสิทธิ์อนุญาตในวงกว้าง นโยบายที่มีการจัดการของ AWS มอบสิทธิ์อนุญาตเพื่อช่วยให้คุณเริ่มต้นและพร้อมใช้งานในบัญชี AWS ทั้งหมด จากนั้น ให้ลดสิทธิ์อนุญาตเพิ่มเติมโดยการกำหนดนโยบายที่มีการจัดการโดยลูกค้าเฉพาะสำหรับกรณีใช้งานของคุณ คุณสามารถสร้างและจัดการนโยบายและบทบาทได้ใน IAM Console หรือผ่าน AWS API หรือ AWS CLI ดูข้อมูลเพิ่มเติมได้ที่เริ่มต้นใช้งาน IAM
ทรัพยากรของ IAM
บทบาทใน IAM คืออะไรและทำงานอย่างไร
บทบาทใน AWS Identity and Access Management (IAM) มอบวิธีการเข้าถึง AWS โดยอาศัยข้อมูลประจำตัวด้านความปลอดภัยชั่วคราว แต่ละบทบาทมีชุดสิทธิ์อนุญาตในการส่งคำขอบริการของ AWS และบทบาทจะไม่เชื่อมโยงกับผู้ใช้หรือกลุ่มเฉพาะ แต่เอนทิตีที่เชื่อถือได้ เช่น ผู้ให้บริการข้อมูลประจำตัวหรือบริการของ AWS จะเข้ามามีบทบาทแทน ดูข้อมูลเพิ่มเติมได้ที่บทบาทใน IAM
ทำไมฉันจึงต้องใช้บทบาทใน IAM
คุณควรใช้ IAM Role เพื่อมอบสิทธิ์เข้าถึงบัญชี AWS ของคุณโดยอาศัยข้อมูลรับรองตัวตนระยะสั้น ซึ่งเป็นแนวทางปฏิบัติด้านความปลอดภัยที่ดีที่สุด ข้อมูลประจำตัวที่ได้รับอนุญาต ซึ่งอาจเป็นได้ทั้งบริการของ AWS หรือผู้ใช้จากผู้ให้บริการข้อมูลประจำตัวของคุณ สามารถสวมบทบาทในการส่งคำขอของ AWS หากต้องการมอบสิทธิ์อนุญาตกับบทบาท ให้แนบนโยบาย IAM กับบทบาทนั้น ดูข้อมูลเพิ่มเติมได้ที่สถานการณ์ทั่วไปสำหรับบทบาทต่างๆ
ผู้ใช้ IAM คืออะไร และฉันควรจะใช้งานต่อไปหรือไม่
ผู้ใช้ IAM คือข้อมูลประจำตัวที่มีข้อมูลรับรองตัวตนระยะยาว คุณอาจกำลังใช้ผู้ใช้ IAM สำหรับผู้ใช้ที่เป็นพนักงาน ในกรณีนี้ AWS แนะนำให้ใช้ผู้ให้บริการข้อมูลประจำตัวและเชื่อมต่อกับ AWS โดยสวมบทบาท และคุณยังสามารถใช้บทบาทเพื่อให้สิทธิ์เข้าถึงบริการและคุณสมบัติต่างๆ ข้ามบัญชีได้ เช่น ฟังก์ชัน AWS Lambda ในบางสถานการณ์ คุณอาจจำเป็นต้องใช้ผู้ใช้ IAM ที่มีคีย์การเข้าถึง ซึ่งมีข้อมูลประจำตัวระยะยาวพร้อมสิทธิ์เข้าถึงบัญชี AWS ของคุณ สำหรับสถานการณ์เหล่านี้ AWS แนะนำให้ใช้ข้อมูลการเข้าถึง IAM ที่ใช้ล่าสุด เพื่อหมุนเวียนข้อมูลประจำตัวบ่อย ๆ และนำข้อมูลรับรองตัวตนที่ไม่ได้ใช้ออก ดูข้อมูลเพิ่มเติมได้ที่ภาพรวมของการจัดการ AWS Identity: ผู้ใช้
นโยบาย IAM คืออะไร
นโยบาย IAM จะกำหนดสิทธิ์อนุญาตสำหรับเอนทิตีที่คุณแนบไปด้วย ตัวอย่างเช่น หากต้องการให้สิทธิ์เข้าถึง IAM Role ให้แนบนโยบายเข้ากับบทบาท สิทธิ์อนุญาตที่กำหนดไว้ในนโยบายจะกำหนดว่าคำขอได้รับอนุญาตหรือถูกปฏิเสธ นอกจากนี้คุณยังสามารถแนบนโยบายเข้ากับทรัพยากรบางอย่าง เช่น บัคเก็ต Amazon S3 เพื่อให้สิทธิ์การเข้าถึงข้ามบัญชีได้โดยตรง และคุณสามารถแนบนโยบายเข้ากับองค์กร AWS หรือหน่วยองค์กร เพื่อจำกัดการเข้าถึงในหลายบัญชีได้ AWS จะประเมินนโยบายเหล่านี้เมื่อ IAM Role ส่งคำขอ ดูข้อมูลเพิ่มเติมได้ที่นโยบายตามข้อมูลประจำตัว
การมอบสิทธิ์การเข้าถึง
ฉันจะให้สิทธิ์การเข้าถึงบริการและทรัพยากรต่าง ๆ โดยใช้ IAM ได้อย่างไร
หากต้องการมอบสิทธิ์การเข้าถึงบริการและทรัพยากรโดยใช้ AWS Identity and Access Management (IAM) ให้แนบนโยบาย IAM เข้ากับบทบาทหรือทรัพยากร คุณสามารถเริ่มต้นโดยการแนบนโยบายที่มีการจัดการของ AWS ซึ่ง AWS เป็นเจ้าของและคอยอัปเดต และพร้อมใช้งานในบัญชี AWS ทั้งหมด หากคุณทราบสิทธิ์อนุญาตเฉพาะที่จำเป็นสำหรับกรณีใช้งานของคุณ คุณสามารถสร้างนโยบายที่มีการจัดการโดยลูกค้าและแนบเข้ากับบทบาทได้ ทรัพยากร AWS บางอย่างมีวิธีมอบสิทธิ์การเข้าถึงโดยกำหนดนโยบายที่แนบมากับทรัพยากร เช่น บัคเก็ต Amazon S3 นโยบายตามทรัพยากรเหล่านี้อนุญาตให้คุณมอบสิทธิ์เข้าถึงแบบข้ามบัญชีโดยตรงไปยังทรัพยากรที่เชื่อมโยงอยู่ ดูข้อมูลเพิ่มเติมได้ที่การจัดการสิทธิ์การเข้าถึงสำหรับทรัพยากร AWS
ฉันจะสร้างนโยบาย IAM ได้อย่างไร
ในการกำหนดสิทธิ์อนุญาตให้กับบทบาทหรือทรัพยากร ให้สร้างนโยบาย ซึ่งเป็นเอกสาร JavaScript Object Notation (JSON) ที่กำหนดสิทธิ์อนุญาต เอกสารนี้มีคำชี้แจงเกี่ยวกับสิทธิ์อนุญาตที่มอบหรือปฏิเสธสิทธิ์การเข้าถึงการดำเนินการบริการ ทรัพยากร และเงื่อนไขเฉพาะ หลังจากที่คุณสร้างนโยบายแล้ว คุณสามารถแนบนโยบายเข้ากับบทบาท AWS หนึ่งบทบาทขึ้นไป เพื่อมอบสิทธิ์อนุญาตให้กับบัญชี AWS ของคุณได้ หากต้องการมอบสิทธิ์การเข้าถึงทรัพยากรข้ามบัญชีโดยตรง เช่น บัคเก็ต Amazon S3 ให้ใช้นโยบายตามทรัพยากร สร้างนโยบายของคุณใน IAM Console หรือผ่าน AWS API หรือ AWS CLI ดูข้อมูลเพิ่มเติมได้ที่การสร้างนโยบาย IAM
นโยบายที่มีการจัดการของ AWS คืออะไร และฉันควรใช้เมื่อใด
นโยบายที่มีการจัดการของ AWS นั้นสร้างและจัดการโดย AWS และครอบคลุมกรณีใช้งานทั่วไป เมื่อเริ่มต้นใช้งาน คุณสามารถมอบสิทธิ์อนุญาตในวงกว้างได้โดยใช้นโยบายที่มีการจัดการของ AWS ซึ่งมีอยู่ในบัญชี AWS ของคุณและพบได้ทั่วไปในบัญชี AWS ทั้งหมด จากนั้นเมื่อคุณปรับแต่งความต้องการของคุณแล้ว คุณสามารถลดสิทธิ์อนุญาตได้โดยการกำหนดนโยบายที่มีการจัดการโดยลูกค้าเฉพาะสำหรับกรณีใช้งานของคุณ โดยมีเป้าหมายเพื่อการมอบสิทธิ์อนุญาตเท่าที่จำเป็น ดูข้อมูลเพิ่มเติมได้ที่นโยบายที่มีการจัดการของ AWS
นโยบายที่มีการจัดการโดยลูกค้าคืออะไร และฉันควรใช้เมื่อใด
หากต้องการมอบเฉพาะสิทธิ์อนุญาตที่จำเป็นในการดำเนินงาน คุณสามารถสร้างนโยบายที่มีการจัดการโดยลูกค้าที่เจาะจงเฉพาะสำหรับกรณีใช้งานและทรัพยากรของคุณ ใช้นโยบายที่มีการจัดการโดยลูกค้าเพื่อปรับแต่งสิทธิ์อนุญาตสำหรับความต้องการเฉพาะของคุณต่อไป ดูข้อมูลเพิ่มเติมได้ที่นโยบายที่มีการจัดการโดยลูกค้า
นโยบายแบบอินไลน์คืออะไร และฉันควรใช้เมื่อใด
นโยบายแบบอินไลน์จะถูกฝังไว้และสืบเนื่องมาจากบทบาท IAM ที่เฉพาะเจาะจง ใช้นโยบายแบบอินไลน์หากคุณต้องการรักษาความสัมพันธ์แบบหนึ่งต่อหนึ่งที่เข้มงวดระหว่างนโยบายกับข้อมูลประจำตัวที่จะนำไปใช้ ตัวอย่างเช่น คุณสามารถมอบสิทธิ์ผู้ดูแลระบบ เพื่อให้แน่ใจว่าจะไม่มีการแนบเข้ากับบทบาทอื่น ดูข้อมูลเพิ่มเติมได้ที่นโยบายแบบอินไลน์
นโยบายตามทรัพยากรคืออะไร และฉันควรใช้เมื่อใด
นโยบายตามทรัพยากรคือนโยบายสิทธิ์อนุญาตที่แนบมากับทรัพยากร ตัวอย่างเช่น คุณสามารถแนบนโยบายตามทรัพยากรเข้ากับบัคเก็ต Amazon S3, คิว Amazon SQS, ตำแหน่งข้อมูล VPC และคีย์การเข้ารหัส AWS Key Management Service ดูรายชื่อบริการที่รองรับนโยบายตามทรัพยากรได้ที่บริการของ AWS ที่ใช้งานได้กับ IAM ใช้นโยบายตามทรัพยากรเพื่อมอบสิทธิ์การเข้าถึงข้ามบัญชีโดยตรง นโยบายตามทรัพยากรช่วยให้คุณกำหนดได้ว่าใครสามารถเข้าถึงทรัพยากรและดำเนินการใดได้บ้าง ดูข้อมูลเพิ่มเติมได้ที่นโยบายตามข้อมูลประจำตัวและตามทรัพยากร
การควบคุมการเข้าถึงตามบทบาท (RBAC) คืออะไร
RBAC มอบวิธีให้คุณกำหนดสิทธิ์อนุญาตตามหน้าที่งานของบุคคล ซึ่งเป็นที่รู้จักนอก AWS ว่า “บทบาท” IAM มอบ RBAC โดยกำหนด IAM Role พร้อมสิทธิ์อนุญาตที่สอดคล้องกับหน้าที่งาน จากนั้นคุณสามารถมอบสิทธิ์การเข้าถึงระดับบุคคลเพื่อสวมบทบาทเหล่านี้สำหรับดำเนินหน้าที่งานเฉพาะ RBAC ช่วยให้คุณตรวจสอบสิทธิ์การเข้าถึงได้โดยการดูที่แต่ละ IAM Role และสิทธิ์การอนุญาตที่แนบมาด้วย ดูข้อมูลเพิ่มเติมได้ที่การเปรียบเทียบ ABAC กับ RBAC แบบดั้งเดิม
ฉันจะมอบสิทธิ์การเข้าถึงด้วย RBAC ได้อย่างไร
ตามแนวทางปฏิบัติที่ดีที่สุด ให้มอบสิทธิ์การเข้าถึงเฉพาะการดำเนินการบริการและทรัพยากรที่จำเป็นในการปฏิบัติงานแต่ละอย่างเท่านั้น ซึ่งเรียกว่าการให้สิทธิ์เท่าที่จำเป็น เมื่อพนักงานเพิ่มทรัพยากรใหม่ คุณต้องอัปเดตนโยบายเพื่ออนุญาตการเข้าถึงทรัพยากรเหล่านั้น
การควบคุมการเข้าถึงตามคุณลักษณะ (ABAC) คืออะไร
ABAC เป็นกลยุทธ์การอนุญาตที่กำหนดสิทธิ์อนุญาตตามแอตทริบิวต์ ใน AWS แอตทริบิวต์เหล่านี้เรียกว่าแท็ก และคุณสามารถกำหนดแท็กได้บนทรัพยากร AWS, บทบาทใน IAM และในเซสชันบทบาท ABAC ช่วยให้คุณสามารถกำหนดชุดสิทธิ์อนุญาตตามค่าของแท็ก คุณสามารถมอบสิทธิ์อนุญาตแบบละเอียดแก่ทรัพยากรเฉพาะโดยกำหนดให้แท็กในบทบาทหรือเซสชันตรงกับแท็กในทรัพยากร ตัวอย่างเช่น คุณสามารถกำหนดนโยบายที่อนุญาตให้นักพัฒนาเข้าถึงทรัพยากรที่แท็กไว้ว่าเป็นตำแหน่งงาน "นักพัฒนา" ABAC มีประโยชน์ในสภาพแวดล้อมที่เติบโตอย่างรวดเร็วโดยมอบสิทธิ์อนุญาตให้กับทรัพยากรต่างๆ เมื่อสร้างด้วยแท็กเฉพาะ ดูข้อมูลเพิ่มเติมได้ที่การควบคุมการเข้าถึงตามคุณลักษณะสำหรับ AWS
ฉันจะมอบสิทธิ์การเข้าถึงโดยใช้ ABAC ได้อย่างไร
ในการมอบสิทธิ์การเข้าถึงโดยใช้ ABAC ก่อนอื่นให้กำหนดคีย์แท็กและค่าที่คุณต้องการใช้สำหรับการควบคุมการเข้าถึง จากนั้น ตรวจสอบให้แน่ใจว่า IAM Role ของคุณมีคีย์แท็กและค่าที่เหมาะสม หากข้อมูลประจำตัวหลายรายการใช้บทบาทนี้ คุณยังสามารถกำหนดคีย์แท็กและค่าของเซสชันได้อีกด้วย จากนั้นตรวจสอบให้แน่ใจว่าทรัพยากรของคุณมีคีย์แท็กและค่าที่เหมาะสม และคุณยังกำหนดให้ผู้ใช้สร้างทรัพยากรด้วยแท็กที่เหมาะสมและจำกัดการเข้าถึงเพื่อแก้ไขได้ หลังจากที่แท็กของคุณพร้อมใช้งานแล้ว ให้กำหนดนโยบายที่อนุญาตให้เข้าถึงการดำเนินการและประเภททรัพยากรเฉพาะ แต่เฉพาะในกรณีที่แท็กบทบาทหรือเซสชันนั้นตรงกับแท็กทรัพยากรเท่านั้น ดูบทแนะนำสอนการใช้งานโดยละเอียดที่สาธิตวิธีใช้ ABAC ใน AWS ได้ที่บทแนะนำสอนการใช้งาน IAM: กำหนดสิทธิ์อนุญาตในการเข้าถึงทรัพยากร AWS ตามแท็ก
การจำกัดสิทธิ์การเข้าถึง
ฉันจะจำกัดการเข้าถึงโดยใช้ IAM ได้อย่างไร
AWS Identity and Access Management (IAM) จะปฏิเสธการเข้าถึงทั้งหมดตามค่าเริ่มต้น และต้องมีนโยบายที่มอบสิทธิ์การเข้าถึง ในการจัดการสิทธิ์อนุญาตในวงกว้าง คุณอาจต้องการใช้กฎควบคุมระบบสิทธิ์อนุญาตและจำกัดสิทธิ์เข้าถึงทั่วบัญชีของคุณ หากต้องการจำกัดการเข้าถึง ให้ระบุคำกล่าวปฏิเสธในทุกนโยบาย หากคำกล่าวปฏิเสธนำไปใช้กับการร้องขอสิทธิ์การเข้าถึง คำกล่าวปฏิเสธจะมีผลเหนือคำกล่าวอนุญาตเสมอ ตัวอย่างเช่น หากคุณอนุญาตให้เข้าถึงการดำเนินการทั้งหมดใน AWS แต่ปฏิเสธการเข้าถึง IAM การร้องขอทั้งหมดที่ส่งไปยัง IAM จะถูกปฏิเสธ คุณสามารถรวมคำกล่าวปฏิเสธในนโยบายทุกประเภท ได้แก่ นโยบายตามข้อมูลประจำตัว นโยบายตามทรัพยากร และนโยบายควบคุมการบริการ กับ AWS Organizations ดูข้อมูลเพิ่มเติมได้ที่การควบคุมการเข้าถึงด้วย AWS Identity and Access Management
นโยบายควบคุมการบริการ (SCP) ของ AWS Organizations คืออะไร และฉันควรใช้เมื่อใด
SCP คล้ายกับนโยบาย IAM และใช้รูปแบบเดียวกันเกือบทั้งหมด แต่ SCP จะไม่มอบสิทธิ์อนุญาต โดย SCP จะอนุญาตหรือปฏิเสธการเข้าถึงบริการของ AWS สำหรับบัญชี AWS แต่ละบัญชีที่มีบัญชีสมาชิก Organizations หรือสำหรับกลุ่มบัญชีภายในหน่วยองค์กร การดำเนินการที่ระบุจาก SCP จะส่งผลต่อผู้ใช้ IAM และ IAM Role ทั้งหมด รวมถึงผู้ใช้รูทของบัญชีสมาชิกด้วย ดูข้อมูลเพิ่มเติมได้ที่ตรรกะการประเมินนโยบาย
การวิเคราะห์สิทธิ์การเข้าถึง
ฉันจะจัดการมอบสิทธิ์อนุญาตเท่าที่จำเป็นได้อย่างไร
เมื่อคุณเริ่มมอบสิทธิ์อนุญาต คุณสามารถเริ่มต้นด้วยการมอบสิทธิ์อนุญาตในวงกว้างก่อน ระหว่างที่สำรวจและทดลองรูปแบบต่าง ๆ เมื่อกรณีใช้งานของคุณขยับขยายเพิ่มขึ้น AWS แนะนำให้คุณปรับแต่งสิทธิ์อนุญาตเพื่อมอบเฉพาะสิทธิ์อนุญาตที่จำเป็นต่อการ มอบสิทธิ์อนุญาตเท่าที่จำเป็น AWS มีเครื่องมือที่จะช่วยคุณปรับแต่งสิทธิ์อนุญาตของคุณได้ คุณสามารถเริ่มต้นด้วยนโยบายที่มีการจัดการของ AWS ซึ่งสร้างและจัดการโดย AWS และรวมสิทธิ์อนุญาตสำหรับกรณีใช้งานทั่วไปด้วย เมื่อคุณปรับแต่งสิทธิ์อนุญาต ให้กำหนดสิทธิ์อนุญาตเฉพาะในนโยบายที่มีการจัดการโดยลูกค้า เพื่อช่วยคุณกำหนดสิทธิ์อนุญาตเฉพาะที่คุณต้องใช้ ให้ใช้ AWS Identity and Access Management (IAM) Access Analyzer ตรวจสอบข้อมูลบันทึก AWS CloudTrail และตรวจสอบข้อมูลการเข้าถึงล่าสุด นอกจากนี้คุณยังสามารถใช้เครื่องมือจำลองนโยบาย IAM เพื่อทดสอบและแก้ปัญหานโยบายได้อีกด้วย
IAM Access Analyzer คืออะไร
การมอบสิทธิ์อนุญาตเท่าที่จำเป็นคือวงจรต่อเนื่องในการให้สิทธิ์อนุญาตที่มีการปรับความเหมาะสมโดยละเอียดตามข้อกำหนดของคุณที่เปลี่ยนแปลงไป IAM Access Analyzer ช่วยคุณปรับปรุงการจัดการสิทธิ์อนุญาตในแต่ละขั้นตอนของวงจรนี้ การสร้างนโยบายด้วย IAM Access Analyzer จะสร้างนโยบายโดยละเอียดตามกิจกรรมการเข้าถึงที่จัดเก็บไว้ในบันทึกของคุณ ซึ่งหมายความว่า หลังจากที่คุณสร้างและเรียกใช้แอปพลิเคชัน คุณสามารถสร้างนโยบายที่มอบสิทธิ์อนุญาตเฉพาะที่จำเป็นต่อการใช้งานแอปพลิเคชันดังกล่าวเท่านั้นได้ การตรวจสอบความถูกต้องของนโยบายด้วย IAM Access Analyzer ใช้การตรวจสอบนโยบายมากกว่า 100 รายการสำหรับแนะแนวทางให้คุณในการเขียนและยืนยันนโยบายที่ปลอดภัยและใช้งานได้ คุณสามารถใช้การตรวจสอบเหล่านี้ในขณะที่สร้างนโยบายใหม่ๆ หรือเพื่อยืนยันความถูกต้องของนโยบายที่มีอยู่ก็ได้ การตรวจสอบนโยบายแบบกำหนดเอง เป็นคุณสมบัติแบบชำระเงินสำหรับตรวจสอบว่านโยบายที่เขียนโดยนักพัฒนานั้นเป็นไปตามมาตรฐานความปลอดภัยที่ระบุไว้ก่อนนำไปใช้จริงหรือไม่ การตรวจสอบนโยบายแบบกำหนดเองใช้พลังของการให้เหตุผลอัตโนมัติ อันเป็นการประกันความปลอดภัยที่สามารถพิสูจน์ได้โดยหลักฐานทางคณิตศาสตร์ ซึ่งทำให้ทีมรักษาความปลอดภัยสามารถตรวจจับการอัปเดตนโยบายที่ไม่สอดคล้องกันได้ในเชิงรุก
ผลการค้นหาบัญชีสาธารณะและแบบข้ามบัญชีด้วย IAM Access Analyzer จะช่วยคุณตรวจสอบความถูกต้องและปรับแต่งสิทธิ์การเข้าถึงที่นโยบายทรัพยากรจากนอกองค์กร AWS หรือบัญชีของคุณอนุญาต ดูข้อมูลเพิ่มเติมได้ที่การใช้งาน IAM Access Analyzer การเข้าถึงที่ไม่ได้ใช้ด้วย IAM Access Analyzer จะวิเคราะห์บัญชีของคุณอย่างต่อเนื่องเพื่อระบุการเข้าถึงที่ไม่ได้ใช้ และสร้างแดชบอร์ดส่วนกลางไว้ให้พร้อมการค้นพบ ผลการวิจัยเน้นย้ำบทบาทที่ไม่ได้ใช้ คีย์การเข้าถึงที่ไม่ได้ใช้สำหรับผู้ใช้ IAM และรหัสผ่านที่ไม่ได้ใช้สำหรับผู้ใช้ IAM สำหรับผู้ใช้และบทบาทใน IAM ที่ใช้งานอยู่ การค้นพบจะแสดงบริการและการดำเนินการที่ไม่ได้ใช้
ฉันจะลบสิทธิ์อนุญาตที่ไม่ได้ใช้อย่างไร
คุณอาจมีผู้ใช้ บทบาท และสิทธิ์อนุญาตของ IAM ที่คุณไม่ต้องใช้อีกต่อไปในบัญชี AWS ของคุณ เราขอแนะนำให้คุณลบออกโดยมีเป้าหมายเพื่อมอบสิทธิ์อนุญาตเท่าที่จำเป็น สำหรับผู้ใช้ IAM คุณสามารถตรวจสอบข้อมูลรหัสผ่านและ Access Key ที่ใช้ล่าสุดได้ สำหรับบทบาท คุณสามารถตรวจสอบข้อมูลบทบาทที่ใช้ล่าสุดได้ ข้อมูลนี้มีอยู่ใน IAM Console, API และ SDK ข้อมูลที่ใช้ล่าสุดช่วยให้คุณระบุผู้ใช้และบทบาทที่ไม่ได้ใช้งานอีกต่อไปและสามารถลบออกได้อย่างปลอดภัย นอกจากนี้คุณยังสามารถปรับแต่งสิทธิ์อนุญาตได้โดยการตรวจสอบบริการและข้อมูลที่เข้าถึงล่าสุดเพื่อระบุสิทธิ์อนุญาตที่ไม่ได้ใช้ ดูข้อมูลเพิ่มเติมได้ที่การปรับแต่งสิทธิ์อนุญาตใน AWS โดยใช้ข้อมูลที่เข้าถึงล่าสุด
หากคุณเปิดใช้งานการวิเคราะห์การเข้าถึงที่ไม่ได้ใช้เป็นคุณสมบัติแบบชำระเงิน IAM Access Analyzer จะวิเคราะห์บัญชีของคุณอย่างต่อเนื่องเพื่อระบุการเข้าถึงที่ไม่ได้ใช้ และสร้างแดชบอร์ดส่วนกลางไว้ให้พร้อมการค้นพบ แดชบอร์ดช่วยให้ทีมรักษาความปลอดภัยตรวจสอบการค้นพบจากส่วนกลางและจัดลำดับความสำคัญของบัญชีตามโวลุมการค้นพบ ทีมรักษาความปลอดภัยสามารถใช้แดชบอร์ดเพื่อตรวจสอบผลการวิจัยจากส่วนกลาง และจัดลำดับความสำคัญของบัญชีที่จะตรวจสอบตามโวลุมการค้นพบ ผลการวิจัยเน้นย้ำบทบาทที่ไม่ได้ใช้ คีย์การเข้าถึงที่ไม่ได้ใช้สำหรับผู้ใช้ IAM และรหัสผ่านที่ไม่ได้ใช้สำหรับผู้ใช้ IAM สำหรับผู้ใช้และบทบาทใน IAM ที่ใช้งานอยู่ การค้นพบจะแสดงบริการและการดำเนินการที่ไม่ได้ใช้ ซึ่งจะช่วยลดความยุ่งยากในการตรวจสอบการเข้าถึงที่ไม่ได้ใช้ เพื่อนำคุณไปยังการให้สิทธิ์เท่าที่จำเป็น ด้วยคุณสมบัตินี้ จะเป็นการชำระเงินตามบทบาทใน IAM หรือผู้ใช้ IAM ที่วิเคราะห์ต่อเดือน
เครื่องมือจำลองนโยบาย IAM คืออะไร และฉันควรใช้เมื่อใด
เครื่องมือจำลองนโยบาย IAM จะประเมินนโยบายที่คุณเลือกและกำหนดสิทธิ์อนุญาตที่มีผลใช้งานสำหรับการดำเนินการแต่ละรายการที่คุณระบุ ใช้ตัวจำลองนโยบายเพื่อทดสอบและแก้ไขปัญหานโยบายตามข้อมูลประจำตัวและตามทรัพยากร ขอบเขตสิทธิ์อนุญาตของ IAM และ SCP ดูข้อมูลเพิ่มเติมได้ที่การทดสอบนโยบาย IAM ด้วยเครื่องมือจำลองนโยบาย IAM
การตรวจสอบนโยบายแบบกำหนดเองของ IAM Access Analyzer คืออะไร
การตรวจสอบนโยบายแบบกำหนดเองของ IAM Access Analyzer จะตรวจสอบว่านโยบาย IAM เป็นไปตามมาตรฐานความปลอดภัยของคุณก่อนการนำไปใช้จริง การตรวจสอบนโยบายแบบกำหนดเองใช้พลังของการให้เหตุผลอัตโนมัติ อันเป็นการประกันความปลอดภัยที่สามารถพิสูจน์ได้โดยหลักฐานทางคณิตศาสตร์ ซึ่งทำให้ทีมรักษาความปลอดภัยสามารถตรวจจับการอัปเดตนโยบายที่ไม่สอดคล้องกันได้ในเชิงรุก ตัวอย่างเช่น การเปลี่ยนแปลงนโยบาย IAM ที่อนุญาตมากกว่าเวอร์ชันก่อนหน้า ทีมรักษาความปลอดภัยสามารถใช้การตรวจสอบเหล่านี้เพื่อปรับปรุงการตรวจสอบ อนุมัตินโยบายที่สอดคล้องกับมาตรฐานความปลอดภัยโดยอัตโนมัติ และตรวจสอบอย่างลึกซึ้งยิ่งขึ้นเมื่อไม่ทำเช่นนั้น การตรวจสอบความถูกต้องประเภทใหม่นี้ให้การรับประกันความปลอดภัยที่สูงขึ้นในระบบคลาวด์ ทีมรักษาความปลอดภัยและการพัฒนาสามารถปรับทบทวนนโยบายโดยอัตโนมัติแบบเฉพาะเจาะจงสำหรับตัวบุคคลโดยการรวมการตรวจสอบนโยบายที่กำหนดเองเหล่านี้เข้ากับเครื่องมือและสภาพแวดล้อมที่นักพัฒนาเขียนนโยบายของตน เช่น ไปป์ไลน์ CI/CD ของพวกเขา
การเข้าถึง IAM Access Analyzer ที่ไม่ได้ใช้คืออะไร
IAM Access Analyzer ช่วยให้การตรวจสอบการเข้าถึงที่ไม่ได้ใช้งานเป็นเรื่องง่าย เพื่อนำคุณไปสู่การให้สิทธิ์เท่าที่จำเป็น ทีมรักษาความปลอดภัยสามารถใช้ IAM Access Analyzer เพื่อรับการมองเห็นการเข้าถึงที่ไม่ได้ใช้ในองค์กร AWS ของตน และทำให้การปรับแต่งสิทธิ์เป็นแบบอัตโนมัติ หากคุณเปิดใช้งานการวิเคราะห์การเข้าถึงที่ไม่ได้ใช้เป็นคุณสมบัติแบบชำระเงิน IAM Access Analyzer จะวิเคราะห์บัญชีของคุณอย่างต่อเนื่องเพื่อระบุการเข้าถึงที่ไม่ได้ใช้ และสร้างแดชบอร์ดส่วนกลางไว้ให้พร้อมการค้นพบ แดชบอร์ดช่วยให้ทีมรักษาความปลอดภัยตรวจสอบการค้นพบจากส่วนกลางและจัดลำดับความสำคัญของบัญชีตามโวลุมการค้นพบ ทีมรักษาความปลอดภัยสามารถใช้แดชบอร์ดเพื่อตรวจสอบผลการวิจัยจากส่วนกลาง และจัดลำดับความสำคัญของบัญชีที่จะตรวจสอบตามโวลุมการค้นพบ ผลการวิจัยเน้นย้ำบทบาทที่ไม่ได้ใช้ คีย์การเข้าถึงที่ไม่ได้ใช้สำหรับผู้ใช้ IAM และรหัสผ่านที่ไม่ได้ใช้สำหรับผู้ใช้ IAM สำหรับผู้ใช้และบทบาทใน IAM ที่ใช้งานอยู่ การค้นพบจะแสดงบริการและการดำเนินการที่ไม่ได้ใช้