AWS Identity and Access Management (IAM) ช่วยให้คุณสามารถควบคุมการเข้าถึงและสิทธิ์การใช้บริการและทรัพยากรของ AWS เช่น อินสแตนซ์การประมวลผลและบัคเก็ตการจัดเก็บ ด้วยการใช้นโยบายด้านทรัพยากร เช่น IAM ที่อนุญาตให้ลูกค้าควบคุมผู้ที่สามารถเข้าถึงทรัพยากรที่กำหนดและวิธีการที่พวกเขาสามารถใช้ได้โดยละเอียด

เมื่อใช้ระบบคลาวด์ คุณสามารถหมุนเวียนทรัพยากรตามที่คุณต้องการได้อย่างรวดเร็ว โดยการใช้เซิร์ฟเวอร์นับพันได้ภายในไม่กี่นาที ด้วยเหตุนี้ ความสามารถในการค้นหานโยบายด้านทรัพยากรและระบุทรัพยากรด้วยการเข้าถึงสาธารณะหรือแบบข้ามบัญชีที่คุณอาจไม่ตั้งใจได้อย่างรวดเร็วจึงเป็นสิ่งที่สำคัญอย่างยิ่ง IAM Access Analyzer สร้างผลการค้นหาที่ครอบคลุม ซึ่งจะระบุทรัพยากรที่สามารถเข้าถึงได้จากภายนอกบัญชี AWS IAM Access Analyzer ทำเช่นนั้นได้ด้วยการประเมินนโยบายด้านทรัพยากรโดยใช้ตรรกศาสตร์เชิงคณิตศาสตร์และการอนุมานเพื่อกำหนดเส้นทางการเข้าถึงที่เป็นไปได้ที่นโยบายอนุญาต IAM Access Analyzer คอยเฝ้าติดตามนโยบายใหม่หรือนโยบายที่อัปเดตแล้วอย่างต่อเนื่อง อีกทั้งยังวิเคราะห์สิทธิ์การอนุญาตที่ได้รับโดยการใช้นโยบายสำหรับบัคเก็ต Amazon S3, คีย์ KMS ของ AWS, คิว Amazon SQS, บทบาท IAM ของ AWS และฟังก์ชัน AWS Lambda

ตามแนวทางการปฏิบัติที่ดีที่สุดด้านความปลอดภัยแล้ว การพิจารณาว่าสิทธิ์ได้ถูกงานจริงอย่างไรตามกาลเวลาก็เป็นสิ่งสำคัญเช่นกัน ดังนั้น คุณจึงสามารถลบสิทธิ์ที่ไม่จำเป็นได้ตามหลักการของสิทธิ์พิเศษขั้นต่ำ IAM มอบข้อมูล “การเข้าใช้บริการครั้งล่าสุด” ให้กับคุณ ซึ่งเป็นตราประทับเวลาเมื่อนโยบาย IAM หรือเอนทิตี เช่น ผู้ใช้หรือบทบาท ใช้บริการครั้งล่าสุด ข้อมูลนี้ทำให้คุณสามารถระบุสิทธิ์ที่ไม่ได้ใช้งาน และปรับปรุงระบบการจัดการความปลอดภัยโดยการลบสิทธิ์ที่ไม่จำเป็นสำหรับผู้ใช้ กลุ่ม หรือบทบาท ในการดำเนินงานบางอย่าง นอกจากนั้น คุณยังสามารถดูการเข้าถึงบริการครั้งล่าสุดด้วยรูทการจัดการ หน่วยจัดเก็บออบเจ็กต์ (OU) และบัญชี ได้จากบัญชีหลักของ AWS Organizations หากต้องการเรียนรู้เพิ่มเติมเกี่ยวกับวิธีการใช้งานข้อมูล “การเข้าใช้บริการครั้งล่าสุด” เพื่อใช้ในการตัดสินใจเกี่ยวกับการให้สิทธิ์แก่ IAM หรือเอนทิตี Organizations ของคุณ โปรดดู “ตัวอย่างสถานการณ์การใช้ข้อมูลการเข้าใช้บริการครั้งล่าสุด”

ประโยชน์

ช่วยประหยัดเวลาในการวิเคราะห์นโยบายด้านทรัพยากรสำหรับการเข้าถึงแบบสาธารณะหรือแบบข้ามบัญชี

IAM Access Analyzer ใช้ตรรกศาสตร์เชิงคณิตศาสตร์และการอนุมานเพื่อลดเวลาการสร้างผลการค้นหาที่ครอบคลุมเกี่ยวกับทรัพยากรที่สามารถเข้าถึงได้จากนอกบัญชี AWS ได้อย่างมากเมื่อเปรียบเทียบกับการช่วยค้นหาหรือเทคนิคการจับคู่รูปแบบที่อาจใช้เวลาดำเนินการเป็นวันหรือเป็นสัปดาห์ IAM Access Analyzer ประเมินสิทธิ์ที่ได้รับโดยใช้นโยบายสำหรับบัคเก็ต Amazon S3, คีย์ KMS ของ AWS, คิว Amazon SQS, บทบาท IAM ของ AWS และฟังก์ชัน AWS Lambda ของคุณ IAM Access Analyzer นำเสนอผลการค้นหาอย่างละเอียดผ่านทาง AWS IAM, Amazon S3 และ AWS Security Hub Console รวมถึงผ่านทาง API ของตนอีกด้วย

เฝ้าติดตามอย่างต่อเนื่องและช่วยคุณปรับปรุงสิทธิ์การอนุญาต

IAM Access Analyzer คอยเฝ้าติดตามและวิเคราะห์นโยบายด้านทรัพยากรใหม่และที่อัปเดตแล้วทุกรายการอย่างต่อเนื่อง เพื่อช่วยให้คุณเข้าใจผลกระทบด้านความปลอดภัยที่อาจเกิดขึ้น ตัวอย่างเช่น เมื่อนโยบายบัคเก็ต Amazon S3 มีการเปลี่ยนแปลง IAM จะแจ้งเตือนให้คุณทราบว่าผู้ใช้จากภายนอกบัญชีสามารถเข้าถึงบัคเก็ตได้

นอกเหนือจาก IAM Access Analyzer แล้ว IAM ยังให้ข้อมูลเกี่ยวกับตราประทับเวลา “การใช้บริการครั้งล่าสุด” เมื่อนโยบาย IAM หรือเอนทิตีใช้บริการครั้งล่าสุด ดังนั้น คุณสามารถระบุและลบสิทธิ์ที่ไม่ได้ใช้งานได้อย่างง่ายดาย เพื่อช่วยปรับปรุงระบบการจัดการความปลอดภัยโดยการให้สิทธิ์ที่จำเป็นในการดำเนินงานที่กำหนดเท่านั้น

มอบการรับประกันความปลอดภัยระดับสูงสุด

IAM Access Analyzer ใช้ การคิดให้เหตุผล ซึ่งเป็นรูปแบบหนึ่งของตรรกศาสตร์เชิงคณิตศาสตร์และการอนุมาน เพื่อกำหนดเส้นทางการเข้าถึงที่เป็นไปได้ทั้งหมดที่นโยบายด้านทรัพยากรอนุญาต เราเรียกผลการวิเคราะห์เหล่านี้ว่า การรักษาความปลอดภัยที่พิสูจน์ได้ ซึ่งเป็นการรับประกันความปลอดภัยของคลาวด์และในคลาวด์ที่มีระดับสูงกว่า

ในขณะที่เครื่องมือบางอย่างให้คุณทดสอบสถานการณ์การเข้าถึงโดยเฉพาะ แต่ IAM Access Analyzer สามารถใช้คณิตศาสตร์ในการวิเคราะห์คำขอเข้าถึงที่เป็นไปได้ทั้งหมด ซึ่งช่วยเพิ่มความมั่นใจให้แก่คุณว่านโยบายของคุณเปิดใช้งานเฉพาะการเข้าถึงที่คุณต้องการเท่านั้น

วิธีการทำงาน

IAM Access Analyzer ทำงานอย่างไร

การคิดให้เหตุผลในการวิเคราะห์นโยบาย

การคิดให้เหตุผลเป็นสาขาหนึ่งของวิทยาการปัญญา ซึ่งให้แง่มุมของการใช้เหตุผลที่เกี่ยวข้องกับคณิตศาสตร์และตรรกศาสตร์เชิงรูปแบบที่แตกต่างกัน AWS Automated Reasoning Group ออกแบบอัลกอริทึมและสร้างโค้ดที่สามารถให้เหตุผลเกี่ยวกับทรัพยากรคลาวด์ การกำหนดค่า และโครงสร้างพื้นฐาน เพื่อสร้างความมั่นใจเกี่ยวกับแง่มุมของพฤติกรรมได้อย่างรวดเร็ว ในกรณีของนโยบายด้านทรัพยากรนั้น AWS แปลงการคิดให้เหตุผลให้เป็นสูตรเชิงตรรกะที่แม่นยำ จากนั้นใช้ตัวให้เหตุผลสรุปอย่างครอบคลุมว่าทรัพยากรใดให้สิทธิ์การเข้าถึงแบบสาธารณะหรือแบบข้ามบัญชี อ่าน “การใช้เหตุผลตามรูปแบบเกี่ยวกับ AWS” เพื่อเรียนรู้ว่าเครื่องมือและวิธีการคิดให้เหตุผลภายใน Amazon Web Services มอบการรับประกันความปลอดภัยสำหรับคลาวด์ในระดับที่สูงกว่าได้อย่างไร

เรียนรู้เพิ่มเติมเกี่ยวกับคุณสมบัติของ AWS IAM

ไปที่หน้าคุณสมบัติ
พร้อมสร้างหรือยัง
เริ่มต้นใช้งาน AWS IAM
มีคำถามเพิ่มเติมหรือไม่
ติดต่อเรา