AWS Identity and Access Management (IAM), işlem bulut sunucuları ve depolama klasörleri gibi AWS hizmetlerinize ve kaynaklarınıza erişimi ve ilgili izinleri denetlemenize yardımcı olur. Örneğin IAM, kaynak politikaları ile müşterilerin belirli bir kaynağa kimlerin erişebileceğini ayrıntılı bir şekilde denetlemesine ve bu kişilerin bu kaynakları nasıl kullanabileceğini belirlemesine olanak tanır.

Bulut sayesinde kaynakları ihtiyaç duyduğunuz anda hızlı bir şekilde artırarak dakikalar içinde binlerce sunucu dağıtabilirsiniz. Bu nedenle, kaynak politikalarına hızla göz atmak ve istemediğiniz genel veya hesaplar arası izinlere sahip kaynakları tespit etmek büyük önem taşır. IAM Erişim Analizörü, bir AWS hesabının dışından erişilebilen kaynakları tespit etmek için kapsamlı bulgular üretir. IAM bunu yapmak için, kaynak politikalarını matematiksel mantık ve çıkarım yoluyla değerlendirerek politikaların izin verdiği olası erişim yollarını tespit eder. Yeni ve güncellenen politikaları sürekli olarak izleyen IAM Erişim Analizörü; Amazon S3 klasörleriniz, AWS KMS anahtarlarınız, Amazon SQS kuyruklarınız, AWS IAM rolleriniz ve AWS Lambda işlevleriniz için politikalar kullanılarak verilmiş izinleri analiz eder.

Güvenlik alanındaki en iyi uygulamalardan birini izleyerek olabildiğince az ayrıcalık ilkesi kapsamında izinlerin zaman içindeki kullanımını incelemeniz ve gereksiz izinleri kaldırmanız da önemlidir. IAM, "son erişim" verisine erişmenizi sağlar. Bu, bir IAM politikasının veya varlığının (örneğin bir kullanıcı veya bir rol) bir hizmeti veya desteklenen hizmetlerden bir eylemi en son ne zaman kullandığını gösteren bir zaman damgasıdır. Bu sayede kullanılmayan izinleri kolayca tespit edebilir ve kullanıcının, grubun veya rolün belirli bir görevi yerine getirmek için ihtiyaç duymadığı izinleri kaldırarak güvenlik özelliklerinizi iyileştirebilirsiniz. AWS Organizations ana hesabından, bir hizmete kurum kökünden, kurum birimlerinden (OU) ve hesaplardan en son ne zaman erişim sağlandığını da görebilirsiniz. IAM veya Organizations varlıklarınıza verilen izinlerle ilgili kararlar alırken "son erişim" verisini nasıl kullanacağınız hakkında daha fazla bilgi edinmek için Hizmete Son Erişim Verilerinin Kullanımına Yönelik Örnek Senaryolar belgesine göz atın.

Avantajlar

Genel veya hesaplar arası erişilebilirlik için kaynak politikalarını analiz ederken zamandan tasarruf sağlar

Günler ve hatta haftalar sürebilen araştırma veya kalıp eşleştirme tekniklerine kıyasla IAM Erişim Analizörü, bir AWS hesabının dışından erişilebilen kaynaklar hakkında kapsamlı bulgular üretmek üzere gerekli zamanı ciddi oranda azaltmak için matematiksel mantık ve çıkarım teknikleri kullanır. IAM Erişim Analizörü; Amazon S3 klasörleriniz, AWS KMS anahtarlarınız, Amazon SQS kuyruklarınız, AWS IAM rolleriniz ve AWS Lambda işlevleriniz için politikalar kullanılarak verilmiş izinleri değerlendirir. IAM Erişim Analizörü, detaylı bulguları AWS IAM, Amazon S3 ve AWS Security Hub konsolları üzerinden iletir.

İzinleri sürekli olarak izler ve iyileştirmenize yardımcı olur

IAM Erişim Analizörü, potansiyel güvenlik sonuçlarını anlamanıza yardımcı olmak için yeni veya güncellenen tüm kaynak politikalarını sürekli olarak izler ve analiz eder. Örneğin, bir Amazon S3 klasörü politikası değiştiğinde, IAM sizi hesap dışındaki kullanıcıların bu klasöre erişebildiği konusunda uyarabilir.

IAM, bir IAM politikasının veya varlığının bir hizmeti en son ne zaman kullandığını belirten "son erişim" zaman damgası verisini sağlar. Bu sayede kullanılmayan izinleri kolayca tespit ederek kaldırabilir ve sadece görevi yerine getirmek üzere ihtiyaç duyulan izinleri vererek güvenlik özelliklerinizi iyileştirebilirsiniz.

En üst düzeylerde güvenlik teminatı sağlar

IAM Erişim Analizörü, bir kaynak politikasının izin verdiği tüm olası erişim yollarını belirlemek amacıyla, bir matematiksel mantık ve çıkarım yaklaşımı olan otomatik akıl yürütme yöntemini kullanır. Bu analiz sonuçlarına, bulutta bulut güvenliği için daha yüksek bir teminat düzeyi olan kanıtlanabilir güvenlik adını veririz.

Bazı araçlar belirli erişim senaryolarını test etmenize olanak tanısa da, matematiksel yöntemlerden yararlanarak tüm olası erişim isteklerini analiz edebilen IAM Erişim Analizörü, politikalarınızın sadece istediğiniz erişimi sağladığına dair duyduğunuz güveni artırır.

Nasıl çalışır?

IAM erişim analizörü nasıl çalışır?

Politika analizi için otomatik akıl yürütme

Otomatik akıl yürütme, akıl yürütmenin matematikle ve biçimsel mantıkla ilgili farklı yönlerini otomatikleştiren bir bilişsel bilim alanıdır. AWS Otomatik Akıl Yürütme Ekibi; bulut kaynakları, yapılandırmaları ve altyapısı hakkında akıl yürüterek bunların davranışlarının çeşitli yönleri hakkında hızla teminat sağlayabilen algoritmalar tasarlamakta ve kodlar yazmaktadır. Kaynak politikaları bağlamında AWS, bunları hassas mantıksal formüllere dönüştürmekte ve ardından otomatik akıl yürütücüleri kullanarak hangi kaynakların genel veya hesaplar arası erişim verdiğini kapsamlı bir şekilde özetlemektedir. Amazon Web Services içindeki otomatik akıl yürütme araçlarının ve yöntemlerinin bulut için nasıl daha yüksek bir düzeyde güvenlik teminatı sağladığını öğrenmek için "AWS Hakkında Biçimsel Akıl Yürütme" makalesini okuyun."

AWS IAM özellikleri hakkında daha fazla bilgi edinin

Özellik sayfasını ziyaret edin
Oluşturmaya hazır mısınız?
AWS IAM'yi kullanmaya başlayın
Başka sorunuz mu var?
Bize ulaşın