跳至主要內容

AWS IAM Access Analyzer

AWS IAM Authenticator 功能

概觀

IAM Access Analyzer 透過提供設定、驗證和精簡許可的工具,引導您實現最低權限。作為全面的許可分析和政策驗證工具,IAM Access Analyzer 提供存取調查結果、政策檢查和政策產生。

IAM Access Analyzer 使用可證明的安全性來提供有關外部、內部和未使用存取權的全面調查結果,並提供自訂政策檢查。 可證明的安全性依賴自動推理技術,即應用數學邏輯來協助解決有關基礎設施的關鍵問題,包括 AWS 許可。若要了解 AWS 自動推理工具和方法如何為雲端提供更高層級的安全保證,請瀏覽什麼是自動推理?,或下載白皮書《關於 Amazon Web Services 安全性的形式推理》。

設定精密許可

全部開啟

    IAM 存取分析器會根據 AWS CloudTrail 記錄檔中擷取的存取活動,產生精細規則。這表示建置和執行應用程式後,您可以產生僅授予操作應用程式所需許可的 IAM 政策。

    IAM Access Analyzer 指導您根據 IAM 最佳做法,撰寫並驗證安全和功能性政策。例如,如果您的政策包含 Resource 元素中帶有星號的 IAM:PassRole 權限,則 IAM Access Analyzer 會將其標記為安全警告。IAM Access Analyzer 包括四種政策驗證調查結果類型︰安全警告、錯誤、一般警告,以及針對政策的 IAM 最佳做法建議。調查結果提供可行的建議,協助您撰寫有效且符合 AWS 最佳實務及您的安全標準的政策。

驗證人員的存取權限

全部開啟

    IAM Access Analyzer 可引導您驗證現有的外部存取是否符合您的意圖。IAM 存取分析器使用自動化推理工具,以獲得可證明的安全保證,分析對 AWS 資源的所有外部存取權。開啟 IAM Access Analyzer 時,它會持續監控新的或更新的資源使用權限,以協助您確定授予公有帳戶和跨帳戶存取權的許可。例如,如果 Amazon S3 儲存區政策發生變更,IAM 存取分析器會警告您,帳戶外的使用者可以存取該儲存區。使用這一相同分析,IAM Access Analyzer 可讓您在部署許可變更之前,更輕鬆地檢閱和驗證公有和跨帳户存取權。

    IAM Access Analyzer 可識別 AWS 組織中誰可以存取您的關鍵 AWS 資源。該服務使用自動推理來集合評估多項政策,並在使用者或角色擁有您的 S3、DynamoDB 或 RDS 資源存取權時產生調查結果。調查結果彙總在統一的儀表板中,從而簡化了存取權審查和管理。您可以使用 Amazon EventBridge,自動通知開發團隊新的調查結果,以移除意外的存取權。內部存取調查結果為安全團隊提供了可見性,以加強對其關鍵資源的存取控制,並協助合規團隊展示存取控制稽核需求。

    IAM Access Analyzer 會在部署之前驗證 IAM 政策是否有遵守您的安全標準。自訂政策檢查利用自動推理的強大功能,讓安全團隊能夠主動偵測不合規的政策更新。例如,IAM 政策變更後比舊版政策來得更寬鬆,經過標記以供進一步審查。安全團隊可利用這些檢查來簡化審查工作、自動核准符合安全標準的政策,並在深入調查不符合安全標準時進行更深入的調查。安全和開發團隊可將自訂政策檢查整合到開發人員編寫政策的工具和環境 (如 CI/CD 管道) 中,以大規模自動化政策審查。

精細化存取權限

全部開啟

    IAM Access Analyzer 可讓您輕鬆檢查未使用的存取權,以引導您取得最低權限。安全團隊可使用 IAM Access Analyzer 來了解其 AWS 組織中未使用的存取權,並自動執行調整權限大小的方法。IAM Access Analyzer 會持續分析您的帳戶以識別任何未使用的存取權,並提供建議和可行的指引協助您修復未使用的存取權。它將調查結果整合於單一儀表板,這有助於安全團隊檢閱調查結果,並根據調查結果的數量排定帳戶優先順序。調查結果會反白顯示未使用的角色、IAM 使用者未使用的存取金鑰,以及 IAM 使用者未使用的密碼。對於作用中的 IAM 角色和使用者,這些調查結果可讓您了解未使用的服務和動作。安全團隊可自動執行通知工作流程,以協助開發團隊識別及移除未使用的存取權。

    IAM Access Analyzer 提供上次存取的資訊,這些資料與角色或使用者上次透過其 IAM 政策使用 AWS 服務和所選 AWS 服務中動作的時間有關。這可協助您識別優化許可的機會。使用此資訊,您可以比較上次存取權限時已授予角色或使用者的這些權限,以移除未使用的存取權限並進一步細化您的權限。

整合

全部開啟

    當 IAM 存取分析器與 AWS Security Hub 雲端安全性狀態管理 (CSPM) 整合時,可將外部和未使用的存取結果傳送至 CSPM,並根據安全產業標準和最佳做法進行檢查。這可讓您進一步分析安全模式,且有助於識別最高優先順序的安全問題。Security Hub 可在對您的安全狀況分析中納入 IAM Access Analyzer 的調查結果。

    透過將 IAM 存取分析器與 Amazon EventBridge 整合,您可以通知團隊審查和移除其 AWS 帳戶中過多的權限,以自動化和擴展權限調整。當產生、刪除調查結果或調查結果狀態變更時,IAM Access Analyzer 將事件傳送到 EventBridge。若要接收調查結果和有關調查結果的通知,您必須在 EventBridge 中啟用並建立事件規則。