IAM 協助您分析存取並引導您完成最低權限之旅。在 AWS 上建置時,需要使用 IAM 政策來設定精細的許可。IAM Access Analyzer 提供超過 100 項政策檢查,可協助您在政策編寫期間主動驗證政策。這些檢查將分析您的政策,報告錯誤、警告和建議,並提供可操作的建議,以指導您設定安全和功能許可。就像在您最喜愛的文字處理器上進行語法檢查一樣,在您使用 IAM 主控台中的政策編輯器編寫政策時,IAM Access Analyzer 會自動執行這些政策檢查。您還可以使用 Access Analyzer API 以程式設定方式驗證政策。此外,IAM Access Analyzer 還可讓您在部署許可變更之前,驗證資源的公開和跨帳戶存取。您可以在 Amazon S3 主控台中,或使用 IAM Access Analyzer API 預覽存取。

在您繼續最低特權之旅時,IAM Access Analyzer 可以協助您審查現有存取權,讓您能夠識別和刪除意外的外部或未使用的許可。為了讓您能夠識別具有公有或跨帳戶存取權的資源,IAM Access Analyzer 使用自動化推理,來產生可從 AWS 帳戶外部存取資源的綜合性問題清單。針對此分析,IAM Access Analyzer 持續監控新的或更新的資源政策,並針對您的 Amazon S3 儲存貯體、AWS KMS 金鑰、Amazon SQS 佇列、IAM 角色、AWS Lambda 功能和 AWS Secrets Manager 機密,分析授與的許可。為了協助您移除未使用的許可,IAM 提供了上次存取的資訊,以指定 IAM 實體上次使用服務或動作的時間。透過讓您能夠輕鬆識別和移除未使用的許可,可以協助您減少存取。為了協助您設定許可護欄,您還可以分析 AWS 組織中的實體 (例如組織單位 (OU) 或帳戶) 上次存取服務的時間。欲知更多如何使用「最後存取」資料,以便作出有關授與您 IAM 或組織實體的許可之決策,請參閱使用最後存取服務資料的情境範例。在 IAM 主控台中,以及透過 IAM Access Analyzer API,可以免費使用 IAM Access Analyzer 功能。

優勢

指導性政策編寫

IAM Access Analyzer 會執行政策檢查,以指導您設定安全和功能許可。這些檢查將分析您的政策,報告錯誤、警告和建議,並提供可操作的建議,以協助您驗證政策。就像在您最喜愛的文字處理器上進行語法檢查一樣,在您使用 IAM 主控台中的政策編輯器編寫政策時,IAM Access Analyzer 會自動執行這些檢查。您還可以使用 IAM Access Analyzer API 以程式設定方式驗證政策。

對公有和跨帳戶存取進行綜合性分析

IAM Access Analyzer 會分析政策,以協助您識別和解決對資源意外的公有或跨帳戶存取。IAM Access Analyzer 使用數學邏輯和推理,針對可從 AWS 帳戶外部存取的資源產生綜合性問題清單。藉助這些問題清單,您可以確定哪些您可能不希望具有公有或跨帳戶存取權的資源。IAM Access Analyzer 使用您的 Amazon S3 儲存貯體、AWS KMS 金鑰、Amazon SQS 佇列、IAM 角色和 AWS Lambda 函數評估授與的許可,並透過 AWS IAM、Amazon S3 和 AWS Security Hub 主控台,以及透過其 API 提供詳細的問題清單。藉助 IAM Access Analyzer,您還可以預覽問題清單,並驗證您的政策變更僅授予對資源的預期存取權。透過預覽結果,可以在部署許可之前防止意外存取。

持續監控並減少許可

IAM Access Analyzer 持續監控和分析新的或更新的資源政策,以協助您確定授予公有帳戶和跨帳戶存取權的許可。例如,當 Amazon S3 儲存貯體政策變更時,IAM Access Analyzer 會提醒您帳戶以外的使用者可存取儲存貯體。

此外,IAM 還為您提供有關 IAM 實體 (如 IAM 角色) 上次存取時間戳記的資訊 (上次使用服務或動作時)。這讓您能夠透過移除未使用的許可,並僅授予執行任務所需的存取權來減少許可。

提供最高層級的安全保證

為了產生可從 AWS 帳戶外部存取的資源的綜合性問題清單,IAM Access Analyzer 使用了自動推理,這是一種數學邏輯和推理方式。我們稱這些分析結果為可證明的安全性,為雲端內外的安全,提供更高層級的安全保證。 雖然有些工具可讓您測試特定的存取方案,但 IAM Access Analyzer 運用數學來分析所有可能的存取請求,並產生外部存取的問題清單。這讓您可以放心地驗證外部存取。

運作方式 - 監控對資源的外部存取

IAM Access Analyzer 的運作方式

適用於外部存取分析的自動推理

自動推理屬於一門認知科學,能自動針對與數學和形式邏輯相關的不同領域,進行不同領域的推理。AWS 自動推理團隊設計演算法和建立代碼,可推理雲端資源、組態和基礎設施,快速對其行為提供保證。在資源政策方面,AWS 把它們轉換為精確的邏輯公式,然後使用自動推理程式,全面概述授與大眾或跨帳戶存取的資源。閱讀 "Formal Reasoning About AWS",了解 Amazon Web Services 的自動推理工具和方法,如何為雲端提供更高層級的安全保證。

進一步了解 AWS IAM 功能。

瀏覽功能頁面
準備好開始建立?
開始使用 AWS IAM
還有其他問題嗎?
聯絡我們