AWS Identity and Access Management (IAM) 協助您控制 AWS 服務與資源的存取與許可,例如,運算執行個體和儲存貯體。例如,透過使用資源政策,IAM 允許顧客更精細地控制誰可存取特定資源,以及他們使用資源的方法。

藉由雲端,您可以根據需要快速啟動資源,在幾分鐘內部署數千部伺服器。因此,快速瀏覽資源政策,並識別您也許未指定的大眾或跨帳戶存取之資源,就變得特別重要。IAM Access Analyzer 建立綜合的發現結果,進而辨識可從 AWS 帳戶以外存取的資源。IAM Access Analyzer 使用數學邏輯和推理,決定政策允許的可行存取路徑,進而評估資源政策,以完成此作業。IAM Access Analyzer 持續監控新或更新政策,並使用您的 Amazon S3 儲存貯體、AWS KMS 金鑰、Amazon SQS 佇列、IAM 角色和 AWS Lambda 功能的政策,分析授與的許可。

作為安全最佳實務,同樣重要的是:了解許可長期的實際用法,以便根據最低權限原則,移除不必要的許可。IAM 為您提供「最後存取」資料,也就是 IAM 政策或實體 (例如,使用者或角色) 最後一次使用特定服務或支援的服務操作的時間戳記。透過移除對使用者、群組或角色執行特定任務時的不必要許可,您就可輕易辨識未使用的許可,並提升您的安全狀態。您也可從 AWS Organizations 的主要帳戶看到基層組織、組織單位 (OU) 和帳戶最後一次存取特定服務的時間。欲知更多如何使用「最後存取」資料,以便作出有關授與您 IAM 或組織實體的許可之決策,請參閱使用最後存取服務資料的情境範例

優勢

不必花太多時間,就能分析大眾或跨帳戶存取功能的資源政策

與使用可能需時數日或數週的啟發法或模式比對法相比, IAM Access Analyzer 使用數學運算和推理,減少大量時間,就能建立綜合的發現結果,了解可從 AWS 帳戶以外存取那些資源。IAM Access Analyzer 使用您的 Amazon S3 儲存貯體、AWS KMS 金鑰、Amazon SQS 佇列、IAM 角色和 AWS Lambda 功能的政策,評估授與的許可。IAM Access Analyzer 透過 AWS IAM、 Amazon S3 和 AWS Security Hub 主控台,以及其 API,提供詳盡的發現結果。

持續監控,協助您精簡權限

IAM Access Analyzer 持續監控和分析任何新或更新資源政策,協助您了解潛在的安全隱憂。例如,當 Amazon S3 儲存貯體政策變更時,IAM 會提醒您帳戶以外的使用者可存取儲存貯體。

IAM 也為您提供「最後存取」時間戳記資料,說明特定 IAM 政策或實體最後使用服務的時間,好讓您輕鬆辨識和移除未使用的許可,進而透過授與執行特定任務的必要許可,增進您的安全狀態。

提供最高層級的安全保證

IAM Access Analyzer 使用自動推理,決定特定資源政策允許的所有可能存取路徑。自動推理是一種的數學邏輯和推理形式。我們稱這些分析結果為可證明的安全性,為雲端內外的安全,提供更高層級的安全保證。

某些工具可讓您測試特定的存取情境,而 IAM Access Analyzer 則可使用數學分析所有可能的存取要求,讓您更能深信所制訂的政策只能按您的意願,啟動必要的存取。

運作方式

IAM Access Analyzer 的運作方式

自動推理,進行政策分析

自動推理屬於一門認知科學,能自動針對與數學和形式邏輯相關的不同領域,進行不同領域的推理。AWS 自動推理團隊設計演算法和建立代碼,可推理雲端資源、組態和基礎設施,快速對其行為提供保證。在資源政策方面,AWS 把它們轉換為精確的邏輯公式,然後使用自動推理程式,全面概述授與大眾或跨帳戶存取的資源。閱讀 "Formal Reasoning About AWS",了解 Amazon Web Services 的自動推理工具和方法,如何為雲端提供更高層級的安全保證。

進一步了解 AWS IAM 功能。

瀏覽功能頁面
準備好開始建立?
開始使用 AWS IAM
還有其他問題嗎?
聯絡我們