實現最小權限是一個連續的週期,隨著您需求的發展授予正確的精密許可。AWS Identity and Access Management (IAM) Access Analyzer 可協助您在該週期的每一步精簡許可管理。

顯示設定、驗證和精簡的影像

您的最低權限之旅:設定、驗證和精簡

設定精密許可

使用 IAM Access Analyzer 產生政策會根據日誌中擷取的存取活動產生精簡政策。這意味著建置和執行應用程式後,您可以產生僅授予操作應用程式所需許可的政策。

使用 Access Analyzer 進行政策驗證可指導您透過 100 多項政策檢查來創作和驗證安全和功能性政策。建立新政策時,您可以使用這些檢查來驗證現有政策。

驗證既定許可

使用 Access Analyzer 的公共和跨帳戶問題清單可引導您驗證現有存取是否符合您的意圖。Access Analyzer 使用可證明的安全性分析所有存取路徑,並提供資源外部存取的全面分析。開啟 Access Analyzer 時,它會持續監控新的或更新的資源許可,以協助您確定授予公有帳戶和跨帳戶存取權的許可。例如,如果 Amazon S3 儲存貯體政策發生變更,Access Analyzer 會提醒您帳戶以外的使用者可存取儲存貯體。

使用這一相同分析,Access Analyzer 可讓您在部署許可變更之前,更輕鬆地檢閱和驗證公有和跨帳戶存取權限。

透過移除未使用的存取權限精簡許可

上次存取的資訊提供有關上次使用 AWS 服務的時間的資料,這有助於您確定加強許可的機會。使用此資訊,您可以將已授予的許可與上次存取這些許可時授予的許可進行比較,以移除未使用的存取權限並進一步細化您的許可。

您還可以將上次使用的時間戳記用於您的 IAM 角色和存取金鑰,以移除不再需要的 IAM 實體。

公有和跨帳戶分析的可證明安全性

Access Analyzer 使用可證明的安全性來提供對您資源的公有和跨帳戶存取的全面問題清單。可證明的安全性依賴自動推理技術,即應用數學邏輯來協助解決有關基礎設施的關鍵問題,包括 AWS 許可。若要了解 AWS 自動推理工具和方法如何為雲端提供更高層級的安全保證,請參閱 Formal Reasoning About the Security of Amazon Web Services

觀看這些視訊以進一步了解 Access Analyzer

搭配使用 Access Analyzer 和 Amazon S3 儲存貯體 (8:06)
部署許可變更之前預覽存取 (9:10)
使用 Access Analyzer 政策驗證來設定安全和功能性政策 (2:59)

進一步了解 IAM 功能

瀏覽功能頁面
準備好開始建立?
開始使用 IAM
還有其他問題嗎?
聯絡我們