IAM giúp bạn phân tích quyền truy cập và hướng dẫn bạn trong hành trình ít đặc quyền nhất của mình. Khi xây dựng trên AWS, bạn sẽ cần đặt ra các quyền chi tiết bằng chính sách IAM. Trình phân tích truy cập IAM cung cấp trên 100 hoạt động kiểm tra chính sách giúp bạn chủ động xác thực chính sách trong khi tạo chính sách. Những hoạt động kiểm tra này phân tích chính sách của bạn và báo cáo lỗi, cảnh báo và gợi ý bằng các đề xuất hữu ích hướng dẫn bạn đặt ra các quyền bảo mật và đầy đủ chức năng. Cũng giống như tính năng kiểm tra ngữ trên trình xử lý văn bản yêu thích của bạn, Trình phân tích truy cập IAM tự động thực hiện các hoạt động kiểm tra chính sách này khi bạn tạo chính sách bằng trình chỉnh sửa chính sách trong bảng điều khiển IAM. Bạn cũng có thể lập trình để xác thực chính sách của mình bằng API của Trình phân tích truy cập. Trình phân tích truy cập IAM cũng hỗ trợ bạn xác thực quyền truy cập công khai và liên tài khoản vào các tài nguyên trước khi áp dụng những thay đổi về quyền. Bạn có thể xem quyền truy cập trong bảng điều khiển Amazon S3 hoặc bằng API của Trình phân tích truy cập IAM.

Khi bạn tiếp tục trên hành trình ít đặc quyền nhất của bạn, Trình phân tích truy cập IAM giúp bạn xem lại các quyền truy cập sẵn có, giúp bạn xác định và xóa các quyền bên ngoài không mong muốn hoặc quyền không sử dụng. Để giúp bạn xác định các tài nguyên bằng quyền truy cập công khai và liên tài khoản, Trình phân tích truy cập IAM sử dụng tính năng suy luận tự động để tạo các phát hiện toàn diện cho tài nguyên có thể được truy cập từ bên ngoài tài khoản AWS. Để thực hiện phân tích này, Trình phân tích truy cập IAM liên tục giám sát để tìm ra các chính sách mới hoặc chính sách cập nhật cho tài nguyên và phân tích các quyền được cấp cho vùng lưu trữ Amazon S3, khóa AWS KMS, hàng đợi Amazon SQS, vai trò AWS IAM, hàm AWS Lambda và bảo mật AWS Secrets Manager. Để giúp bạn xóa các quyền không sử dụng, IAM cung cấp thông tin về lần truy cập gần nhất để tìm ra thời điểm một thực thể IAM sử dụng dịch vụ hoặc hành động gần nhất. Điều này giúp bạn giảm quyền truy cập bằng cách giúp bạn dễ dàng xác định và xóa quyền truy cập không sử dụng. Để giúp bạn đặt các biện pháp bảo vệ quyền, bạn cũng có thể phân tích lần gần nhất một dịch vụ được truy cập bằng thực thể trong tổ chức AWS của bạn, chẳng hạn như tài khoản hoặc đơn vị tổ chức (OU). Để tìm hiểu thêm về cách sử dụng dữ liệu “lần truy cập gần nhất” để đưa ra quyết định về các quyền được cấp cho thực thể IAM hoặc Organizations, hãy xem Tình huống ví dụ về việc sử dụng dữ liệu lần gần nhất truy cập dịch vụ. Các tính năng của Trình phân tích truy cập IAM có sẵn miễn phí trong bảng điều khiển IAM và qua API của Trình phân tích truy cập IAM.

Lợi ích

Được hướng dẫn tạo chính sách

Trình phân tích truy cập IAM thực hiện hoạt động kiểm tra chính sách giúp bạn đặt ra các quyền bảo mật và có chức năng đầy đủ. Những hoạt động kiểm tra này phân tích chính sách của bạn và báo cáo lỗi, cảnh báo và gợi ý bằng các đề xuất hữu ích giúp bạn xác thực chính sách của mình. Cũng giống như tính năng kiểm tra ngữ trên trình xử lý văn bản yêu thích của bạn, Trình phân tích truy cập IAM tự động thực hiện các hoạt động kiểm tra này khi bạn tạo chính sách bằng trình chỉnh sửa chính sách trong bảng điều khiển IAM. Bạn cũng có thể lập trình để xác thực chính sách của mình bằng API của Trình phân tích truy cập IAM.

Phân tích toàn diện để biết quyền truy cập công khai và liên tài khoản

Trình phân tích truy cập IAM phân tích chính sách để giúp bạn xác định và giải quyết các quyền truy cập công khai hoặc liên tài khoản không mong muốn đến tài nguyên của bạn. Trình phân tích truy cập IAM sử dụng logic và suy luận toán học để tạo ra các phát hiện toàn diện nhằm xác định các tài nguyên có thể truy cập được từ bên ngoài tài khoản AWS. Những phát hiện này giúp bạn xác định tài nguyên có quyền truy cập công khai hoặc liên tài khoản mà có thể bạn không mong muốn. Trình phân tích truy cập IAM đánh giá các quyền được cấp thông qua các chính sách đó cho vùng lưu trữ Amazon S3, khóa AWS KMS, hàng đợi Amazon SQS, vai trò AWS IAM và hàm AWS Lambda, cũng như cung cấp các phát hiện chi tiết thông qua AWS IAM, Amazon S3 và bảng điều khiển AWS Security Hub và các API. Với Trình phân tích truy cập IAM, bạn cũng có thể xem trước những điều phát hiện được và xác thực rằng những thay đổi về chính sách chỉ cấp quyền truy cập như bạn mong muốn vào các tài nguyên. Nhờ khả năng xem trước các phát hiện, bạn có thể ngăn việc truy cập không mong muốn trước khi áp dụng các quyền.

Liên tục giám sát và giảm quyền

Trình phân tích truy cập IAM liên tục giám sát và phân tích chính sách mới hoặc chính sách cập nhật về tài nguyên để giúp bạn xác định các quyền cấp quyền truy cập công khai và liên tài khoản. Ví dụ: khi một chính sách của vùng lưu trữ Amazon S3 thay đổi, Trình phân tích truy cập IAM sẽ cảnh báo bạn rằng người dùng có thể truy cập vùng lưu trữ đó từ bên ngoài tài khoản.

IAM cũng cung cấp cho bạn thông tin dấu thời gian lần truy cập gần nhất về thời điểm một thực thể IAM, chẳng hạn như vai trò IAM, sử dụng dịch vụ hoặc hành động gần nhất. Điều này giúp bạn giảm quyền bằng cách xóa các quyền không sử dụng và chỉ cấp quyền truy cập cần để thực hiện tác vụ.

Cung cấp mức độ bảo đảm bảo mật cao nhất

Trình phân tích truy cập IAM sử dụng tính năng suy luận tự động, một dạng của logic và suy luận toán học để tạo ra các phát hiện toàn diện nhằm xác định các tài nguyên có thể truy cập được từ bên ngoài tài khoản AWS. Chúng tôi gọi những kết quả phân tích này là bảo mật có thể kiểm chứng, là mức độ bảo đảm bảo mật cao hơn của đám mây và trong đám mây. Trong khi một số công cụ giúp bạn kiểm tra tình huống truy cập cụ thể, Trình phân tích truy cập IAM sử dụng toán học để phân tích tất cả yêu cầu truy cập có thể xảy ra và tạo phát hiện cho quyền truy cập bên ngoài. Điều này giúp bạn tự tin xác minh quyền truy cập bên ngoài.

Cách thức hoạt động – giám sát quyền truy cập bên ngoài đến tài nguyên

Cách thức hoạt động của trình phân tích truy cập IAM

Suy luận tự động cho phân tích truy cập bên ngoài

Suy luận tự động là một lĩnh vực của khoa học nhận thức. Nó tự động hóa các khía cạnh khác nhau của suy luận liên quan đến toán học và logic hình thức. Nhóm suy luận tự động của AWS thiết kế nên các thuật toán và xây dựng mã có khả năng lý giải về tài nguyên đám mây, cấu hình và cơ sở hạ tầng để nhanh chóng cung cấp sự đảm bảo về các khía cạnh của hành vi. Đối với chính sách tài nguyên, AWS chuyển đổi chúng thành các công thức logic chính xác, sau đó sử dụng các bộ suy luận tự động để tóm tắt toàn diện tài nguyên nào cấp quyền truy cập công khai hoặc liên tài khoản. Đọc "Suy luận hình thức về AWS" để tìm hiểu cách thức các công cụ và phương pháp suy luận tự động trong Amazon Web Services cung cấp mức độ bảo đảm bảo mật cao hơn cho đám mây.

Tìm hiểu thêm về tính năng của AWS IAM

Truy cập trang tính năng
Bạn đã sẵn sàng xây dựng chưa?
Bắt đầu với AWS IAM
Bạn có thêm câu hỏi?
Liên hệ với chúng tôi