AWS Identity and Access Management (IAM) giúp bạn kiểm soát các quyền và việc truy cập vào các dịch vụ và tài nguyên của AWS, chẳng hạn như phiên bản điện toán và bộ chứa lưu trữ. IAM cho phép khách hàng kiểm soát chi tiết những ai có thể truy cập vào một tài nguyên cụ thể và cách thức sử dụng tài nguyên đó, chẳng hạn như bằng cách sử dụng các chính sách tài nguyên.

Với nền tảng đám mây, bạn có thể nhanh chóng quay vòng tài nguyên khi cần, triển khai hàng nghìn máy chủ trong vài phút. Vì vậy, bạn cần đặc biệt lưu tâm đến việc nhanh chóng xem qua các chính sách tài nguyên và xác định các tài nguyên có quyền truy cập công khai hoặc liên tài khoản mà bạn có thể không có ý định cho phép. Trình phân tích truy cập IAM tạo ra các phát hiện toàn diện để xác định các nguồn có thể truy cập được từ bên ngoài tài khoản AWS. Trình phân tích truy cập IAM thực hiện hoạt động này bằng cách sử dụng logic và suy luận toán học để đánh giá các chính sách tài nguyên nhằm xác định đường dẫn truy cập mà các chính sách này có thể cho phép. Trình phân tích truy cập IAM liên tục giám sát để tìm ra các chính sách mới hoặc chính sách cập nhật và phân tích các quyền được cấp thông qua các chính sách đó cho bộ chứa Amazon S3, khóa AWS KMS, hàng đợi Amazon SQS, vai trò AWS IAM và chức năng AWS Lambda.

Một thực hành bảo mật tốt nhất là xem xét cách thức sử dụng các quyền trong thực tiễn theo thời gian để bạn có thể loại bỏ các quyền không cần thiết phù hợp với nguyên tắc về đặc quyền tối thiểu. IAM cung cấp cho bạn dữ liệu “truy cập dịch vụ lần cuối”, là một nhãn thời gian thể hiện thời điểm khi chính sách hoặc thực thể IAM, chẳng hạn như người dùng hoặc vai trò, sử dụng dịch vụ đó lần gần nhất. Tính năng này cho phép bạn dễ dàng xác định các quyền không được dùng đồng thời cải thiện tình hình bảo mật bằng cách loại bỏ các quyền không cần thiết để người dùng, nhóm hoặc vai trò thực hiện một tác vụ cụ thể. Từ tài khoản chính của AWS Organizations, bạn cũng có thể xem được thông tin về lần cuối cùng root của tổ chức, các đơn vị tổ chức (OU) và các tài khoản truy cập vào một dịch vụ. Để tìm hiểu thêm về cách sử dụng dữ liệu “truy cập dịch vụ lần cuối” để đưa ra quyết định về các quyền được cấp cho thực thể IAM hoặc Organizations, hãy xem Tình huống ví dụ về việc sử dụng dữ liệu truy cập dịch vụ lần cuối.

Lợi ích

Tiết kiệm thời gian dành để phân tích chính sách tài nguyên để biết được khả năng truy cập công khai hoặc liên tài khoản

So với các kỹ thuật đánh giá suy nghiệm hoặc khớp với mẫu hình vốn có thể mất vài ngày hoặc vài tuần, Trình phân tích truy cập IAM sử dụng logic và suy luận toán học để giảm đáng kể thời gian tạo ra các phát hiện toàn diện về các tài nguyên có thể được truy cập từ bên ngoài tài khoản AWS. Trình phân tích truy cập IAM đánh giá các quyền được cấp thông qua các chính sách đó cho bộ chứa Amazon S3, khóa AWS KMS, hàng đợi Amazon SQS, vai trò AWS IAM và chức năng AWS Lambda. Trình phân tích truy cập IAM đưa các phát hiện chi tiết đi qua các bảng điều khiển AWS IAM, Amazon S3 và AWS Security Hub và đi qua cả API của trình này.

Liên tục theo dõi và giúp bạn điều chỉnh các quyền

Trình phân tích truy cập IAM liên tục theo dõi và phân tích mọi chính sách tài nguyên mới hoặc được cập nhật để giúp bạn hiểu được những ẩn ý có thể có về bảo mật. Ví dụ: khi một chính sách bộ chứa Amazon S3 thay đổi, IAM sẽ cảnh báo bạn rằng người dùng có thể truy cập bộ chứa từ bên ngoài tài khoản.

Ngoài Trình phân tích truy cập IAM, IAM còn cung cấp cho bạn dữ liệu nhãn thời gian “truy cập dịch vụ lần cuối” cho biết thời điểm khi một chính sách hoặc thực thể IAM sử dụng một dịch vụ lần cuối, để từ đó bạn có thể dễ dàng xác định và loại bỏ các quyền không được sử dụng nhằm cải thiện tình hình bảo mật thông qua việc chỉ cấp các quyền cần thiết để thực hiện một nhiệm vụ cụ thể.

Cung cấp mức độ bảo đảm bảo mật cao nhất

Trình phân tích truy cập IAM sử dụng suy luận tự động, một dạng logic toán học và suy luận, để xác định tất cả các đường dẫn truy cập có thể được một chính sách tài nguyên cho phép. Chúng tôi gọi những kết quả phân tích này là bảo mật có thể kiểm chứng, là mức độ bảo đảm bảo mật cao hơn của đám mây và trong đám mây.

Mặc dù một số công cụ cho phép bạn kiểm tra những tình huống truy cập cụ thể, nhưng Trình phân tích truy cập IAM có thể sử dụng toán học để phân tích cho tất cả các yêu cầu khả thi, giúp bạn yên tâm hơn với việc chính sách của bạn chỉ cho phép cách truy cập theo như bạn dự định.

Cách thức hoạt động

Cách thức hoạt động của trình phân tích truy cập IAM

Suy luận tự động cho phân tích chính sách

Suy luận tự động là một lĩnh vực của khoa học nhận thức. Nó tự động hóa các khía cạnh khác nhau của suy luận liên quan đến toán học và logic hình thức. Nhóm suy luận tự động của AWS thiết kế nên các thuật toán và xây dựng mã có khả năng lý giải về tài nguyên đám mây, cấu hình và cơ sở hạ tầng để nhanh chóng cung cấp sự đảm bảo về các khía cạnh của hành vi. Đối với chính sách tài nguyên, AWS chuyển đổi chúng thành các công thức logic chính xác, sau đó sử dụng các bộ suy luận tự động để tóm tắt toàn diện tài nguyên nào cấp quyền truy cập công khai hoặc liên tài khoản. Đọc "Suy luận hình thức về AWS" để tìm hiểu cách thức các công cụ và phương pháp suy luận tự động trong Amazon Web Services cung cấp mức độ bảo đảm bảo mật cao hơn cho đám mây.

Tìm hiểu thêm về tính năng của AWS IAM

Truy cập trang tính năng
Bạn đã sẵn sàng xây dựng chưa?
Bắt đầu với AWS IAM
Bạn có thêm câu hỏi?
Hãy liên hệ với chúng tôi