Việc đạt được đặc quyền tối thiểu là một chu kỳ liên tục để trao các quyền chi tiết phù hợp khi những yêu cầu của bạn tăng lên. AWS Identity and Access Management (IAM) Access Analyzer giúp bạn tinh giản việc quản lý quyền thông qua từng bước của chu kỳ.

Hình ảnh hiển thị các bước thiết lập, xác minh và tinh chỉnh

Hành trình của bạn để đạt được đặc quyền tối thiểu: Thiết lập, xác minh và tinh chỉnh

Thiết lập quyền chi tiết

Tạo chính sách với IAM Access Analyzer để tạo ra một chính sách chi tiết dựa trên hoạt động truy cập được ghi lại trong nhật ký của bạn. Điều này có nghĩa là sau khi bạn xây dựng và chạy một ứng dụng, bạn có thể tạo ra các chính sách chỉ cấp những quyền cần thiết để vận hành ứng dụng.

Xác thực chính sách với IAM Access Analyzer hướng dẫn bạn khởi tạo và xác thực các chính sách bảo mật, theo chức năng với hơn 100 lượt kiểm tra chính sách. Bạn có thể sử dụng những lượt kiểm tra này trong khi tạo các chính sách mới hoặc để xác thực các chính sách hiện có.

Xác minh các quyền theo mục đích

Các phát hiện công khai và liên tài khoản với IAM Access Analyzer hướng dẫn bạn xác minh quyền truy cập hiện có đáp ứng mục đích của bạn. IAM Access Analyzer sử dụng khả năng bảo mật có thể chứng minh để phân tích tất cả các đường dẫn truy cập và cung cấp phân tích toàn diện về truy cập từ bên ngoài vào tài nguyên của bạn. Khi bạn bật IAM Access Analyzer, công cụ này sẽ liên tục giám sát các quyền tài nguyên mới hoặc được cập nhật để giúp bạn xác định những quyền cung cấp khả năng truy cập công khai và liên tài khoản. Ví dụ: nếu một chính sách của vùng lưu trữ Amazon S3 thay đổi, IAM Access Analyzer sẽ cảnh báo rằng người dùng có thể truy cập vùng lưu trữ đó từ bên ngoài tài khoản.

Sử dụng kết quả phân tích này, IAM Access Analyzer giúp việc xem xét lại cũng như xác thực quyền truy cập công khai và liên tài khoản dễ dàng hơn trước khi triển khai các thay đổi về quyền.

Tinh chỉnh các quyền bằng cách loại bỏ quyền truy cập không dùng đến

Thông tin được truy cập lần cuối cùng cung cấp dữ liệu về thời điểm các dịch vụ AWS được sử dụng lần cuối, việc này giúp bạn xác định những cơ hội để thắt chặt quyền của mình. Với thông tin này, bạn có thể so sánh quyền đã được cấp với thời điểm những quyền đó được truy cập lần cuối để loại bỏ các truy cập không dùng đến và tăng cường tinh chỉnh những quyền của bạn.

Bạn cũng có thể dùng dấu thời gian được sử dụng lần cuối cho các vai trò IAM và khóa truy cập để loại bỏ những thực thể IAM không còn cần thiết.

Khả năng bảo mật có thể chứng minh cho phân tích công khai và liên tài khoản

IAM Access Analyzer sử dụng khả năng bảo mật có thể chứng minh để cung cấp các phát hiện toàn diện cho quyền truy cập công khai và liên tài khoản vào tài nguyên của bạn. Khả năng bảo mật có thể chứng minh dựa trên công nghệ suy luận tự động, đây là một ứng dụng logic toán học giúp giải đáp những câu hỏi quan trọng về cơ sở hạ tầng, gồm cả các quyền của AWS. Để tìm hiểu về cách thức những công cụ và phương pháp suy luận tự động của AWS cung cấp mức độ bảo đảm bảo mật cao hơn cho đám mây, hãy xem Suy luận hình thức về bảo mật của Amazon Web Services.

Xem những video sau để tìm hiểu thêm về IAM Access Analyzer

A least-privilege journey: IAM policies and IAM Access Analyzer (55:59)
Use IAM Access Analyzer with Amazon S3 buckets (8:06)
Use IAM Access Analyzer policy validation to set secure and functional policies (2:59)

Tìm hiểu thêm về tính năng của IAM

Truy cập trang tính năng
Bạn đã sẵn sàng xây dựng chưa?
Bắt đầu với IAM
Bạn có thêm câu hỏi?
Liên hệ với chúng tôi