发布于: Jul 30, 2020
Amazon Identity and Access Management (IAM) 访问分析器是一项新功能,可使安全团队和管理员轻松检查其策略是否仅提供对资源的预期访问。资源策略使客户能够精细地控制谁可以访问特定资源以及他们如何在整个云环境中使用该资源。只需在 IAM 控制台中单击一下,客户便可在其账户中启用 IAM 访问分析器,以连续分析使用与其 Amazon S3 存储桶、Amazon KMS 密钥、Amazon SQS 队列、Amazon IAM 角色和 Amazon Lambda 函数关联的策略授予的权限。
IAM 访问分析器会持续监控策略的更改,这意味着客户不再需要依靠间歇性的手动检查来发现添加或更新策略时出现的问题。使用 IAM 访问分析器,客户可以主动处理掉任何违反其在资源共享方面的安全性和监管最佳实践的资源策略,并保护其资源免受意外访问。IAM 访问分析器通过 Amazon IAM 控制台及其 API 提供全面、详细的发现结果。发现结果也可以作为报告导出以用于审计。IAM 访问分析器的发现结果会明确提供谁可以从账户外部对 亚马逊云科技资源进行公共和跨账户访问。
IAM 访问分析器使用一种称为自动推理的数学分析形式,这种形式应用逻辑和数学推理来确定资源策略允许的所有可能的访问路径。这意味着 IAM 访问分析器可以在几秒钟内评估整个客户环境中的数百甚至数千个策略,并提供有关可从账户外部访问的资源的全面发现结果。
要了解有关 IAM 访问分析器的更多信息,请访问 IAM 文档。