发布于: Mar 17, 2021
Amazon Identity and Access Management (IAM) Access Analyzer通过分析现有资源策略来识别,解决非预期的公开或跨账户访问,以指导客户实践最小权限原则。现在,我们通过添加 100 多项策略检查扩展 IAM Access Analyzer 中的策略分析,帮助您在编写策略期间自动验证主体身份与客体资源。这些检查包括功能验证,就像开发人员可能期望从 linter 获得的验证一样,而且并不局限与此,以评估授予访问权限时的最佳实践。这些检查可以分析您的策略并提供安全告警、错误、常规告警以及基于其影响的处理建议。通过提供切实可行的处理建议,指导您设置安全和功能权限。例如,对于IAM用户可以通过任意角色访问任意服务的情况,IAM Access Analyzer将产生告警,判定该策略过于宽松,同时建议客户针对特定角色限制访问权限。
就像在您喜欢的文字处理器上运行语法检查一样,IAM Access Analyzer 将会在您在 IAM 控制台中使用 JSON 策略编辑器编写身份策略时自动执行这些策略检查。您还可以使用 Access Analyzer ValidatePolicy API 验证其他策略,例如服务控制策略和资源策略。
IAM Access Analyzer 策略验证现已在由光环新网运营的 Amazon Web Services 中国(北京)和由西云数据运营的 Amazon Web Services 中国(宁夏)区域推出,且无需任何额外成本。要了解与 IAM Access Analyzer 相关的更多信息,请参阅文档。