使用 IAM Access Analyzer 自定义策略检查来验证策略
您可以使用自定义策略检查,根据安全标准检查新的访问。每次检查新的访问都会产生费用。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价
使用自定义策略检查验证策略(控制台)
作为一个可选步骤,在 IAM 控制台的 JSON 策略编辑器中编辑策略时,您可以运行自定义策略检查。您可以检查与现有版本相比,更新后的策略是否授予新的访问权限。
要在编辑 IAM JSON 策略时检查新的访问
登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在左侧的导航窗格中,选择策略。
-
在策略列表中,选择要编辑的策略的策略名称。您可以使用搜索框筛选策略列表。
-
选择权限选项卡,然后选择编辑。
-
选择 JSON 选项并更新您的策略。
-
在策略下方的策略验证窗格中,选择检查新访问选项卡,然后选择检查策略。如果修改后的权限授予新的访问权限,则该语句将在策略验证窗格中突出显示。
-
如果不打算授予新的访问权限,请更新策略声明并选择检查策略,直到检测不到新的访问。
注意
每次检查新的访问都会产生费用。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价
。 -
选择下一步。
-
在查看和保存页面上,查看此策略中定义的权限,然后选择保存更改。
使用自定义策略检查验证策略(Amazon CLI 或 API)
您可以从 Amazon CLI 或 IAM Access Analyzer API 运行 IAM Access Analyzer 自定义策略检查。
要运行 IAM Access Analyzer 自定义策略检查(Amazon CLI)
-
要检查与现有策略相比,更新后的策略是否允许新的访问,请运行以下命令:check-no-new-access
-
要检查策略是否不允许指定访问,请运行以下命令:check-access-not-granted
-
要检查资源策略是否可以授予对指定的资源类型的公共访问权限,请运行以下命令:check-no-public-access
要运行 IAM Access Analyzer 自定义策略检查(API)
-
要检查与现有策略相比,更新后的策略是否允许新的访问,请使用 CheckNoNewAccess API 操作。
-
要检查策略是否不允许指定访问,请使用 CheckAccessNotGranted API 操作。
-
要检查资源策略是否可以授予对指定的资源类型的公共访问权限,请使用 CheckNoPublicAccess API 操作。