使用 IAM Access Analyzer 自定义策略检查来验证策略 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

使用 IAM Access Analyzer 自定义策略检查来验证策略

您可以使用自定义策略检查,根据安全标准检查新的访问。每次检查新的访问都会产生费用。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价

使用自定义策略检查验证策略(控制台)

作为一个可选步骤,在 IAM 控制台的 JSON 策略编辑器中编辑策略时,您可以运行自定义策略检查。您可以检查与现有版本相比,更新后的策略是否授予新的访问权限。

要在编辑 IAM JSON 策略时检查新的访问
  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在左侧的导航窗格中,选择策略

  3. 在策略列表中,选择要编辑的策略的策略名称。您可以使用搜索框筛选策略列表。

  4. 选择权限选项卡,然后选择编辑

  5. 选择 JSON 选项并更新您的策略。

  6. 在策略下方的策略验证窗格中,选择检查新访问选项卡,然后选择检查策略。如果修改后的权限授予新的访问权限,则该语句将在策略验证窗格中突出显示。

  7. 如果不打算授予新的访问权限,请更新策略声明并选择检查策略,直到检测不到新的访问。

    注意

    每次检查新的访问都会产生费用。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价

  8. 选择下一步

  9. 查看和保存页面上,查看此策略中定义的权限,然后选择保存更改

使用自定义策略检查验证策略(Amazon CLI 或 API)

您可以从 Amazon CLI 或 IAM Access Analyzer API 运行 IAM Access Analyzer 自定义策略检查。

要运行 IAM Access Analyzer 自定义策略检查(Amazon CLI)

  • 要检查与现有策略相比,更新后的策略是否允许新的访问,请运行以下命令:check-no-new-access

  • 要检查策略是否不允许指定访问,请运行以下命令:check-access-not-granted

  • 要检查资源策略是否可以授予对指定的资源类型的公共访问权限,请运行以下命令:check-no-public-access

要运行 IAM Access Analyzer 自定义策略检查(API)

  • 要检查与现有策略相比,更新后的策略是否允许新的访问,请使用 CheckNoNewAccess API 操作。

  • 要检查策略是否不允许指定访问,请使用 CheckAccessNotGranted API 操作。

  • 要检查资源策略是否可以授予对指定的资源类型的公共访问权限,请使用 CheckNoPublicAccess API 操作。