Access Analyzer 策略验证 - AWS Identity and Access Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

Access Analyzer 策略验证

您可以使用 AWS IAM Access Analyzer 策略检查验证您的策略。您可以在 IAM 控制台中使用 AWS CLI、AWS API 或 JSON 策略编辑器创建或编辑策略。Access Analyzer 根据 IAM 策略语法最佳实践验证您的策略。您可以查看策略验证检查结果,其中包括安全警告、错误、常规警告和策略建议。这些结果提供切实可行的建议,帮助您制定有效且符合安全最佳实践的策略。要查看 Access Analyzer 返回的警告、错误和建议的列表,请参阅Access Analyzer 策略检查参考

在 IAM(控制台)中验证策略

当您在 IAM 控制台中创建或编辑托管策略时,您可以查看策略检查生成的结果。您还可以查看面向内联用户或角色策略的这些结果。Access Analyzer 不会为内联组策略生成这些结果。

查看策略检查为 IAM JSON 策略生成的结果

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 开始使用以下任一方法创建或编辑策略:

    1. 要创建新的托管策略,请转到策略页面并创建新策略。有关更多信息,请参阅在“JSON”选项卡上创建策略

    2. 要查看面向现有托管策略的策略检查,请转到策略页面,选择策略名称,然后选择编辑策略。有关更多信息,请参阅编辑客户托管策略(控制台)

    3. 要查看面向用户或角色的内联策略的策略检查,请转到用户角色页面,选择用户或角色的名称,然后在权限选项卡上选择编辑策略。有关更多信息,请参阅编辑客户托管策略(控制台)

  3. 在策略编辑器中,选择 JSON 选项卡。

  4. 在策略下方的策略验证窗格中,选择以下一个或多个选项卡。选项卡名称还指明面向策略的每种结果类型的编号。

    • 安全 – 如果您的策略所允许的访问过于宽松,导致 AWS 认为该访问存在安全风险,则查看警告。

    • 错误 – 如果您的策略包含阻止策略正常运行的行,则查看错误。

    • 常规 – 如果您的策略不符合最佳实践,但问题不是安全风险,则查看警告。

    • 建议 – 如果 AWS 推荐不会影响策略权限的改进,则查看建议。

  5. 查看 Access Analyzer 策略检查提供的结果详细信息。每项结果会指明所报告问题的位置。要详细了解导致问题的原因以及解决方法,请选择结果旁边的了解更多链接。您还可以在 Access Analyzer 策略检查参考页面中搜索与每项结果关联的策略检查。

  6. 更新您的策略,以解决结果中的问题。

    重要

    先彻底测试新策略或编辑过的策略,然后再在生产工作流程中加以实施。

  7. 完成后,选择查看策略策略验证程序会报告 Access Analyzer 未报告的所有语法错误。

    注意

    您可以随时在 Visual editor (可视化编辑器)JSON 选项卡之间切换。不过,如果您进行更改或在 Visual editor (可视化编辑器) 选项卡中选择 Review policy (查看策略),IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅调整策略结构

  8. 查看策略页上,为创建的策略键入名称说明 (可选)。查看策略摘要以查看您的策略授予的权限。然后,选择创建策略以保存您的工作。

使用 Access Analyzer(AWS CLI 或 AWS API)验证策略

您可以通过 AWS Command Line Interface (AWS CLI) 查看 IAM Access Analyzer 策略检查生成的结果。

查看 Access Analyzer 策略检查(AWS CLI 或 AWS API)生成的结果

使用以下值之一: