IAM Access Analyzer 策略验证
您可以使用 Amazon Identity and Access Management Access Analyzer 策略检查验证策略。您可以在 IAM 控制台中使用 Amazon CLI、Amazon API 或 JSON 策略编辑器创建或编辑策略。IAM Access Analyzer 将根据 IAM policy 语法和最佳实践验证您的策略。您可以查看策略验证检查结果,其中包括策略的安全警告、错误、常规警告和策略建议。这些结果提供了可操作的建议,可帮助您编写可操作且符合安全最佳实践的策略。若要查看 Access Analyzer 返回的警告、错误和建议列表,请参阅 Access Analyzer 策略检查参考。
在 IAM(控制台)中验证策略
在 IAM 控制台中创建或编辑托管策略时,您可以查看策略检查生成的结果。您还可以查看这些内联用户或角色策略的结果。Access Analyzer 不会为内联组策略生成这些结果。
查看 IAM JSON 策略的策略检查生成的结果
登录Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
使用以下方法之一开始创建或编辑策略:
-
要创建新的托管策略,请转到 Policies(策略)页面并创建新策略。有关更多信息,请参阅使用 JSON 编辑器创建策略。
-
要查看现有托管策略的策略检查,请转到 Policies(策略)页面,选择策略的名称,然后选择 Edit policy(编辑策略)。有关更多信息,请参阅编辑客户托管策略(控制台)。
-
要查看针对用户或角色的内联策略的策略检查,请转到 Users(用户)或者 Roles(角色)页面,选择用户或角色的名称,然后选择 Permissions(权限)选项卡上的 Edit policy(编辑策略)。有关更多信息,请参阅编辑客户托管策略(控制台)。
-
-
在策略编辑器中,选择 JSON 选项卡。
-
在策略下方的策略验证窗格中,选择以下一个或多个选项卡。选项卡名称还指示策略的每种查找类型的数量。
-
Security(安全)— 如果您的策略允许访问,但由于访问权限过于宽松而致使 Amazon 认为存在安全风险,则可查看相关警告。
-
Errors(错误)— 如果策略包含阻止策略运行的行,则可查看错误。
-
General(常规)— 如果您的策略不符合最佳实践,但问题不属于安全风险,则可查看警告。
-
Suggestions(建议)— 如果 Amazon 的建议不影响策略权限的改进,则可查看建议。
-
-
查看 IAM Access Analyzer 策略检查提供的结果详细信息。每个结果都会指示所报告问题的位置。要了解有关导致问题的原因以及如何解决问题的详细信息,请选择结果旁的 Learn more(了解更多)链接。您还可以在 Access Analyzer policy checks(Access Analyzer 策略检查)参考页面搜索与各个结果关联的策略检查。
-
请更新策略以解决结果。
重要
在生产工作流中实施新策略之前,测试新策略或彻底编辑这些策略。
-
完成后,选择 Review policy(查看策略)。策略验证程序会报告 Access Analyzer 未报告的任何语法错误。
注意
您可以随时在 Visual editor (可视化编辑器) 和 JSON 选项卡之间切换。不过,如果您进行更改或在可视化编辑器选项卡中选择 Review policy(查看策略),IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅调整策略结构。
-
在查看策略页上,为创建的策略键入名称和说明 (可选)。查看策略 Summary(摘要)以查看您的策略授予的权限。然后,选择创建策略以保存您的工作。
使用 Access Analyzer 验证策略(Amazon CLI 或者 Amazon API)
您可以从 Amazon Command Line Interface (Amazon CLI) 查看 IAM Access Analyzer 策略检查生成的结果。
查看 IAM Access Analyzer 策略检查生成的结果(Amazon CLI 或 Amazon API)
使用以下值之一:
-
Amazon CLI: aws accessanalyzer validate-policy
-
Amazon API: ValidatePolicy