使用 IAM Access Analyzer 验证策略

查看 IAM JSON 策略的策略检查生成的结果

1. 登录 Amazon Web Services Management Console，然后打开 IAM 控制台：https://console.aws.amazon.com/iam/。

2. 使用以下方法之一开始创建或编辑策略：

   1. 要创建新的托管策略，请转到 Policies（策略）页面并创建新策略。有关更多信息，请参阅 使用 JSON 编辑器创建策略。

   2. 要查看现有客户管理型策略的策略检查，请转到策略页面，选择策略的名称，然后选择编辑。有关更多信息，请参阅 编辑客户托管策略（控制台）。

   3. 要查看针对用户或角色的内联策略的策略检查，请转到用户或角色页面，选择用户或角色的名称，在权限选项卡上选择策略名称，然后选择编辑。有关更多信息，请参阅 编辑内联策略（控制台）。

3. 在策略编辑器中，选择 JSON 选项卡。

4. 在策略下方的策略验证窗格中，选择以下一个或多个选项卡。选项卡名称还指示策略的每种查找类型的数量。

   • Security（安全）— 如果您的策略允许访问，但由于访问权限过于宽松而致使 Amazon 认为存在安全风险，则可查看相关警告。

   • Errors（错误）— 如果策略包含阻止策略运行的行，则可查看错误。

   • 警告 – 如果您的策略不符合最佳实践，但问题不属于安全风险，则可查看警告。

   • Suggestions（建议）— 如果 Amazon 的建议不影响策略权限的改进，则可查看建议。

5. 查看 IAM Access Analyzer 策略检查提供的结果详细信息。每个结果都会指示所报告问题的位置。要了解有关导致问题的原因以及如何解决问题的详细信息，请选择结果旁的 Learn more（了解更多）链接。您还可以在 Access Analyzer policy checks（Access Analyzer 策略检查）参考页面搜索与各个结果关联的策略检查。

6. 可选。如果正在编辑现有策略，则可以运行自定义策略检查，以确定与现有版本相比，更新后的策略是否授予新的访问权限。在策略下方的策略验证窗格中，选择检查新访问选项卡，然后选择检查策略。如果修改后的权限授予新的访问权限，则该语句将在策略验证窗格中突出显示。如果不打算授予新的访问权限，请更新策略声明并选择检查策略，直到检测不到新的访问。有关更多信息，请参阅 使用 IAM Access Analyzer 自定义策略检查来验证策略。

   注意

   每次检查新的访问都会产生费用。有关定价的更多详细信息，请参阅 IAM Access Analyzer 定价。

7. 请更新策略以解决结果。

   重要

   在生产工作流中实施新策略之前，测试新策略或彻底编辑这些策略。

8. 完成后，选择下一步。策略验证器会报告 IAM Access Analyzer 未报告的任何语法错误。

   注意

   您可以随时在可视化和 JSON 选项卡之间切换。但如果您进行更改或在可视化选项卡中选择下一步，IAM 可能会重组您的策略，以针对可视化编辑器进行优化。有关更多信息，请参阅 调整策略结构。

9. 对于新策略，在查看和创建页面上，输入您要创建的策略的策略名称和描述（可选）。查看此策略中定义的权限，了解策略授予的权限。然后，选择创建策略以保存您的工作。

   对于现有策略，在查看和保存页面上，查看此策略中定义的权限，了解策略授予的权限。选择将此新版本设置为默认版本。复选框以将更新后的版本保存为策略的默认版本。然后选择保存更改以保存您的工作。