Access Analyzer 策略验证 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Access Analyzer 策略验证

您可以使用 Amazon IAM Access Analyzer 策略检查来验证您的策略。您可以在 IAM 控制台中使用 Amazon CLI、Amazon API 或 JSON 策略编辑器创建或编辑策略。Access Analyzer 将根据 IAM 策略语法最佳实践验证您的策略。您可以查看策略验证检查结果,其中包括策略的安全警告、错误、常规警告和策略建议。这些结果提供了可操作的建议,可帮助您编写可操作且符合安全最佳实践的策略。若要查看 Access Analyzer 返回的警告、错误和建议列表,请参阅 Access Analyzer 策略检查参考

在 IAM 中验证策略(控制台)

在 IAM 控制台中创建或编辑托管策略时,您可以查看策略检查生成的结果。您还可以查看这些内联用户或角色策略的结果。Access Analyzer 不会为内联组策略生成这些结果。

要查看 IAM JSON 策略的策略检查生成的结果

  1. 登录 Amazon Web Services Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 使用以下方法之一开始创建或编辑策略:

    1. 要创建新的托管策略,请转到 Policies(策略)页面并创建新策略。有关更多信息,请参阅 在“JSON”选项卡上创建策略

    2. 要查看现有托管策略的策略检查,请转到 Policies(策略)页面,选择策略的名称,然后选择 Edit policy(编辑策略)。有关更多信息,请参阅 编辑客户托管策略(控制台)

    3. 要查看针对用户或角色的内联策略的策略检查,请转到 Users(用户)或者 Roles(角色)页面,选择用户或角色的名称,然后选择 Permissions(权限)选项卡上的 Edit policy(编辑策略)。有关更多信息,请参阅 编辑客户托管策略(控制台)

  3. 在策略编辑器中,选择 JSON 选项卡。

  4. 在策略下方的策略验证窗格中,选择以下一个或多个选项卡。选项卡名称还指示策略的每种查找类型的数量。

    • Security(安全)— 如果您的策略允许访问,但由于访问过于宽容而致使 Amazon 认为存在安全风险,则可查看相关警告。

    • Errors(错误)— 如果策略包含阻止策略运行的行,则可查看错误。

    • General(常规)— 如果您的策略不符合最佳实践,但问题不属于安全风险,则可查看警告。

    • Suggestions(建议)— 如果 Amazon 的建议不影响策略权限的改进,则可查看建议。

  5. 查看 Access Analyzer 策略检查提供的结果详细信息。每个结果都会指示所报告问题的位置。要了解有关导致问题的原因以及如何解决问题的详细信息,请选择结果旁的 Learn more(了解更多)链接。您还可以在 Access Analyzer policy checks(Access Analyzer 策略检查)参考页面搜索与各个结果关联的策略检查。

  6. 更新策略以解决结果。

    重要

    在生产工作流中实施新策略之前,测试新策略或彻底编辑这些策略。

  7. 完成后,选择 Review policy(查看策略)策略验证程序会报告 Access Analyzer 未报告的任何语法错误。

    注意

    您可以随时在 Visual editor (可视化编辑器)JSON 选项卡之间切换。不过,如果您进行更改或在Visual editor(可视化编辑器)选项卡中选择 Review policy(查看策略),IAM 可能会调整您的策略结构以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构

  8. 查看策略页上,为创建的策略键入名称说明 (可选)。查看策略 Summary(摘要)以查看您的策略授予的权限。然后,选择创建策略以保存您的工作。

使用 Access Analyzer 验证策略(Amazon CLI 或者 Amazon API)

您可以从 Amazon Command Line Interface (Amazon CLI) 查看 IAM Access Analyzer 策略检查生成的结果。

要查看 Access Analyzer 策略检查生成的结果(Amazon CLI 或 Amazon API)

使用以下值之一: