使用 Amazon IAM Access Analyzer
Amazon IAM Access Analyzer 帮助您标识企业和账户中与外部实体共享的资源,例如 Amazon S3 存储桶或 IAM 角色。这可以帮助您识别对资源和数据的意外访问,此类访问会带来安全风险。Access Analyzer 使用基于逻辑的推理来分析 Amazon 环境中基于资源的策略,确定与外部委托人共享的资源。对于在您的账户外共享的资源的每个实例,Access Analyzer 都会生成一个调查结果。调查结果包括有关访问权限以及该访问权限授予到的外部委托人的信息。您可以查看调查结果,以确定该访问权限是按计划授予且安全,还是计划外的访问权限并存在安全风险。除了帮助您识别与外部实体共享的资源外,您还可以使用 Access Analyzer 结果预览策略如何影响对资源的公共和跨账户访问,然后再部署资源权限。
外部实体可以是另一个 Amazon 账户、根用户、IAM 用户或角色、联合身份用户、Amazon 服务、匿名用户或可用于创建筛选器的其他实体。有关更多信息,请参阅 Amazon JSON 策略元素:委托人。
启用 Access Analyzer 后,可以为整个企业或账户创建分析器。您选择的组织或账户称为分析器的信任区。该分析器将监控信任区域内所有受支持的资源。信任区域内的委托人对资源的任何访问都被视为受信任的。启用后,Access Analyzer 将分析应用于您的信任区中所有受支持的资源的策略。在进行第一次分析后,Access Analyzer 将定期分析这些策略。如果添加了新策略或更改了现有策略,Access Analyzer 会在约 30 分钟内分析新策略或更新后的策略。
在分析策略时,如果 Access Analyzer 发现一个向不在信任区域内的外部委托人授予访问权限的策略,则会生成一个结果。每个结果均包含有关资源、有权访问该资源的外部实体以及授予的权限的详细信息,以便您能采取适当的操作。您可以查看查找结果中包含的详细信息,以确定资源访问是有意的还是应解决的潜在风险。在向资源添加策略或更新现有策略时,Access Analyzer 将对策略进行分析。Access Analyzer 还会定期分析所有基于资源的策略。
在某些情况下,Access Analyzer 很少会收到添加或更新了策略的通知。如果您创建或删除与 S3 存储桶关联的多区域访问点,或者更新多区域访问点的策略,Access Analyzer 可能需要长达 6 小时才能生成或解析结果。此外,如果 Amazon CloudTrail 日志传输存在传输问题,则策略更改不会触发对结果中报告的资源进行重新扫描。在发生此情况时,Access Analyzer 会在下一个定期扫描期间(24 小时内)分析新策略或更新后的策略。如果要确认对策略所做的更改是否可以解决查找结果中报告的访问问题,您可以通过使用 Finding(结果)详情页面中的 Rescan(重新扫描)链接,或通过使用 Access Analyzer API 的 StartResourceScan
操作,以重新扫描查找结果中报告的资源。要了解更多信息,请参阅“解决结果”。
Access Analyzer 仅分析应用于与启用该功能所处同一 Amazon 区域中资源的策略。要监控 Amazon 环境中的所有资源,您必须创建一个分析器,以便在您使用受支持的 Amazon 资源的每个区域中启用 Access Analyzer。
Access Analyzer 分析以下资源类型:
验证策略
您可以使用 Access Analyzer 策略检查验证策略。您可以在 IAM 控制台中使用 Amazon CLI、Amazon API 或 JSON 策略编辑器创建或编辑策略。Access Analyzer 将根据 IAM 策略语法和最佳实践验证您的策略。您可以查看策略验证检查结果,其中包括策略的安全警告、错误、常规警告和策略建议。这些结果提供了可操作的建议,可帮助您编写可操作且符合安全最佳实践的策略。要了解有关使用 Access Analyzer 验证策略的详细信息,请参阅 Access Analyzer 策略验证。
生成策略
Access Analyzer 分析 Amazon CloudTrail 日志以识别指定日期范围内 IAM 实体(用户或角色)已使用的操作和服务。然后,它会生成基于该访问活动的 IAM 策略。您可以使用生成的策略通过将实体的权限附加到 IAM 用户或角色来优化实体权限。要了解有关使用访问 Access Analyzer 生成策略的详细信息,请参阅 IAM Access Analyzer 策略生成。