使用 AWS IAM Access Analyzer - AWS Identity and Access Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用 AWS IAM Access Analyzer

AWS IAM Access Analyzer 帮助您标识组织和账户中与外部实体共享的资源,例如 Amazon S3 存储桶或 IAM 角色。这样,您就可以识别对资源和数据的计划外访问,而这种访问可能会造成安全风险。Access Analyzer 使用基于逻辑的推理来分析 AWS 环境中基于资源的策略,确定与外部委托人共享的资源。对于在您的账户外共享的资源的每个实例,都会 Access Analyzer 生成一个调查结果。调查结果包括有关访问权限以及该访问权限授予到的外部委托人的信息。您可以查看调查结果,以确定该访问权限是按计划授予且安全,还是计划外的访问权限并存在安全风险。除了帮助您识别与外部实体共享的资源外,您还可以使用 Access Analyzer 结果,以便在部署资源权限之前,预览策略如何影响对资源的公有和跨账户访问。

注意

外部实体可以是另一个 AWS 账户、根用户、IAM 用户或角色、联合身份用户、AWS 服务、匿名用户或可用于创建筛选器的其他实体。有关更多信息,请参阅 AWS JSON 策略元素:委托人

启用 Access Analyzer 后,可以为整个组织或账户创建分析器。您选择的组织或账户称为分析器的信任区。该分析器将监控信任区域内所有受支持的资源。信任区域内的委托人对资源的任何访问都被视为受信任的。启用后,Access Analyzer 将分析应用于您的信任区中所有受支持的资源的策略。在进行第一次分析后,Access Analyzer 将定期分析这些策略。如果添加了新策略或更改了现有策略,Access Analyzer 会在约 30 分钟内分析新策略或更新后的策略。

在分析策略时,如果 Access Analyzer 发现一个向不在信任区域内的外部委托人授予访问权限的策略,则会生成一个结果。每个结果均包含有关资源、有权访问该资源的外部实体以及授予的权限的详细信息,以便您能采取适当的操作。您可以查看查找结果中包含的详细信息,以确定资源访问是有意的还是应解决的潜在风险。在向资源添加策略或更新现有策略时,Access Analyzer 将对策略进行分析。Access Analyzer 还会定期分析所有基于资源的策略。

在某些情况下,很少会通知 Access Analyzer 添加或更新了策略。例如,更改 S3 存储桶上的账户级块公共访问设置可能需要长达 6 小时。此外,如果 AWS CloudTrail 日志传输存在传输问题,则策略更改不会触发对查找结果中报告的资源进行重新扫描。在发生此情况时,Access Analyzer 会在下一个定期扫描期间(24 小时内)分析新策略或更新后的策略。如果要确认对策略所做的更改是否可以解决查找结果中报告的访问问题,您可以通过使用“Finding details (查找详细信息)”页面中的 Rescan (重新扫描) 链接,或通过使用 Access Analyzer API 的 StartResourceScan 操作,以重新扫描查找结果中报告的资源。要了解更多信息,请参阅解决结果

重要

Access Analyzer 仅分析应用于已启用它的同一 AWS 区域中的资源的策略。要监控 AWS 环境中的所有资源,您必须创建一个分析器,以便在您使用受支持的 AWS 资源的每个区域中启用 Access Analyzer。

Access Analyzer 分析以下资源类型:

验证策略

您可以使用 AWS IAM Access Analyzer 策略检查验证您的策略。您可以在 IAM 控制台中使用 AWS CLI、AWS API 或 JSON 策略编辑器创建或编辑策略。Access Analyzer 根据 IAM 策略语法最佳实践验证您的策略。您可以查看策略验证检查结果,其中包括安全警告、错误、常规警告和策略建议。这些结果提供切实可行的建议,帮助您制定有效且符合安全最佳实践的策略。要详细了解如何使用 Access Analyzer 验证策略,请参阅 Access Analyzer 策略验证