使用 Amazon Identity and Access Management Access Analyzer
Amazon Identity and Access Management Access Analyzer 提供以下功能:
-
IAM Access Analyzer 外部访问分析器可帮助您识别组织中的资源以及与外部实体共享的账户。
-
IAM Access Analyzer 未使用的访问分析器可帮助您识别组织和账户中未使用的访问。
-
IAM Access Analyzer 将根据策略语法和 Amazon 最佳实践验证 IAM policy。
-
IAM Access Analyzer 自定义策略检查可帮助您根据指定的安全标准验证 IAM policy。
-
IAM Access Analyzer 将根据您的 Amazon CloudTrail 日志中的访问活动生成 IAM policy。
识别与外部实体共享的资源
IAM Access Analyzer 帮助您标识企业和账户中与外部实体共享的资源,例如 Amazon S3 存储桶或 IAM 角色。这可以帮助您识别对资源和数据的意外访问,此类访问会带来安全风险。IAM Access Analyzer 使用基于逻辑的推理来分析 Amazon 环境中基于资源的策略,确定与外部主体共享的资源。对于在您的账户外共享的资源的每个实例,IAM Access Analyzer 都会生成一个调查结果。调查发现包括有关访问权限以及该访问权限授予到的外部主体的信息。您可以查看调查发现,以确定该访问权限是否按计划授予且安全,或者该访问权限是否是计划外的访问权限并存在安全风险。除了帮助您识别与外部实体共享的资源外,您还可以使用 IAM Access Analyzer 结果预览策略如何影响对资源的公共和跨账户访问,然后再部署资源权限。调查发现整理到可视化摘要控制面板中。控制面板会突出显示公共和跨账户存取调查发现之间的差异,并按资源类型提供调查发现的明细。要了解有关控制面板的更多信息,请参阅 查看 IAM Access Analyzer 的调查发现控制面板。
注意
外部实体可以是另一个 Amazon 账户、根用户、IAM 用户或角色、联合身份用户、匿名用户或可用于创建筛选器的另一个实体。有关更多信息,请参阅 Amazon JSON 策略元素:主体。
启用 IAM Access Analyzer 后,可以为整个企业或账户创建分析器。您选择的组织或账户称为分析器的信任区。该分析器将监控信任区域内所有受支持的资源。信任区域内的主体对资源的任何访问都被视为受信任的。启用后,IAM Access Analyzer 将分析应用于您的信任区中所有受支持的资源的策略。在进行第一次分析后,IAM Access Analyzer 将定期分析这些策略。如果添加了新策略或更改了现有策略,IAM Access Analyzer 会在约 30 分钟内分析新策略或更新后的策略。
在分析策略时,如果 IAM Access Analyzer 发现一个向不在信任区域内的外部主体授予访问权限的策略,则会生成一个结果。每个结果均包含有关资源、有权访问该资源的外部实体以及授予的权限的详细信息,以便您能采取适当的操作。您可以查看查找结果中包含的详细信息,以确定资源访问是有意的还是应解决的潜在风险。在向资源添加策略或更新现有策略时,IAM Access Analyzer 将对策略进行分析。IAM Access Analyzer 还会定期分析所有基于资源的策略。
在某些情况下,IAM Access Analyzer 很少会收到添加或更新了策略的通知,这可能导致生成的调查发现延迟。如果您创建或删除与 Amazon S3 存储桶关联的多区域接入点,或者更新多区域接入点的策略,IAM Access Analyzer 可能需要长达 6 小时才能生成或解析调查发现。此外,如果 Amazon CloudTrail 日志传输或资源控制策略(RCP)限制更改存在传输问题,则策略更改不会触发对调查发现中报告的资源进行重新扫描。在发生此情况时,IAM Access Analyzer 会在下一个定期扫描期间(24 小时内)分析新策略或更新后的策略。如果要确认对策略所做的更改是否可以解决查找结果中报告的访问问题,您可以通过使用 Finding(结果)详情页面中的 Rescan(重新扫描)链接,或通过使用 IAM Access Analyzer API 的 StartResourceScan 操作,以重新扫描查找结果中报告的资源。要了解更多信息,请参阅解决 IAM Access Analyzer 调查发现。
重要
对于外部访问,IAM Access Analyzer 仅分析应用于与启用该功能所处同一 Amazon 区域中资源的策略。要监控 Amazon 环境中的所有资源,您必须创建一个外部访问分析器,以便在您使用受支持的 Amazon 资源的每个区域中启用 IAM Access Analyzer。
对于未使用的访问,分析器的调查发现不会因区域而变化。无需在您拥有资源的每个区域创建未使用的访问分析器。
IAM Access Analyzer 分析以下资源类型:
识别授予 IAM 用户和角色的未使用访问权限
IAM Access Analyzer 可帮助您识别和查看 Amazon 组织和账户中未使用的访问。IAM Access Analyzer 会持续监控 Amazon 组织和账户中的所有 IAM 角色和用户,并生成未使用的访问的调查发现。调查发现会突出显示未使用的角色、IAM 用户未使用的访问密钥以及 IAM 用户未使用的密码。对于活动的 IAM 角色和用户,这些调查发现提供了对未使用的服务和操作的可见性。
外部访问和未使用的访问分析器的调查发现整理到可视化摘要控制面板中。控制面板会突出显示调查发现最多的 Amazon Web Services 账户,并按类型提供调查发现明细。有关控制面板的更多信息,请参阅 查看 IAM Access Analyzer 的调查发现控制面板。
IAM Access Analyzer 会查看 Amazon 组织和账户中所有角色的上次访问信息,以帮助您识别未使用的访问。IAM 操作上次访问的信息可帮助您识别 Amazon Web Services 账户 中角色的未使用操作。有关更多信息,请参阅 使用上次访问的信息优化 Amazon 中的权限。
根据 Amazon 最佳实践验证策略
您可以使用 IAM Access Analyzer 策略验证提供的基本策略检查,根据 IAM policy 语法和 Amazon 最佳实践验证您的策略。您可以在 IAM 控制台中使用 Amazon CLI、Amazon API 或 JSON 策略编辑器创建或编辑策略。您可以查看策略验证检查结果,其中包括策略的安全警告、错误、常规警告和策略建议。这些调查发现提供了可行的建议,可帮助您编写实用且符合 Amazon 最佳实践的策略。要了解有关使用策略验证来验证策略的更多信息,请参阅 使用 IAM Access Analyzer 验证策略。
根据指定的安全标准验证策略
您可以使用 IAM Access Analyzer 自定义策略检查,根据指定的安全标准验证策略。您可以在 IAM 控制台中使用 Amazon CLI、Amazon API 或 JSON 策略编辑器创建或编辑策略。通过控制台,您可以检查与现有版本相比,更新后的策略是否授予新的访问权限。通过 Amazon CLI 和 Amazon API,您还可以检查策略不允许您认为关键的特定 IAM 操作。这些检查突出显示了授予新访问权限的策略语句。您可以更新策略语句并重新运行检查,直到策略符合您的安全标准。要了解有关使用自定义策略检查验证策略的更多信息,请参阅 使用 IAM Access Analyzer 自定义策略检查来验证策略。
生成策略
IAM Access Analyzer 分析 Amazon CloudTrail 日志以识别指定日期范围内 IAM 实体(用户或角色)已使用的操作和服务。然后,它会生成基于该访问活动的 IAM policy。您可以使用生成的策略通过将实体的权限附加到 IAM 用户或角色来优化实体权限。要了解有关使用访问 IAM Access Analyzer 生成策略的详细信息,请参阅 IAM Access Analyzer 策略生成。
IAM Access Analyzer 定价
IAM Access Analyzer 根据每月每个分析器分析的 IAM 角色和用户数量对未使用的访问分析收费。
-
您需要为创建的每个未使用的访问分析器付费。
-
跨多个区域创建未使用的访问分析器使您需要为每个分析器付费。
-
不会对服务相关角色未使用的访问活动进行分析,也不会将其包含在分析的 IAM 角色总数中。
IAM Access Analyzer 根据向其发出的用于检查新访问的 API 请求数,对自定义策略检查收费。
有关 IAM Access Analyzer 的收费和价格的完整列表,请参阅 IAM Access Analyzer 定价
若要查看您的账单,请转到 Amazon 账单与成本管理 控制台
如果您有关于 Amazon 账单、账户和事件的问题,请联系 Amazon Web Services 支持