使用新的 IAM 访问分析器功能验证对关键亚马逊云科技资源的内部访问权限

作者: Micah Walter |

今天,我们宣布在 Amazon IAM 访问分析器中推出一项新功能,该功能可帮助安全团队验证哪些 Amazon Identity and Access Management (IAM) 角色和用户可以访问其关键的亚马逊云科技资源。这项新功能可以全面了解您的亚马逊云科技组织内部授予的访问权限,对现有的外部访问分析进行了补充。

金融服务和医疗等监管行业的安全团队需要验证对敏感数据存储的访问权限,例如包含信用卡信息或医疗记录的 Amazon Simple Storage Service(Amazon S3)存储桶。以前,团队必须投入大量时间和资源对 Amazon Identity and Access Management (IAM) 政策进行手动审查,或者依靠模式匹配工具来了解内部访问模式。

新的 IAM 访问分析器内部访问调查结果可确定您的亚马逊云科技组织内谁有权访问您的关键亚马逊云科技资源。它使用自动推理来共同评估多个策略,包括服务控制策略 (SCP)、资源控制策略 (RCP) 和基于身份的策略,并在用户或角色有权访问您的 S3 存储桶、Amazon DynamoDB 表或 Amazon Relational Database Service (Amazon RDS) 快照时生成结果。调查结果汇总在统一的仪表板中,简化了访问审查和管理。您可以使用 Amazon EventBridge 自动将新发现通知开发团队,以删除意外访问权限。内部访问调查结果为安全团队提供了可见性,以加强对其关键资源的访问控制,并帮助合规团队证明访问控制审计要求。

我们来试试吧

要开始使用这项新功能,您可以启用 IAM 访问分析器使用亚马逊云科技管理控制台监控特定资源。导航到 IAM,然后在左侧导航菜单的访问报告部分下选择分析器设置。从这里,选择创建分析器

在亚马逊云科技控制台中创建分析器的屏幕截图

在"创建分析器"页面中,选择"资源分析 — 内部访问"选项。在Analyzer 详细信息下,您可以根据自己的喜好自定义分析器的名称,也可以使用自动生成的名称。接下来,你需要选择你的信任区域。如果您的账户是亚马逊云科技组织的管理账户,则可以选择监控组织内所有账户或当前登录账户中的资源。如果您的账户是亚马逊云科技组织的成员账户或独立账户,则您可以监控账户内的资源。

信任区还决定了哪些 IAM 角色和用户被视为分析范围。组织信任区分析器评估组织中的所有 IAM 角色和用户对资源的潜在访问权限,而账户信任区仅评估该账户中的 IAM 角色和用户。

在第一个示例中,我们假设我们的账户是管理账户,并创建一个以组织为信任区的分析器。

在亚马逊云科技控制台中创建分析器的屏幕截图

接下来,我们需要选择要分析的资源。选择"添加资源"为我们提供了三个选项。让我们首先研究如何通过确定要分析的账户和资源类型来选择资源。

在亚马逊云科技控制台中创建分析器的屏幕截图

您可以使用"按帐户添加资源"对话框通过新界面选择资源类型。在这里,我们选择所有支持的资源类型,然后选择我们要监控的账户。这将创建一个分析器来监控所有支持的资源类型。您可以通过组织结构(如以下屏幕截图所示)选择账户,也可以使用"输入亚马逊云科技账户 ID"选项粘贴账户 ID。

在亚马逊云科技控制台中创建分析器的屏幕截图

您也可以选择使用定义特定资源类型对话框,您可以使用该对话框从支持的资源类型列表中进行选择(如以下屏幕截图所示)。通过使用此配置创建分析器,IAM Access Analyzer 将持续监控账户中选定类型的现有和新资源,检查内部访问权限。

在亚马逊云科技控制台中创建分析器的屏幕截图

完成选择后,选择添加资源

在亚马逊云科技控制台中创建分析器的屏幕截图

或者,您可以使用"按资源添加资源 ARN"选项。

在亚马逊云科技控制台中创建分析器的屏幕截图

或者,您可以使用"通过上传 CSV 文件添加资源"选项来配置大规模监控特定资源列表。

在亚马逊云科技控制台中创建分析器的屏幕截图

在您完成分析器的创建后,IAM Access Analyzer 将每天分析策略并生成调查结果,显示组织内授予 IAM 角色和用户的访问权限。更新后的 IAM 访问分析器控制面板现在提供以资源为中心的视图。Active findings 部分将访问权限总结为三个不同的类别:公共访问权限、组织外部访问权限(需要创建单独的外部访问分析器)和组织内部访问权限。关键资源部分重点介绍了这三个类别的活跃发现的热门资源。通过选择左侧导航菜单上的"查看所有有效发现"或"资源分析",您可以查看所有已分析资源的列表。

访问分析器发现结果的屏幕截图

资源分析页面上,您可以筛选所有已分析资源的列表以进行进一步分析。

在亚马逊云科技控制台中创建分析器的屏幕截图

当您选择特定资源时,所有可用的外部访问和内部访问发现结果都将在资源详细信息页面上列出。使用此功能来评估对所选资源的所有可能访问权限。对于每项发现,IAM 访问分析器都会向您提供有关允许的 IAM 操作及其条件的详细信息,包括任何适用的 SCP 和 RCP 的影响。这意味着您可以验证访问权限是否受到适当限制并满足最低权限要求。

在亚马逊云科技控制台中创建分析器的屏幕截图

定价和供货情况

这项新的 IAM 访问分析器功能现已在所有商业区域推出。定价基于每月监控的关键亚马逊云科技资源的数量。外部访问分析仍然不收取额外费用。EventBridge 的定价另行适用。

要了解有关 IAM 访问分析器的更多信息并开始分析关键资源的内部访问权限,请访问 IAM 访问分析器文档。


米卡·沃尔特

Micah Walter

Micah Walter 是一名高级解决方案架构师,为纽约市地区及其他地区的企业客户提供支持。他为高管、工程师和架构师在云之旅的每一步提供建议,重点关注可持续性和实用设计。在业余时间,Micah 喜欢户外活动、摄影和在家里追逐孩子。

*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您发展海外业务和/或了解行业前沿技术选择推荐该服务。