Amazon IAM Access Analyzer 功能

IAM Access Analyzer 通过提供设置、验证和优化权限所需的工具来帮助您践行最低权限原则。作为一款全面的权限分析和策略验证工具，IAM Access Analyzer 可提供访问权限调查发现和策略检查。

IAM Access Analyzer 采用可验证的安全机制来提供有关外部访问权限的全面调查发现，并进行自定义策略检查。可验证的安全机制依赖于自动推理技术，即运用数学逻辑来帮助解答有关您的基础设施（包括亚马逊云科技权限）的关键问题。

策略验证

IAM Access Analyzer 可指导您基于 IAM 最佳实践编写和验证安全有效的策略。例如，如果您的策略在资源元素中包含带有星号的 IAM:PassRole 权限，则 IAM Access Analyzer 会将其标记为安全警告。IAM Access Analyzer 包含四种类型的策略验证调查发现：安全警告、错误、一般警告以及针对您的策略的 IAM 最佳实践建议。这些调查发现提供切实可行的建议，可帮助您编写符合亚马逊云科技最佳实践以及您的安全标准的有效策略。

外部访问权限分析器

IAM Access Analyzer 可指导您验证现有的外部访问权限是否符合您的预期。IAM Access Analyzer 使用自动推理工具（旨在提供可验证的安全保障）来分析对您的亚马逊云科技资源的所有外部访问权限。打开 IAM Access Analyzer 后，它会持续监控新的或更新的资源权限，以帮助您识别授权进行公共访问和跨账户访问的权限。例如，如果 Amazon S3 存储桶策略发生变化，IAM Access Analyzer 会提醒您该存储桶已可被账户外的用户访问。借助同样的分析，IAM Access Analyzer 使您能够更轻松地在部署权限更改前审核和验证公共访问和跨账户访问。

自定义策略检查

IAM Access Analyzer 会在部署前验证 IAM 策略是否符合您的安全标准。自定义策略检查借助自动推理的强大功能，使安全团队能够主动检测不符合规定的策略更新。例如，比先前版本更宽松的 IAM 策略更改会被标记出来，以供进一步审查。安全团队可以利用这些检查简化审查流程，自动批准符合其安全标准的策略，并对不符合标准的策略进行更深入的检查。安全团队和开发团队可以通过将自定义策略检查集成到开发人员编写策略的工具和环境（如 CI/CD 管线）中，大规模实现策略审核自动化。

上次访问的信息

IAM Access Analyzer 提供有关角色或用户上次通过其 IAM 策略使用亚马逊云科技服务以及特定亚马逊云科技服务中的操作的时间信息。这有助于您识别优化权限的机会。借助这些信息，您可以对比授予角色或用户的权限、上次访问这些权限的时间，从而移除未使用的访问权限，并进一步优化您的权限。

与 Amazon EventBridge 集成

通过将 IAM Access Analyzer 与 Amazon EventBridge 集成，您可以提醒团队审核并移除其亚马逊云科技账户中的过多权限，从而自动、大规模地实现权限优化。当生成、删除调查发现或调查发现状态发生变化时，IAM Access Analyzer 会向 EventBridge 发送事件。要接收调查发现和有关调查发现的通知，您必须在 EventBridge 中启用并创建事件规则。