利用IAM Access Analyzer新功能验证对关键AWS资源的内部访问

AWS IAM Access Analyzer推出新功能,可帮助安全团队验证哪些IAM角色和用户有权访问关键AWS资源。该功能提供组织内访问的全面可见性,支持自动策略评估和统一仪表板,简化访问审查和管理流程。

验证对关键AWS资源的内部访问:IAM Access Analyzer新功能

今天,我们宣布AWS IAM Access Analyzer推出一项新功能,帮助安全团队验证哪些AWS Identity and Access Management (IAM) 角色和用户有权访问其关键AWS资源。这项新功能提供了对Amazon Web Services (AWS) 组织内授予的访问权限的全面可见性,补充了现有的外部访问分析。

在受监管行业(如金融服务和医疗保健)中,安全团队需要验证对敏感数据存储(如包含信用卡信息或医疗记录的Amazon Simple Storage Service (Amazon S3) 存储桶)的访问权限。以前,团队必须投入大量时间和资源手动审查AWS Identity and Access Management (IAM) 策略,或依赖模式匹配工具来理解内部访问模式。

新的IAM Access Analyzer内部访问发现功能可识别AWS组织内谁有权访问您的关键AWS资源。它使用自动推理来共同评估多个策略,包括服务控制策略 (SCPs)、资源控制策略 (RCPs) 和基于身份的策略,并在用户或角色有权访问您的S3存储桶、Amazon DynamoDB表或Amazon Relational Database Service (Amazon RDS) 快照时生成发现结果。这些发现结果汇总在一个统一的仪表板中,简化了访问审查和管理。您可以使用Amazon EventBridge自动通知开发团队新的发现结果,以移除意外访问。内部访问发现为安全团队提供了可见性,以加强对关键资源的访问控制,并帮助合规团队展示访问控制审计要求。

开始使用

要开始使用此新功能,您可以通过AWS管理控制台启用IAM Access Analyzer来监控特定资源。导航到IAM,并在左侧导航菜单的“访问报告”部分下选择“分析器设置”。从这里,选择“创建分析器”。

在“创建分析器”页面上,选择“资源分析 - 内部访问”选项。在“分析器详细信息”下,您可以自定义分析器的名称或使用自动生成的名称。接下来,您需要选择“信任区域”。如果您的账户是AWS组织的管理账户,您可以选择监控组织内所有账户或您当前登录的账户中的资源。如果您的账户是AWS组织的成员账户或独立账户,则可以监控您账户内的资源。

信任区域还决定了哪些IAM角色和用户被视为分析范围。组织信任区域分析器评估组织中所有IAM角色和用户对资源的潜在访问,而账户信任区域仅评估该账户中的IAM角色和用户。

在此第一个示例中,我们假设我们的账户是管理账户,并创建一个以组织为信任区域的分析器。

接下来,我们需要选择要分析的资源。选择“添加资源”会给我们三个选项。首先,我们检查如何通过识别账户和资源类型来选择资源进行分析。

您可以使用“按账户添加资源”对话框通过新界面选择资源类型。在这里,我们选择“所有支持的资源类型”并选择要监控的账户。这将创建一个监控所有支持资源类型的分析器。您可以通过组织结构(如下截图所示)选择账户,或使用“输入AWS账户ID”选项粘贴账户ID。

您还可以选择使用“定义特定资源类型”对话框,从支持的资源类型列表中选择(如下截图所示)。通过创建具有此配置的分析器,IAM Access Analyzer将持续监控账户内选定类型的现有和新资源,检查内部访问。

完成选择后,选择“添加资源”。

或者,您可以使用“按资源ARN添加资源”选项。

或者,您可以使用“通过上传CSV文件添加资源”选项来配置大规模监控特定资源列表。

完成分析器创建后,IAM Access Analyzer将每天分析策略,并生成显示授予组织内IAM角色和用户访问权限的发现结果。更新的IAM Access Analyzer仪表板现在提供以资源为中心的视图。“活动发现”部分将访问权限汇总为三个不同类别:公共访问、组织外的外部访问(需要创建单独的外部访问分析器)和组织内的访问。“关键资源”部分突出显示在三个类别中具有活动发现结果的前几个资源。您可以通过选择“查看所有活动发现”或左侧导航菜单上的“资源分析”来查看所有分析资源的列表。

在“资源分析”页面上,您可以过滤所有分析资源的列表以进行进一步分析。

当您选择特定资源时,任何可用的外部访问和内部访问发现结果都会列在“资源详细信息”页面上。使用此功能评估对所选资源的所有可能访问。对于每个发现结果,IAM Access Analyzer为您提供有关允许的IAM操作及其条件的详细信息,包括任何适用的SCPs和RCPs的影响。这意味着您可以验证访问是否受到适当限制并满足最小权限要求。

定价和可用性

这项新的IAM Access Analyzer功能今天在所有商业区域可用。定价基于每月监控的关键AWS资源数量。外部访问分析仍然免费提供。EventBridge的定价单独适用。

要了解更多关于IAM Access Analyzer的信息并开始分析对关键资源的内部访问,请访问IAM Access Analyzer文档。

comments powered by Disqus
© 2020 - 2025 qife
使用 Hugo 构建
主题 StackJimmy 设计
本站总访问量 本站访客数人次