IAM Access Analyzer 专业2019年〜
检测可从外部访问的资源和未使用的访问权限的服务
它能做什么
IAM Access Analyzer 可自动分析 S3 存储桶和 IAM 角色等 AWS 资源是否可从外部账户或互联网访问。它还能检测一段时间内未使用的 IAM 权限,帮助创建符合最小权限原则的策略,通过及早发现意外的访问许可来降低安全风险。
日常类比
可以将其比作公司的安全审计员。审计员定期检查每个房间(资源)的门锁(访问权限),报告外部人员是否能够进入,以及是否有未使用的钥匙被遗留。发现问题时会立即发出警报,并建议适当的配置方案。
什么是 IAM Access Analyzer
IAM Access Analyzer 是一项自动分析 AWS 资源访问权限并检测安全问题的服务。在 AWS 中,访问权限在 S3 存储桶策略和 IAM 角色信任策略等多个位置进行配置。随着配置变得复杂,资源可能会意外变为可从外部访问的状态。Access Analyzer 会自动发现这些问题并提示修复。
外部访问检测
Access Analyzer 分析 S3 存储桶、IAM 角色、KMS 密钥、Lambda 函数、SQS 队列等的资源策略,检测是否存在允许从 AWS 账户外部访问的配置。检测结果以"发现(findings)"的形式列出,您可以确认每项是有意为之还是意外情况。有意的共享可以归档,意外的访问则应通过修改策略来修复。
未使用访问权限分析
Access Analyzer 分析 IAM 用户和角色实际使用的访问权限,检测一段时间内未使用的权限。例如,如果 S3 写入权限在 90 天内从未使用过,它会报告此情况。根据这些信息删除不必要的权限,可以实现最小权限原则,并在凭证泄露时最大限度地缩小影响范围。 从基础到高级的访问分析知识,可以通过相关书籍(Amazon)进行系统学习。
开始使用
从 IAM 控制台的"Access Analyzer"菜单创建分析器。选择 AWS 账户或组织作为信任区域后,分析将自动开始。几分钟内即可显示检测结果供您审查。与 EventBridge 集成后,还可以在出现新发现时自动接收通知。
注意事项
- 创建分析器免费,但未使用访问权限分析根据分析的 IAM 角色和用户数量收费
- 检测结果可能包含有意的共享——并非所有结果都表示存在问题。请逐一审查并决定是归档还是修复
- 与 Organizations 集成后,可将整个组织设为信任区域,仅检测对组织外部的意外访问
