Deze twee tools ingebouwd in de IAM Management Console zijn zeer nuttig bij het uitvoeren van veiligheidscontroles, zodat u om te testen uw IAM-beleid, specifieke gebruiker toegang en cross toegang tot het account, en zelfs het versturen van waarschuwingen problemen worden gedetecteerd.
Regelmatige Security Reviews Zijn Belangrijk
Als je hebt veel van de medewerkers, en het gebruik van IAM gebruikers voor employee accounts, moet u regelmatig security reviews om ervoor te zorgen dat uw beleid zijn gehouden. Omdat gebruikers kunnen meerdere beleid gekoppeld aan hun account, is het mogelijk om slip omhoog en per ongeluk een gebruiker meer rechten dan ze nodig hebben. Zonder beveiliging beoordelingen die gebruikers blijven verhoogde toestemmingen toe te staan totdat iemand het merkt.
Het probleem wordt nog verergerd met meerdere accounts. Het is vrij gebruikelijk voor grote bedrijven gebruiken AWS Organisaties te scheiden hun rekening ontwikkeling, testen, staging, en productie-omgevingen. Dit houdt alles apart, en zorgt voor de ontwikkeling van milieu, meer lax machtigingen.
Het opzetten van cross-account openen is eenvoudig; u kunt bijvoorbeeld een gebruiker in de ontwikkeling van de omgeving van de toegang tot bepaalde middelen in een test omgeving. U zult willen ervoor zorgen dat de productie omgeving is meer vergrendeld, en verbiedt de toegang tot externe accounts die het niet nodig hebben. En, natuurlijk, als je werkt met een ander bedrijf, u kan hen geven federatieve toegang tot enkele van uw middelen. U zult willen ervoor zorgen dat deze correct is ingesteld, of anders het kan een security issue.
Beleid Simulator Testen Per Account Toegang
Het Beleid Simulator is vrij eenvoudig in concept. U selecteert een account, en draagt de rechten van die account en simuleert API-verzoeken om te testen welke middelen dat account toegang heeft.
Ga dan naar de IAM Management Console om het uit te proberen. Selecteer een gebruiker, groep of rol van de linkerzijbalk en selecteer een dienst te testen.
U kunt het testen van individuele API-oproepen direct door te kiezen voor een specifieke actie, maar het is veel nuttiger om gewoon “Alles Selecteren” en test elke mogelijke actie automatisch aan. Dit kan vangen fouten waar, bijvoorbeeld, gaf je een gebruiker schrijf toegang tot een emmer (met het plan om hen toestemming te uploaden), maar miste het feit dat schrijven toestemming geeft machtiging verwijderen als goed.
Als u klikt op een actie, wordt u getoond die de IAM-Beleid en de regel geeft dat de gebruiker de toegang tot deze bron. U kunt bewerken en maken van nieuwe IAM-Beleid direct in, waardoor het een IDE van soorten voor IAM. Echt, dat is al het IAM-Beleid Simulator doet, maar het is handig genoeg dat het niet nodig is om zijn super hip.
Toegang Analyzer Identificeert Problemen Met Cross-Account Toegang
De Toegang Analyzer is een nieuwe toevoeging aan de IAM suite kunt het automatisch detecteren van problemen in uw IAM-instellingen, in het bijzonder als het gaat om het toestaan van middelen die buiten je cirkel van vertrouwen. Als, bijvoorbeeld, je hebt een KMS key in de productie-omgeving die kan worden benaderd door iemand in de ontwikkeling van milieu, Toegang Analyzer zal ontdekken dat, en sturen u een waarschuwing.
Het is geheel gratis, en wordt uitgevoerd in de achtergrond van uw AWS account, het controleren van elke zo vaak, en met de waarschuwing van problemen. Er is geen reden om niet in te schakelen.
Ga dan naar de Toegang Analyzer tabblad van de IAM Management-Console en klik op “Maken Analyzer.”
Het moet automatisch worden uitgevoerd zodra gemaakt, en als alles goed is, zie je niet iets anders, gewoon een lege lijst van bevindingen. Als het niet iets vinden, ontvangt u een melding en het zal verschijnen in de resultaten lijst.
Vanaf hier, zult u in staat om te markeren als de bevinding is de bedoeling de toegang, of het niet de bedoeling.
Als het triggeren van een veel valse positieven, kunt u een filter instellen onder “Archief Regels.”