Dessa två verktyg som är inbyggd i IAM Management Console är mycket användbart när du utför säkerhets-och recensioner, så att du kan testa din IAM politik, enskilda användaren tillgång, och korset står tillgång, och skicka även du varningar om problem upptäcks.
Regelbundna Säkerhetskontroller Är Viktigt
Om du har fått en massa anställda, och använda IAM användare för anställdas konton bör du göra regelbundna säkerhetskontroller för att se till att din politik hålls i schack. Eftersom en användare kan ha flera olika politikområden som är knuten till deras konto, är det möjligt att glida upp och av misstag ge en användare mer behörighet än de behöver. Utan säkerhet recensioner, som användaren kommer att fortsätta att ha förhöjd behörighet tills någon meddelanden.
Problemet förvärras med flera konton. Det är ganska vanligt att stora företag att använda AWS Organisationer för att separera sitt konto till utveckling, testning, förproduktion, produktion och miljöer. Detta håller allt separat, och möjliggör utveckling av miljön har mer lax behörigheter.
Att sätta upp kors konto är enkelt; du kan till exempel ge en användare i utvecklingsmiljön tillgång till vissa resurser i testmiljö. Du kommer att vilja se till att produktionsmiljön är mer låst, och tillåter inte åtkomst till externa konton som inte behöver det. Och, naturligtvis, om du arbetar med ett annat företag, du kan ge dem federerad åtkomst till vissa av dina resurser. Du kommer att vilja se till att denna är inställd på rätt sätt, annars kan det bli en fråga om säkerhet.
Politik Simulator Tester Per-Konto
Den Politiska Simulator är ganska enkelt koncept. Du väljer ett konto, och förutsätter tillstånd av kontot och simulerar API-förfrågningar att testa vilka resurser som konto har tillgång till.
Chef över till IAM Management Console för att prova ut det. Välj en användare, grupp eller roll från vänster, och välj en tjänst för att testa.
Du kan testa enskilda API-anrop direkt genom att välja en viss åtgärd, men det är mycket bättre att helt enkelt “Markera Alla” och testa alla möjliga åtgärder automatiskt. Detta kan ta fel där, till exempel, du gav en användare skriver tillgång till en hink (för avsikt att ge dem tillåtelse att ladda upp), men missade att skriva tillstånd ger behörigheten ta bort också.
Om du klickar på en åtgärd, du kommer då att visas som IAM Politik och styre ger användaren tillgång till denna resurs. Du kan redigera och skapa nya IAM Politik direkt i här, vilket gör det till en IDE av slag för IAM. Verkligen, det är alla IAM Politik Simulator gör, men det är bra nog som det behöver inte vara super spännande.
Tillgång Analyzer Identifierar Problem Med Cross-Konto
Tillgång Analyzer är ett nytt tillägg till IAM svit som automatiskt kan upptäcka problem i din IAM inställningar, särskilt när det gäller att möjliggöra resurser utanför cirkeln av förtroende. Om, till exempel, har du en KMS-nyckel i produktionsmiljö som kan kommas åt av någon i den miljö för utveckling, Tillgång Analyzer kommer att upptäcka det och skicka dig en varning.
Det är helt och hållet gratis, och körs i bakgrunden i din AWS konto, kontroll av varje så ofta och varnade er för frågor. Det finns ingen anledning att inte göra det.
Chef över till Fi Analyzer fliken av IAM-Management Console och klicka på “Skapa Analyzer.”
Det ska köras automatiskt när du har skapat, och om allt är bra, du kommer inte att se något annat, bara en tom lista av resultat. Om det inte finns något, kommer du att meddelas och det kommer att visas i resultat listan.
Här kommer du att kunna markera om att hitta är avsedda tillgång till, eller inte är avsedd för.
Om det är som utlöser en hel del falsklarm, kan du ställa in ett filter under “Arkiv Regler.”