Diese beiden tools integriert, um die IAM-Management-Konsole sind sehr nützlich bei der Durchführung von Sicherheits-überprüfungen, so dass Sie testen Sie Ihre IAM-Richtlinien, Benutzer-spezifischen Zugriff, und cross-Konto zugreifen, und sogar senden Sie Warnungen Probleme gefunden werden.
Regelmäßige Security-Reviews Sind Wichtig
Wenn Sie haben eine Menge Mitarbeiter, und verwenden Sie IAM-Benutzer für Mitarbeiter-Konten, die Sie tun sollten regelmäßige Sicherheitsprüfungen, um sicherzustellen, dass Ihre Politik in Schach zu halten. Weil die Nutzer haben mehrere Richtlinien an Ihren account, es ist möglich, Ausrutscher und versehen damit ein Benutzer mehr Berechtigungen als Sie brauchen. Ohne Sicherheits-Bewertungen, die Nutzer weiterhin erhöhten Berechtigungen bis jemand merkt.
Verschärft wird das problem mit mehreren accounts. Es ist ziemlich üblich, dass große Unternehmen verwenden AWS-Organisationen zu trennen, deren Konto in die Entwicklungs -, Tests -, staging-und Produktion-Umgebungen. Das hält alles getrennt, und ermöglicht die Entwicklung Umwelt mehr lax Berechtigungen.
Einrichten der cross-Konto Zugriff leicht; zum Beispiel, könnten Sie geben Sie einen Benutzer in der Entwicklungsumgebung der Zugriff auf bestimmte Ressourcen in der Testumgebung. Werden Sie wollen, stellen Sie sicher, dass die Produktionsumgebung mehr gesperrt und erlaubt nicht den Zugriff auf externe Konten, die es nicht brauchen. Und, natürlich, wenn Sie arbeiten mit einer anderen Firma, Sie könnte Ihnen verbundenen Zugriff auf einige Ihrer Ressourcen. Werden Sie wollen, stellen Sie sicher, dass dieser korrekt eingerichtet ist, oder aber es kann eine Frage der Sicherheit.
Politik Simulator-Tests-Pro-Konto Zugreifen
Der Politik Simulator ist ziemlich einfach im Konzept. Wählen Sie ein Konto, und übernimmt die Berechtigungen des Kontos und simuliert API-Anfragen zu prüfen, welche Ressourcen das Konto zugreifen kann.
Den Kopf über die IAM-Management-Konsole, um es auszuprobieren. Wählen Sie einen Benutzer, eine Gruppe oder eine Rolle in der linken Seitenleiste, und wählen Sie einen service zu testen.
Sie können testen, die einzelnen API-Aufrufe direkt durch die Auswahl einer bestimmten Aktion, aber es ist viel mehr nützlich, um einfach “Alle Auswählen”, und testen Sie jede mögliche Aktion automatisch. Dies kann Fehler abfangen wo, zum Beispiel, Sie gab ein Benutzer Schreibzugriff auf einen Eimer (die Absicht zu geben, Ihnen die Erlaubnis zu hochladen), verpasste aber die Tatsache, dass die schreib-Berechtigung erteilt Berechtigung löschen, wie gut.
Wenn Sie klicken Sie auf eine Aktion, werden Sie gezeigt werden, die IAM-Richtlinie und Regel gibt, dass Benutzer den Zugriff auf die Ressource. Sie können Bearbeiten und erstellen von neuen IAM-Richtlinien direkt in hier, so dass es eine IDE von Sorten für IAM. Wirklich, das ist alles, die IAM-Policy Simulator funktioniert, aber es ist nützlich genug, dass es nicht super Auffällig ist.
Access Analyzer Identifiziert Probleme Mit Cross-Konto Zugreifen
Die Access Analyzer ist eine neue Ergänzung zu der IAM suite, die automatisch erkennen, kann Probleme in Ihren IAM-Einstellungen, insbesondere, wenn es darum geht, zu erlauben, auf Ressourcen außerhalb Ihres Kreises des Vertrauens. Wenn, zum Beispiel, haben Sie einen KMS-Schlüssel in der Produktionsumgebung zugegriffen werden kann, indem jemand in der Entwicklungsumgebung, Access Analyzer erkennt, dass, und senden Sie eine Warnung.
Es ist völlig kostenlos, und läuft im hintergrund Ihres AWS-Kontos, überprüfung jeder so oft und warnt Sie vor Probleme. Es gibt keinen Grund, nicht, um es zu aktivieren.
Den Kopf über die Access Analyzer-Registerkarte des IAM-Management-Konsole, und klicken Sie auf “Erstellen Analyzer.”
Es sollte automatisch ausgeführt werden, sobald Sie erzeugt wurden, und wenn alles gut ist, werden Sie nicht sehen, nichts anderes, nur eine leere Liste der Ergebnisse. Wenn es noch etwas finden, werden Sie benachrichtigt und es wird angezeigt, in der Ergebnisse-Liste.
Von hier aus werden Sie in der Lage, zu markieren, wenn der Befund soll zugreifen, oder nicht vorgesehen.
Wenn es das auslösen einer Menge von false positives, können Sie einen filter einrichten, der unter “Archive-Regeln.”