写点什么

新增功能 – 在 AWS Organizations 中使用 AWS IAM 访问分析器

2020 年 4 月 05 日

新增功能 – 在 AWS Organizations 中使用 AWS IAM 访问分析器

在去年的 AWS re:Invent 2019 大会上,我们发布了 AWS Identity and Access Management (IAM) 访问分析器,您可以借助此功能分析使用策略授予的 Amazon Simple Storage Service (S3) 存储桶、IAM 角色、AWS Key Management Service (KMS) 密钥、AWS Lambda 函数以及 Amazon Simple Queue Service (SQS) 队列权限,从而了解谁获得了资源的访问权限。


AWS IAM 访问分析器使用自动化推理(数学逻辑和推理的一种形式)来确定一个资源策略允许的所有可能访问路径。我们将这些分析结果称为可证明的安全性,这是一种更高水平的云安全保证。


今天,我很高兴地宣布,您可以在 AWS Organizations 主账户或者某个代理成员账户中创建分析器,将整个组织作为信任区。对于每个分析器,您现在可以将特定的账户或整个组织创建为一个信任区,并设置分析器的逻辑边界以作为分析结果的依据。这将有利于您快速确定何时可以从您的 AWS 组织之外访问您组织中的资源。


适用于 AWS Organizations 的 AWS IAM 访问分析器 – 入门


只需在 IAM 控制台中的一次点击,就可以在您的组织中启用 IAM 访问分析器。启用 IAM 访问分析器后,它将分析相关策略并报告分析结果列表,说明在 IAM 控制台中以及通过 API 授予了从您的 AWS 组织之外进行公有访问或跨账户访问的资源。



在您的组织上创建分析器时,它会将您的组织识别为信任区,这意味着它将信任该组织内的所有账户,认为这些账户都拥有 AWS 资源的访问权限。访问分析器将会生成一份报告,列举从组织之外访问您的资源的权限。


例如,如果您为您的组织创建了一个分析器,它将提供有关您组织中可以公开访问或从组织之外访问的 S3 存储桶等资源的主动分析结果。



当策略更改时,IAM 访问分析器会自动触发新的分析,并根据策略更改报告新的分析结果。您还可以手动触发重新评估。您可以将详细分析结果下载到报告中以支持合规审计。



分析器仅在创建分析器的区域有效,因此,您需要为您希望启用 IAM 访问分析器功能的每个区域创建一个唯一的分析器。


您可以在组织的主账户中为您的整个组织创建多个分析器。此外,您还可以选择将您组织中的某个成员账户作为 IAM 访问分析器的代理管理员。如果您选择将某个成员账户作为代理管理员,则该成员账户将拥有在组织中创建分析器的权限。此外,单个账户也可以创建分析器来识别可从这些账户之外访问的资源。


本文转载自 AWS 技术博客。


原文链接:https://amazonaws-china.com/cn/blogs/china/new-use-aws-iam-access-analyzer-in-aws-organizations/


对于每个生成的分析结果、现有分析结果的状态更改以及在分析结果被删除时,IAM 访问分析器都会向 Amazon EventBridge 发送一个事件。您可以通过 EventBridge 监控 IAM 访问分析器分析结果。此外,AWS CloudTrailAWS Security Hub 会记录所有 IAM 访问分析器的操作日志。借助 CloudTrail 采集的信息,您可以确定向访问分析器发出的请求、请求的来源 IP 地址、请求发起人、请求发出时间以及其他详细信息。


现已推出!


此集成在开放 IAM 访问分析器功能的所有 AWS 区域均可用。创建将组织作为信任区的分析器不会产生额外费用。如需了解更多信息,请观看 AWS re:Invent 2019 上的 Dive Deep into IAM Access AnalyzerAutomated Reasoning on AWS 演讲视频。通过功能页面文档也可以了解更多信息。


请通过 IAM 的 AWS 论坛或您常用的 AWS Support 联系方式向我们发送反馈。


Channy


本文转载自 AWS 技术博客。


原文链接:https://amazonaws-china.com/cn/blogs/china/new-use-aws-iam-access-analyzer-in-aws-organizations/


2020 年 4 月 05 日 08:0081

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

阿里架构师花近三个月时间整理出来的Java独家面试题(Java岗)

Crud的程序员

Java 编程 架构 java面试

第六周学习总结

Griffenliu

Nginx的反向代理与负载均衡--配置Nginx

Linux服务器开发

nginx 负载均衡 反向代理 后端开发 Linux服务器

磁盘到底是怎样工作的?一文理解硬盘结构

Guanngxu

操作系统

二分发代码模板

小兵

监控之美——监控系统选型分析及误区探讨

华章IT

运维 云原生 监控 Prometheus

第六周作业

Griffenliu

三万字无坑搭建基于Docker+K8S+GitLab/SVN+Jenkins+Harbor持续集成交付环境!!

冰河

Docker 云原生 k8s

《华为数据之道》读书笔记:第 6 章 面向“自助消费”的数据服务建设

方志

数据中台 数据仓库 数字化转型 数据治理

区块链供应链金融落地解决方案,数据上链存储

WX13823153201

区块链供应链金融落地

顶层设计已基本完备 数字货币将进入加速推进阶段

CECBC区块链专委会

数字货币

我是如何使计算提速>150倍的

Lart

Python 代码优化 Numpy

免费下载O’Reilly出版社全新之作《建立机器学习流水线》

计算机与AI

学习

甲方日常 59

句子

工作 随笔杂谈 日常

现在Php、Java、Python横行霸道的市场,C++程序员们都在干什么呢?

ShenDu_Linux

c++ 程序员 编程语言 C语言 软件工程师

Scala语法特性(三):面向对象的独特点

大规模数据处理学习者

特质 样例类 case class Traits

面试无忧:源码+实践,讲到MySQL调优的底层算法实现

小Q

Java 数据库 学习 面试 算法

使用 Go 实现 Async/Await 模式

Roc

go golang channel goroutines Async

《华为数据之道》读书笔记:第 7章 打造“数字孪生”的数据全量感知能力

方志

数据中台 数字化转型

区块链政务系统开发解决方案

t13823115967

区块链+ 区块链开发落地 政务系统开发解决方案

聊聊销售背后的策略

吴晨曦

创业 销售管理

JVM调优不知道怎么回答,阿里总结四大模块,学不会就背过来

小Q

Java 学习 架构 面试 JVM

Spock单元测试框架实战指南四 - 异常测试

Java老k

单元测试 spock

【薪火计划】06 - 你推崇的领导方式是怎么样的?

brave heart

管理

数字货币——货币的第四次革命

CECBC区块链专委会

数字货币

区块链如何助力精准扶贫?

CECBC区块链专委会

区块链 扶贫

一枚程序猿的MacBook M1详细体验报告

Zhendong

CPU飙高问题排查

程序猿玄微子

架构师训练营第 1 期 - 第 10 周 - 学习总结

wgl

极客大学架构师训练营

区块链开发落地,联盟链系统平台搭建

t13823115967

区块链 区块链开发落地 联盟链系统平台搭建

Spring 源码学习 02:关于 Spring IoC 和 Bean 的概念

程序员小航

spring 源码 源码分析 ioc

新增功能 – 在 AWS Organizations 中使用 AWS IAM 访问分析器-InfoQ