Validar políticas com verificações de políticas do IAM Access Analyzer
Você pode usar verificações de políticas personalizadas para verificar novos acessos com base em seus padrões de segurança. Uma cobrança é associada a cada verificação de novo acesso. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer
Validar políticas com verificações personalizadas de políticas (console)
Como uma etapa opcional, você pode executar uma verificação personalizada de política ao editar uma política no editor de políticas de JSON no console do IAM. É possível verificar se a política atualizada concede novo acesso em comparação com a versão existente.
Para verificar se há novos acessos ao editar políticas JSON do IAM
Faça login no AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. -
No painel de navegação à esquerda, escolha Policies (Políticas).
-
Na lista de políticas, escolha o nome da política que deseja visualizar. Você pode usar a caixa de pesquisa para filtrar a lista de políticas.
-
Escolha a guia Permissões e depois escolha Editar.
-
Escolha a opção JSON e atualize sua política.
-
No painel de validação de política abaixo da política, escolha a guia Verificar novos acessos e, em seguida, escolha Verificar política. Se as permissões modificadas concederem novo acesso, a declaração será destacada no painel de validação da política.
-
Se você não pretende conceder um novo acesso, atualize a declaração de política e escolha Verificar política até que nenhum novo acesso seja detectado.
nota
Uma cobrança é associada a cada verificação de novo acesso. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer
. -
Escolha Próximo.
-
Na página Revisar e salvar, revise Permissões definidas nessa política e escolha Salvar alterações.
Validar políticas com verificações personalizadas de políticas (AWS CLI ou API)
Você pode executar verificações de políticas personalizadas do IAM Access Analyzer a partir da AWS CLI ou da API do IAM Access Analyzer.
Para executar verificações personalizadas de política (AWS CLI) do IAM Access Analyzer
-
Para verificar se um novo acesso é permitido para uma política atualizada em comparação com a política existente, execute o seguinte comando: check-no-new-access
-
Para verificar se o acesso especificado não é permitido por uma política, execute o seguinte comando: check-access-not-granted
-
Para verificar se uma política de recursos pode conceder acesso público a um tipo de recurso especificado, execute o seguinte comando: check-no-public-access
Verificações personalizadas de política do IAM Access Analyzer (API)
-
Para verificar se um novo acesso é permitido para uma política atualizada em comparação com a política existente, use a operação da API CheckNoNewAccess.
-
Para verificar se o acesso especificado não é permitido por uma política, use a operação da API CheckAccessNotGranted.
-
Para verificar se uma política de recursos pode conceder acesso público a um tipo de recurso especificado, execute a operação CheckNoPublicAccess de API.