使用 IAM Access Analyzer 验证策略
您可以使用 AWS Identity and Access Management Access Analyzer 策略验证来验证您的策略。您可以在 IAM 控制台中使用 AWS CLI、AWS API 或 JSON 策略编辑器创建或编辑策略。IAM Access Analyzer 将根据 IAM policy 语法和 AWS 最佳实践来验证您的策略。您可以查看策略验证检查结果,其中包括策略的安全警告、错误、常规警告和策略建议。这些结果提供了可操作的建议,可帮助您编写可操作且符合安全最佳实践的策略。要查看 IAM Access Analyzer 运行的基本策略检查列表,请参阅 Access Analyzer 策略检查参考。
在 IAM(控制台)中验证策略
在 IAM 控制台中创建或编辑托管策略时,可以查看 IAM Access Analyzer 策略验证生成的调查发现。您还可以查看这些内联用户或角色策略的结果。IAM Access Analyzer 不会为内联组策略生成这些调查发现。
查看 IAM JSON 策略的策略检查生成的结果
登录 AWS Management Console,然后通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
使用以下方法之一开始创建或编辑策略:
-
要创建新的托管策略,请转到 Policies(策略)页面并创建新策略。有关更多信息,请参阅 使用 JSON 编辑器创建策略。
-
要查看现有客户管理型策略的策略检查,请转到策略页面,选择策略的名称,然后选择编辑。有关更多信息,请参阅 编辑客户托管策略(控制台)。
-
要查看针对用户或角色的内联策略的策略检查,请转到用户或角色页面,选择用户或角色的名称,在权限选项卡上选择策略名称,然后选择编辑。有关更多信息,请参阅 编辑内联策略(控制台)。
-
-
在策略编辑器中,选择 JSON 选项卡。
-
在策略下方的策略验证窗格中,选择以下一个或多个选项卡。选项卡名称还指示策略的每种查找类型的数量。
-
Security(安全)— 如果您的策略允许访问,但由于访问权限过于宽松而致使 AWS 认为存在安全风险,则可查看相关警告。
-
Errors(错误)— 如果策略包含阻止策略运行的行,则可查看错误。
-
警告 – 如果您的策略不符合最佳实践,但问题不属于安全风险,则可查看警告。
-
Suggestions(建议)— 如果 AWS 的建议不影响策略权限的改进,则可查看建议。
-
-
查看 IAM Access Analyzer 策略检查提供的结果详细信息。每个结果都会指示所报告问题的位置。要了解有关导致问题的原因以及如何解决问题的详细信息,请选择结果旁的 Learn more(了解更多)链接。您还可以在 Access Analyzer policy checks(Access Analyzer 策略检查)参考页面搜索与各个结果关联的策略检查。
-
可选。如果正在编辑现有策略,则可以运行自定义策略检查,以确定与现有版本相比,更新后的策略是否授予新的访问权限。在策略下方的策略验证窗格中,选择检查新访问选项卡,然后选择检查策略。如果修改后的权限授予新的访问权限,则该语句将在策略验证窗格中突出显示。如果不打算授予新的访问权限,请更新策略声明并选择检查策略,直到检测不到新的访问。有关更多信息,请参阅 使用 IAM Access Analyzer 自定义策略检查来验证策略。
注意
每次检查新的访问都会产生费用。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价
。 -
请更新策略以解决结果。
重要
在生产工作流中实施新策略之前,测试新策略或彻底编辑这些策略。
-
完成后,选择下一步。策略验证器会报告 IAM Access Analyzer 未报告的任何语法错误。
注意
您可以随时在可视化和 JSON 选项卡之间切换。但如果您进行更改或在可视化选项卡中选择下一步,IAM 可能会重组您的策略,以针对可视化编辑器进行优化。有关更多信息,请参阅 调整策略结构。
-
对于新策略,在查看和创建页面上,输入您要创建的策略的策略名称和描述(可选)。查看此策略中定义的权限,了解策略授予的权限。然后,选择创建策略以保存您的工作。
对于现有策略,在查看和保存页面上,查看此策略中定义的权限,了解策略授予的权限。选择将此新版本设置为默认版本复选框以将更新后的版本保存为策略的默认版本。然后选择保存更改以保存您的工作。
使用 IAM Access Analyzer(AWS CLI 或 AWS API)验证策略
您可以从 AWS Command Line Interface(AWS CLI)查看 IAM Access Analyzer 策略验证生成的调查发现。
要查看 IAM Access Analyzer 策略验证(AWS CLI 或 AWS API)生成的调查发现
使用以下值之一:
-
AWS CLI: aws accessanalyzer validate-policy
-
AWS API: ValidatePolicy