Access Analyzer 政策驗證 - AWS Identity and Access Management

Access Analyzer 政策驗證

您可以使用 AWS IAM Access Analyzer 政策檢查來驗證您的政策。您可以在 IAM 主控台中使用 AWS CLI、AWS API 或 JSON 政策編輯器來建立或編輯政策。Access Analyzer 會根據 IAM 政策文法最佳實務來驗證您的政策。您可以檢視政策驗證檢查問題清單,包含安全警告、錯誤、一般警告和政策的建議。這些問題清單提供可行的建議,協助您撰寫具有功能性且符合安全最佳實務的政策。若要檢視 Access Analyzer 所傳回的警告、錯誤和建議清單,請參閱 Access Analyzer 政策檢查參考

在 IAM (主控台) 中驗證政策

您在 IAM 主控台中建立或編輯受管政策時,可以檢視政策檢查產生的問題清單。您也可以檢視內嵌使用者或角色政策的這些問題清單。Access Analyzer 不會產生內嵌群組政策的這些問題清單。

檢視由 IAM JSON 政策的政策檢查產生的問題清單

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 使用以下其中一個方法開始建立或編輯政策:

    1. 若要建立新的受管政策,請移至 Policies (政策) 頁面並建立新政策。如需詳細資訊,請參閱 在 JSON 標籤上建立政策

    2. 若要檢視現有受管政策的政策檢查,請移至 Policies (政策)頁面、選擇政策的名稱,然後選擇 Edit policy (編輯政策)。如需更多詳細資訊,請參閱 編輯客戶受管政策 (主控台)

    3. 若要檢視使用者或角色內嵌政策的政策檢查,請移至 Users (使用者)Roles (角色) 頁面、選擇使用者或角色的名稱,然後選擇 Permissions (許可) 標籤上的 Edit policy (編輯政策)。如需更多詳細資訊,請參閱 編輯客戶受管政策 (主控台)

  3. 在政策編輯器中,選擇 JSON 標籤。

  4. 在政策下方的政策驗證窗格中,選擇下列一或多個標籤。標籤名稱也會指出政策的每個問題清單類型數目。

    • 安全 – 如果 AWS 將您政策所允許的存取認為是因存取過度寬鬆而造成的安全風險,請檢視警告。

    • 錯誤 – 如果您的政策包含使政策無法運作的行,請檢視錯誤。

    • 一般 – 如果您的政策不符合最佳做法,但問題不屬於安全風險,請檢視警告。

    • 建議 – 如果 AWS 建議不影響政策之許可的改進功能,請檢視警告。

  5. 檢閱 Access Analyzer 政策檢查所提供的問題清單詳細資訊。每個問題清單都會指出報告問題的位置。若要深入了解造成問題的原因以及如何解決問題,請選擇報告問題旁的 Learn more (進一步了解) 連結。您也可以在 Access Analyzer policy checks (Access Analyzer 政策檢查) 參考頁面中搜尋與每個問題清單相關聯的政策檢查。

  6. 更新您的政策以解決問題清單。

    重要

    在您的生產工作流程中實作新的或已編輯的政策之前,請先完整測試。

  7. 完成時,選擇 Review policy (檢閱政策)。所以此政策驗證器會報告 Access Analyzer 未報告的任何語法錯誤。

    注意

    您可以隨時在 Visual editor (視覺化編輯器)JSON 標籤間切換。不過,如果您進行更改或在 Visual editor (視覺編輯工具) 索引標籤中選擇 Review policy (檢閱政策),IAM 可能會調整您的政策結構,以針對視覺編輯工具進行最佳化。如需詳細資訊,請參閱 政策結構調整

  8. Review policy (檢閱政策) 頁面上,為您正在建立的政策輸入 Name (名稱) 與 Description (描述) (選用)。檢閱政策 Summary (摘要) 來查看您的政策所授與的許可。然後選擇 Create policy (建立政策) 來儲存您的工作。

使用 Access Analyzer (AWS CLI 或 AWS API) 來驗證政策

您可以檢視由 IAM Access Analyzer 政策檢查從 AWS Command Line Interface (AWS CLI) 產生的問題清單。

若要檢視由 Access Analyzer 政策檢查 (AWS CLI 或 AWS API) 所產生的問題清單

請使用下列其中一個: