IAM Access Analyzer 政策驗證 - AWS Identity and Access Management
在 IAM (主控台) 中驗證政策使用 IAM Access Analyzer (AWS CLI 或 AWS API) 來驗證政策

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM Access Analyzer 政策驗證

您可以使用 AWS Identity and Access Management Access Analyzer 政策驗證來驗證政策。您可以使用 IAM 主控台中的 AWS CLI、AWS API 或 JSON 政策編輯器來建立或編輯政策。IAM Access Analyzer 會根據 IAM 政策文法AWS 最佳實務來驗證您的政策。您可以檢視政策驗證檢查問題清單,包含安全警告、錯誤、一般警告和政策的建議。這些問題清單提供可行的建議,協助您撰寫具有功能性且符合安全最佳實務的政策。若要檢視 IAM Access Analyzer 執行的基本政策檢查清單,請參閱:Access Analyzer 政策檢查參考

在 IAM (主控台) 中驗證政策

您在 IAM 主控台中建立或編輯受管政策時,可以檢視 IAM Access Analyzer 政策驗證產生的調查結果。您也可以檢視內嵌使用者或角色政策的這些問題清單。IAM Access Analyzer 不會為內嵌群組政策產生調查結果。

檢視由 IAM JSON 政策的政策檢查產生的問題清單

  1. 登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 使用以下其中一個方法開始建立或編輯政策:

    1. 若要建立新的受管政策,請移至 Policies (政策) 頁面並建立新政策。如需更多詳細資訊,請參閱 正在使用 JSON 編輯器建立政策

    2. 若要檢視現有客戶管理政策的政策檢查,請移至政策頁面,選擇政策的名稱,然後選擇編輯。如需更多詳細資訊,請參閱 編輯客戶受管政策 (主控台)

    3. 若要檢視使用者或角色內嵌政策的政策檢查,請移至使用者角色頁面,選擇使用者或角色的名稱,然後選擇許可索引標籤上的政策名稱,然後選擇編輯。如需更多詳細資訊,請參閱 編輯客戶受管政策 (主控台)

  3. 在政策編輯器中,選擇 JSON 標籤。

  4. 在政策下方的政策驗證窗格中,選擇下列一或多個標籤。標籤名稱也會指出政策的每個問題清單類型數目。

    • 安全 – 如果 AWS 將您政策所允許的存取認為是因存取過度寬鬆而造成的安全風險,請檢視警告。

    • 錯誤 – 如果您的政策包含使政策無法運作的行,請檢視錯誤。

    • 警告 – 如果您的政策不符合最佳做法,但問題不屬於安全風險,請檢視警告。

    • 建議 – 如果 AWS 建議不影響政策之許可的改進功能,請檢視警告。

  5. 檢閱 IAM Access Analyzer 政策檢查所提供的問題清單詳細資訊。每個問題清單都會指出報告問題的位置。若要深入了解造成問題的原因以及如何解決問題,請選擇報告問題旁的 Learn more (進一步了解) 連結。您也可以在 Access Analyzer policy checks (Access Analyzer 政策檢查) 參考頁面中搜尋與每個問題清單相關聯的政策檢查。

  6. 選用。如果您正在編輯現有政策,可以執行自訂政策檢查,以判斷更新版政策與現有版本相比,是否會授予新的存取權。在政策下方的政策驗證窗格中,選擇檢查新的存取權索引標籤,然後選擇檢查政策。如果修改後的許可會授予新存取權,該陳述式會在政策驗證窗格中反白顯示。如果您不打算授予新的存取權,請更新政策陳述式並選擇檢查政策,直到沒有偵測到新的存取權為止。如需更多詳細資訊,請參閱 IAM Access Analyzer 自訂政策檢查

    注意

    每次檢查新存取權都會收取費用。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價

  7. 更新您的政策以解決問題清單。

    重要

    在您的生產工作流程中實作新的或已編輯的政策之前,請先完整測試。

  8. 完成時,選擇 Next (下一步)政策驗證器會報告 IAM Access Analyzer 未報告的所有語法錯誤。

    注意

    您可以隨時在視覺化JSON 索引標籤之間切換。不過,如果您進行變更或在視覺化索引標籤中選擇下一步,IAM 可能會調整您的政策結構,以針對視覺化編輯器進行最佳化。如需更多詳細資訊,請參閱 政策結構調整

  9. 若使用新政策,在檢閱與建立頁面上,為您正在建立的政策輸入政策名稱描述 (選用)。檢閱此政策中定義的許可,來查看您的政策所授予的許可。然後選擇 Create policy (建立政策) 來儲存您的工作。

    若使用現有的政策,在檢閱與儲存頁面上,檢閱在此政策中定義的許可來查看您的政策所授予的許可。選擇將此新版本設定為預設值核取方塊,將更新版政策儲存為預設版政策。選擇儲存變更以儲存編輯內容。

使用 IAM Access Analyzer (AWS CLI 或 AWS API) 來驗證政策

您可以從 AWS Command Line Interface (AWS CLI) 檢視 IAM Access Analyzer 政策驗證所產生的調查結果。

檢視 IAM Access Analyzer 政策驗證所產生的調查結果 (AWS CLI 或 AWS API)

請使用下列其中一個: