根據存取活動產生政策 - AWS Identity and Access Management

根據存取活動產生政策

身為管理員或開發人員,您可能會將超出其所需範圍的許可授予 IAM 實體 (使用者或角色)。IAM 提供數個選項,協助您精簡您授予的許可。其中一種選擇是產生以實體存取活動基礎的 IAM 政策。IAM Access Analyzer 會審查您的 AWS CloudTrail 日誌並產生政策範本,它包含實體在指定日期範圍內所使用的許可。您可以使用範本來建立具有精細許可的政策,這些許可只會授予支援特定使用案例所需的許可。

例如,假設您是開發人員,而您的工程團隊一直在開發一個專案來建立新的應用程式。為了鼓勵實驗並讓您的團隊快速行動,您已在應用程式開發期間設定了具有廣泛許可的角色。現在該應用程序已準備就緒可用於生產。應用程式可以在生產帳戶中啟動之前,您只想要識別應用程式運作所需的角色許可。這有助於您符合授予最低權限的最佳實務。您可以根據您在開發帳戶中用於應用程式之角色的存取活動來產生政策。您可以進一步精簡產生的政策,然後將政策連接至生產帳戶中的實體。

若要進一步了解 IAM Access Analyzer 政策產生程序,請參閱產生 IAM Access Analyzer 政策