掌握IAM访问权限分析,轻松实现最小权限管理

关键字: [Amazon Web Services re:Invent 2023, IAM Access Analyzer, Least Privilege, Iam Access Analyzer, Unused Access Findings, Custom Policy Checks, Automated Reasoning]

本文字数: 1400, 阅读完需: 7 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1VQ4y1u75z

导读

安全和开发团队合作,确保他们的亚马逊云科技身份和访问管理(IAM)角色和资源只具有执行预期任务所需的最低权限。为此,您需要检查亚马逊云科技环境中未使用的访问权限。在本课程中,了解新的IAM访问分析器功能如何帮助您简化权限调整过程,实现最低权限。

演讲精华

以下是小编为您整理的本次演讲的精华，共1100字，阅读时间大约是6分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

乌贾尔与耶利米亚共同走上了舞台，探讨亚马逊云科技的全新访问分析功能及其在实现最小权限访问管理方面的助力。作为第三方视角的作者，我将尽量保持客观且专业的语调。

乌贾尔率先解析了亚马逊云科技在整个生态系统中所采取的访问控制策略。他指出，亚马逊云科技采用了两大类策略：在组织层面实施的服务控制策略以及在个人账户层级进行细粒度权限管理的IAM角色和资源策略。

在权限管理方面，乌贾尔阐述了一个典型的权限生命周期三阶段模型：初始阶段设立合适的权限，随后逐步验证访问权限，最后根据需求变动定期调整权限。他还引述了最小权限原则，即用户只需分配完成任务所需的最少权限，既不过多也不缺失。他强调，最小权限是一个持续的过程，因为团队成员、基础设施和用途会随时间推移而不断发展和变革。

接下来，乌贾尔和耶利米亚分别阐述了他们在后续演讲中扮演的角色。乌贾尔将担任安全团队的中心角色，致力于协助建设者（如耶利米亚）取得成功，同时确保安全合规。而作为开发者角色的耶利米亚则需要在实现业务目标的过程中兼顾效率与安全团队的满意度。

乌贾尔进一步说明了他的核心职责，包括制定安全标准及预防性措施，在组织层面上实施粗粒度控制，监控和检查IAM权限以确保在超出预期时及时通知团队，并为建设者提供安全的开发工具。他强调，他们将继续关注设定合适的安全标准并对权限进行检查。

耶利米亚接着分享了他的开发者视角——熟悉可用工具，合理分配资源权限，并在满足业务需求和安全标准的前提下随着时间的推移调整权限。他与乌贾尔同样强调了关注安全最佳实践并在过程中适时调整权限的重要性。

在背景介绍完毕后，乌贾尔向观众展示了IAM访问分析器的功能，该功能旨在通过提供权限生命周期全过程的工具，简化实现最小权限的过程。

根据参考政策对'DeleteBucket'进行访问,",以及一个包含100个被禁止操作（例如 "dynamodb:DeleteTable"）的列表。

作为恶意开发者的杰里迈亚，他修改了IAM策略并授予其中之一禁止操作。然而，当他的更改提交到管道中时，访问分析器检查未能按照预期失败，从而导致不安全的策略没有被部署到生产环境中。

在演示结束后，乌贾尔总结了杰里迈亚的观点，强调了这种自定义策略检查如何能够实现80-90%的策略审查自动化，从而使安全性在开发过程中更早地被纳入考虑。

乌贾尔随后开始探讨访问分析器在"验证访问"阶段的功用，这个阶段主要关注检查现有的权限。他列出了一些功能：

• 生成策略以推荐与实际访问模式相匹配的策略
• 外部访问发现，以识别11个服务和14个资源类型的公共及跨账户访问
• 针对特定角色和用户的最近一次访问数据

乌贾尔接着宣布了访问分析器的一项新增功能——“未使用访问发现”，旨在识别亚马逊云科技环境中整个环境中的不必要广泛访问。它将持续监控未使用的角色、凭证和权限，并将发现的汇总至中央仪表板中。

他展示了新的集中式发现仪表板，既可以在账户层级，也可以在组织层级。它总结了所有账户按类别划分的总未使用访问，允许用户深入细节或每个发现或账户。

乌贾尔展示了如何在安全中心查看这些发现，以及如何使用EventBridge向第三方工具自动发送通知。

他指出，尽管现有的访问分析功能可免费使用，但新的持续自动化监控确实会产生额外费用。乌贾尔建议从单个账户级别的未使用访问分析开始，然后在证明其价值后扩展到组织范围。

总的来说，乌贾尔强调了访问分析器如何简化最小权限之旅，通过在初始设置期间自动执行政策审查，然后识别不必要的访问以随着时间的推移调整权限。

耶利米在总结时表示，要深入了解并与访问分析器进行实际操作体验的相关会议。他还提到了已经集成或将很快集成的合作伙伴对这些新功能的支持。

乌贾尔和耶利米最后鼓励与会者通过LinkedIn或电子邮件与他们联系以获取更多问题。他们感谢所有人的出席，并强调了提供会议反馈的重要性。

展示的新访问分析功能提供了强大的工具，将安全性更早地嵌入开发过程，并简化对亚马逊云科技环境的访问分析。通过自动化政策检查和集中显示不必要的访问，组织可以加速迈向最小权限访问管理的过程。

下面是一些演讲现场的精彩瞬间：

一位资深的产品经理和一位高级软件开发经理共同探讨了亚马逊云科技的新IAM访问分析器功能，这些功能旨在帮助客户实现最小权限原则。

亚马逊云科技的访问分析器通过其策略验证功能遵循最佳实践和语法规则，确保IAM策略既有效又一致，同时保持安全性。

验证策略API使得开发人员能够以编程方式检验IAM策略的正确性。

在演示过程中，演讲者详细解释了如何通过从S3存储桶中提取参考策略和敏感操作列表来检测未经授权的访问。

演讲者还探讨了在边界上限制权限与手动批准特定边缘情况的区别。

演示中，使用自定义策略检查的安全管道设置取得了圆满成功。

领导者们邀请与会者在亚马逊云科技的安全和身份展区进行现场咨询。

总结

此次演讲主要介绍了亚马逊云科技推出的新IAM访问分析器功能，旨在简化最小权限许可流程。该功能详细阐述了Access Analyzer如何在权限生命周期中适应设置、验证和改进IAM策略。

在权限设置方面，Access Analyzer现在提供了基于自动化推理的自定义策略检查。这些检查会在部署前根据组织特定标准对策略进行验证。

在权限验证方面，Access Analyzer新增了未使用访问发现功能。这些发现可以识别不活跃的IAM凭证并将其聚合到仪表板中，以便全面查看访问情况。此外，这些发现还可以与Security Hub和EventBridge集成。

在权限优化方面，未使用访问发现有助于精确定位并删除不必要的访问权限。通过这些功能，集中的安全团队可以制定标准，大规模监控权限，并使开发者能够安全地构建应用程序。

演讲原文

https://blog.youkuaiyun.com/just2gooo/article/details/135136365

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键查看 re:Invent 2023 所有热门发布

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。