抖音技术能力大揭密!钜惠大礼、深度体验,尽在火山引擎增长沙龙,就等你来! 立即报名>> 了解详情
写点什么

新增功能 – 在 AWS Organizations 中使用 AWS IAM 访问分析器

2020 年 4 月 05 日

新增功能 – 在 AWS Organizations 中使用 AWS IAM 访问分析器

在去年的 AWS re:Invent 2019 大会上,我们发布了 AWS Identity and Access Management (IAM) 访问分析器,您可以借助此功能分析使用策略授予的 Amazon Simple Storage Service (S3) 存储桶、IAM 角色、AWS Key Management Service (KMS) 密钥、AWS Lambda 函数以及 Amazon Simple Queue Service (SQS) 队列权限,从而了解谁获得了资源的访问权限。


AWS IAM 访问分析器使用自动化推理(数学逻辑和推理的一种形式)来确定一个资源策略允许的所有可能访问路径。我们将这些分析结果称为可证明的安全性,这是一种更高水平的云安全保证。


今天,我很高兴地宣布,您可以在 AWS Organizations 主账户或者某个代理成员账户中创建分析器,将整个组织作为信任区。对于每个分析器,您现在可以将特定的账户或整个组织创建为一个信任区,并设置分析器的逻辑边界以作为分析结果的依据。这将有利于您快速确定何时可以从您的 AWS 组织之外访问您组织中的资源。


适用于 AWS Organizations 的 AWS IAM 访问分析器 – 入门


只需在 IAM 控制台中的一次点击,就可以在您的组织中启用 IAM 访问分析器。启用 IAM 访问分析器后,它将分析相关策略并报告分析结果列表,说明在 IAM 控制台中以及通过 API 授予了从您的 AWS 组织之外进行公有访问或跨账户访问的资源。



在您的组织上创建分析器时,它会将您的组织识别为信任区,这意味着它将信任该组织内的所有账户,认为这些账户都拥有 AWS 资源的访问权限。访问分析器将会生成一份报告,列举从组织之外访问您的资源的权限。


例如,如果您为您的组织创建了一个分析器,它将提供有关您组织中可以公开访问或从组织之外访问的 S3 存储桶等资源的主动分析结果。



当策略更改时,IAM 访问分析器会自动触发新的分析,并根据策略更改报告新的分析结果。您还可以手动触发重新评估。您可以将详细分析结果下载到报告中以支持合规审计。



分析器仅在创建分析器的区域有效,因此,您需要为您希望启用 IAM 访问分析器功能的每个区域创建一个唯一的分析器。


您可以在组织的主账户中为您的整个组织创建多个分析器。此外,您还可以选择将您组织中的某个成员账户作为 IAM 访问分析器的代理管理员。如果您选择将某个成员账户作为代理管理员,则该成员账户将拥有在组织中创建分析器的权限。此外,单个账户也可以创建分析器来识别可从这些账户之外访问的资源。


本文转载自 AWS 技术博客。


原文链接:https://amazonaws-china.com/cn/blogs/china/new-use-aws-iam-access-analyzer-in-aws-organizations/


对于每个生成的分析结果、现有分析结果的状态更改以及在分析结果被删除时,IAM 访问分析器都会向 Amazon EventBridge 发送一个事件。您可以通过 EventBridge 监控 IAM 访问分析器分析结果。此外,AWS CloudTrailAWS Security Hub 会记录所有 IAM 访问分析器的操作日志。借助 CloudTrail 采集的信息,您可以确定向访问分析器发出的请求、请求的来源 IP 地址、请求发起人、请求发出时间以及其他详细信息。


现已推出!


此集成在开放 IAM 访问分析器功能的所有 AWS 区域均可用。创建将组织作为信任区的分析器不会产生额外费用。如需了解更多信息,请观看 AWS re:Invent 2019 上的 Dive Deep into IAM Access AnalyzerAutomated Reasoning on AWS 演讲视频。通过功能页面文档也可以了解更多信息。


请通过 IAM 的 AWS 论坛或您常用的 AWS Support 联系方式向我们发送反馈。


Channy


本文转载自 AWS 技术博客。


原文链接:https://amazonaws-china.com/cn/blogs/china/new-use-aws-iam-access-analyzer-in-aws-organizations/


2020 年 4 月 05 日 08:00159

欲了解 AWS 的更多信息,请访问【AWS 技术专区】

评论

发布
暂无评论
发现更多内容

Chrome浏览器架构

曲迪

chrome 前端 浏览器 专栏

架构师训练营第四周作业

邓昀垚

极客大学架构师训练营

我把这个贼好用的Excel导出工具开源了!!

冰河

Java Excel 冰河 mykit-excel

makefile从入门到入门

MySQL从删库到跑路

c++ Linux 编译 makefile

手把手教你AspNetCore WebApi:增删改查

AI代笔

ASP.NET Core web api EF Core

手把手教你AspNetCore WebApi:Swagger(Api文档)

AI代笔

ASP.NET Core swagger web api

技术与思想:区块链的双重属性

CECBC区块链专委会

区块链 大数据

LeetCode题解:429. N叉树的层序遍历,递归,JavaScript,详细注释

Lee Chen

LeetCode 前端进阶训练营

手把手教你锤面试官01——HashMap面试全攻略

慵懒的土拨鼠

java基础 面试求职

架构训练营-week4-学习总结

于成龙

架构 作业 互联网架构 架构训练营

源码分析怎么做?

tison

源码分析

Code Review怎么做

胖鱼2号

spring-boot-route(七)整合jdbcTemplate操作数据库

Java旅途

Java Spring Boot JDBC

第一周-食堂就餐卡系统设计-UML设计

kawayi

架构训练营-week4-作业

于成龙

作业 架构训练营

作者谈《阿里巴巴Java开发手册(规约)》背后的故事

Java架构师迁哥

区块链即将涌现更多典型落地应用

CECBC区块链专委会

区块链 落地应用

云服务器网站打开速度过慢,如何进行自检

德胜网络-阳

纸质书和书写的慢时代

boshi

随笔杂谈

LeetCode题解:102. 二叉树的层序遍历,递归,JavaScript,详细注释

Lee Chen

LeetCode 前端进阶训练营

中台: 54 天搞定中国百强企业的库存中心建设,而时间还能够再缩短至少一倍

日编一码

4 个问题图解浏览器垃圾回收的过程

Java架构师迁哥

看了这篇网络编程,就可以和面试官聊聊了

Simon郎

网络编程 websocket Java 分布式

洞察:区块链的危机与契机

CECBC区块链专委会

比特币 区块链 数字货币

在互联网站上怎么准确分辨别出MG平台真假VX(LGF7998)黑网的验证方法?

InfoQ_6b6a6317a692

区块链更多典型落地应用即将涌现

CECBC区块链专委会

区块链 落地应用

架构师训练营第 1 期 - 第 4 周 - 学习总结

wgl

叹为观止!GitHub标星过万,腾讯技术官发布的“神仙文档”图解网络,简直是秋招福音

云流

程序员 互联网 网络通信协议 计算机知识

手把手教你AspNetCore WebApi:入门

AI代笔

ASP.NET Core web api

《统计学习基础:数据挖掘、推理和预测》-斯坦福大学人工智能学科专用教材

计算机与AI

「国庆」忆读书生涯

我是程序员小贱

美食 旅行

Study Go: From Zero to Hero

Study Go: From Zero to Hero

新增功能 – 在 AWS Organizations 中使用 AWS IAM 访问分析器-InfoQ