Generieren von Richtlinien basierend auf Zugriffsaktivitäten

Als Administrator oder Entwickler können Sie IAM-Entitäten (Benutzern oder Rollen) Berechtigungen gewähren, die über das hinausgehen, was sie benötigen. IAM bietet verschiedene Optionen, mit denen Sie die von Ihnen erteilten Berechtigungen verfeinern können. Eine Option besteht darin, eine IAM-Richtlinie zu generieren, die auf der Zugriffsaktivität für eine Entität basiert. IAM Access Analyzer überprüft Ihre AWS CloudTrail Protokolle und generiert eine Richtlinienvorlage, die die Berechtigungen enthält, die die Entität in Ihrem angegebenen Zeitraum verwendet hat. Sie können die Vorlage verwenden, um eine Richtlinie mit definierten Berechtigungen zu erstellen, die nur die Berechtigungen gewährt, die zur Unterstützung Ihres spezifischen Anwendungsfalls erforderlich sind.

Stellen Sie sich zum Beispiel vor, Sie sind ein Entwickler und Ihr Ingenieurteam arbeitet an einem Projekt zur Erstellung einer neuen Anwendung. Um das Experimentieren zu fördern und Ihrem Team zu ermöglichen, schnell voranzukommen, haben Sie während der Entwicklung der Anwendung eine Rolle mit umfassenden Berechtigungen konfiguriert. Jetzt ist die Anwendung bereit für die Produktion. Bevor die Anwendung im Produktionskonto gestartet werden kann, möchten Sie nur die Berechtigungen identifizieren, die die Rolle benötigt, damit die Anwendung funktioniert. Auf diese Weise können Sie die bewährten Methoden der Gewährung der geringsten Rechte befolgen. Sie können eine Richtlinie basierend auf der Zugriffsaktivität der Rolle generieren, die Sie für die Anwendung im Entwicklungskonto verwendet haben. Sie können die generierte Richtlinie weiter verfeinern und die Richtlinie dann an eine Entität in Ihrem Produktionskonto anfügen.

Weitere Informationen zur Erstellung von IAM Access Analyzer finden Sie unter Erstellen von IAM Access Analyzer-Richtlinien.