Cek untuk memvalidasi kebijakan - AWS Identity and Access Management
Cara kerja pemeriksaan kebijakan khususContoh kebijakan referensi untuk memeriksa akses baruPeriksa pemeriksaan kebijakan kustom yang gagal

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Cek untuk memvalidasi kebijakan

IAMAccess Analyzer menyediakan pemeriksaan kebijakan yang membantu memvalidasi IAM kebijakan Anda sebelum Anda melampirkannya ke entitas. Ini termasuk pemeriksaan kebijakan dasar yang disediakan oleh validasi kebijakan untuk memvalidasi kebijakan Anda terhadap tata bahasa kebijakan dan AWS praktik terbaik. Anda dapat melihat temuan pemeriksaan validasi kebijakan yang mencakup peringatan keamanan, kesalahan, peringatan umum, dan saran untuk kebijakan Anda.

Anda dapat menggunakan pemeriksaan kebijakan khusus untuk memeriksa akses baru berdasarkan standar keamanan Anda. Biaya dikaitkan dengan setiap cek untuk akses baru. Untuk detail selengkapnya tentang harga, lihat harga IAM Access Analyzer.

Cara kerja pemeriksaan kebijakan khusus

Anda dapat memvalidasi kebijakan berdasarkan standar keamanan yang Anda tentukan menggunakan pemeriksaan kebijakan AWS Identity and Access Management Access Analyzer khusus. Anda dapat menjalankan jenis pemeriksaan kebijakan kustom:

  • Memeriksa kebijakan referensi: Saat mengedit kebijakan, Anda dapat memeriksa apakah kebijakan yang diperbarui memberikan akses baru dibandingkan dengan kebijakan referensi, seperti versi kebijakan yang ada. Anda dapat menjalankan pemeriksaan ini saat mengedit kebijakan menggunakan AWS Command Line Interface (AWS CLI), IAM Access Analyzer API (API), atau editor JSON kebijakan di IAM konsol.

    catatan

    IAMPemeriksaan kebijakan kustom Access Analyzer memungkinkan wildcard dalam Principal elemen untuk kebijakan sumber daya referensi.

  • Periksa daftar IAM tindakan atau sumber daya: Anda dapat memeriksa untuk memastikan bahwa IAM tindakan atau sumber daya tertentu tidak diizinkan oleh kebijakan Anda. Jika hanya tindakan yang ditentukan, IAM Access Analyzer memeriksa akses tindakan pada semua sumber daya dalam kebijakan. Jika hanya sumber daya yang ditentukan, maka IAM Access Analyzer memeriksa tindakan mana yang memiliki akses ke sumber daya yang ditentukan. Jika kedua tindakan dan sumber daya ditentukan, maka IAM Access Analyzer memeriksa tindakan mana yang ditentukan memiliki akses ke sumber daya yang ditentukan. Anda dapat menjalankan pemeriksaan ini ketika Anda membuat atau mengedit kebijakan menggunakan AWS CLI atauAPI.

  • Memeriksa akses publik: Anda dapat memeriksa apakah kebijakan sumber daya dapat memberikan akses publik ke jenis sumber daya tertentu. Anda dapat menjalankan pemeriksaan ini ketika Anda membuat atau mengedit kebijakan menggunakan AWS CLI atauAPI. Jenis pemeriksaan kebijakan kustom ini berbeda dengan akses pratinjau karena pemeriksaan tidak memerlukan konteks penganalisis akses akun atau eksternal apa pun. Pratinjau akses memungkinkan Anda untuk melihat pratinjau temuan IAM Access Analyzer sebelum menerapkan izin sumber daya, sementara pemeriksaan kustom menentukan apakah akses publik mungkin diberikan oleh kebijakan.

Biaya terkait dengan setiap pemeriksaan kebijakan khusus. Untuk detail selengkapnya tentang harga, lihat harga IAM Access Analyzer.

Anda dapat menjalankan pemeriksaan kebijakan khusus pada kebijakan berbasis identitas dan berbasis sumber daya. Pemeriksaan kebijakan khusus tidak bergantung pada teknik pencocokan pola atau memeriksa log akses untuk menentukan apakah akses baru atau yang ditentukan diizinkan oleh kebijakan. Mirip dengan temuan akses eksternal, pemeriksaan kebijakan khusus dibangun di Zelkova. Zelkova menerjemahkan IAM kebijakan ke dalam pernyataan logis yang setara, dan menjalankan serangkaian pemecah logis khusus dan pemecah logis khusus (terori modulo kepuasan) terhadap masalah. Untuk memeriksa akses baru atau yang ditentukan, IAM Access Analyzer menerapkan Zelkova berulang kali ke kebijakan. Kueri menjadi semakin spesifik untuk mencirikan kelas perilaku yang dimungkinkan oleh kebijakan berdasarkan pada konten kebijakan. Untuk informasi lebih lanjut tentang teori modulo, lihat Teori Modulo Kepuasan.

Dalam kasus yang jarang terjadi, Penganalisis IAM Akses tidak dapat sepenuhnya menentukan apakah suatu pernyataan kebijakan memberikan akses baru atau ditentukan. Dalam kasus tersebut, kesalahan di sisi mendeklarasikan positif palsu dengan gagal pemeriksaan kebijakan khusus. IAMPenganalisis Akses dirancang untuk memberikan evaluasi kebijakan yang komprehensif dan berusaha untuk meminimalkan negatif palsu. Pendekatan ini berarti bahwa IAM Access Analyzer memberikan jaminan tingkat tinggi bahwa pemeriksaan yang lulus berarti akses tidak diberikan oleh kebijakan. Anda dapat memeriksa pemeriksaan yang gagal secara manual dengan meninjau pernyataan kebijakan yang dilaporkan dalam respons dari IAM Access Analyzer.

Contoh kebijakan referensi untuk memeriksa akses baru

Anda dapat menemukan contoh untuk kebijakan referensi dan mempelajari cara menyiapkan dan menjalankan pemeriksaan kebijakan kustom untuk akses baru di repositori sampel pemeriksaan kebijakan kustom IAM Access Analyzer. GitHub

Sebelum menggunakan contoh-contoh ini

Sebelum Anda menggunakan kebijakan referensi ini, lakukan hal berikut:

  • Tinjau dan sesuaikan kebijakan referensi untuk kebutuhan unik Anda.

  • Benar-benar menguji kebijakan referensi di lingkungan Anda dengan Layanan AWS yang Anda gunakan.

    Kebijakan referensi menunjukkan implementasi dan penggunaan pemeriksaan kebijakan khusus. Contoh-contoh tersebut tidak dimaksudkan untuk ditafsirkan sebagai rekomendasi AWS resmi atau praktik terbaik untuk diimplementasikan persis seperti yang ditunjukkan. Adalah tanggung jawab Anda untuk secara hati-hati menguji kebijakan referensi untuk kesesuaiannya untuk menyelesaikan persyaratan keamanan untuk lingkungan Anda.

  • Pemeriksaan kebijakan khusus bersifat agnostik lingkungan dalam analisisnya. Analisis mereka hanya mempertimbangkan informasi yang terkandung dalam kebijakan input. Misalnya, pemeriksaan kebijakan khusus tidak dapat memeriksa apakah akun adalah anggota AWS organisasi tertentu. Oleh karena itu, pemeriksaan kebijakan kustom tidak dapat membandingkan akses baru berdasarkan nilai kunci kondisi untuk kunci aws:PrincipalOrgIddan aws:PrincipalAccountkondisi.

Periksa pemeriksaan kebijakan kustom yang gagal

Jika pemeriksaan kebijakan kustom gagal, respons dari IAM Access Analyzer menyertakan ID pernyataan (Sid) pernyataan kebijakan yang menyebabkan pemeriksaan gagal. Meskipun ID pernyataan adalah elemen kebijakan opsional, sebaiknya Anda menambahkan ID pernyataan untuk setiap pernyataan kebijakan. Pemeriksaan kebijakan kustom juga menampilkan indeks pernyataan untuk membantu mengidentifikasi alasan kegagalan pemeriksaan. Indeks pernyataan mengikuti penomoran berbasis nol, di mana pernyataan pertama direferensikan sebagai 0. Ketika ada beberapa pernyataan yang menyebabkan cek gagal, cek hanya mengembalikan satu ID pernyataan pada satu waktu. Kami menyarankan Anda memperbaiki pernyataan yang disorot dalam alasan dan menjalankan kembali cek sampai lulus.