Pemeriksaan kebijakan khusus IAM Access Analyzer - AWS Identity and Access Management
Cara kerja pemeriksaan kebijakan khususContoh kebijakan referensi untuk memeriksa akses baruMemeriksa pemeriksaan kebijakan kustom yang gagalMemvalidasi kebijakan dengan pemeriksaan kebijakan khusus (konsol)Memvalidasi kebijakan dengan pemeriksaan kebijakan khusus (AWS CLI atau API)

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Pemeriksaan kebijakan khusus IAM Access Analyzer

Anda dapat memvalidasi kebijakan Anda terhadap standar keamanan yang ditentukan menggunakan pemeriksaan kebijakan AWS Identity and Access Management Access Analyzer khusus. Anda dapat menjalankan jenis pemeriksaan kebijakan kustom berikut:

  • Periksa kebijakan referensi: Saat mengedit kebijakan, Anda dapat memeriksa apakah kebijakan yang diperbarui memberikan akses baru dibandingkan dengan kebijakan referensi, seperti versi kebijakan yang ada. Anda dapat menjalankan pemeriksaan ini saat mengedit kebijakan menggunakan AWS Command Line Interface (AWS CLI), IAM Access Analyzer API (API), atau editor kebijakan JSON di konsol IAM.

  • Periksa daftar tindakan atau sumber daya IAM: Anda dapat memeriksa untuk memastikan bahwa tindakan atau sumber daya IAM tertentu tidak diizinkan oleh kebijakan Anda. Jika hanya tindakan yang ditentukan, IAM Access Analyzer memeriksa akses tindakan pada semua sumber daya dalam kebijakan. Jika hanya sumber daya yang ditentukan, maka IAM Access Analyzer memeriksa tindakan mana yang memiliki akses ke sumber daya yang ditentukan. Jika kedua tindakan dan sumber daya ditentukan, maka IAM Access Analyzer memeriksa tindakan mana yang ditentukan memiliki akses ke sumber daya yang ditentukan. Anda dapat menjalankan pemeriksaan ini saat membuat atau mengedit kebijakan menggunakan AWS CLI atau API.

  • Memeriksa akses publik: Anda dapat memeriksa apakah kebijakan sumber daya dapat memberikan akses publik ke jenis sumber daya tertentu. Anda dapat menjalankan pemeriksaan ini saat membuat atau mengedit kebijakan menggunakan AWS CLI atau API. Jenis pemeriksaan kebijakan kustom ini berbeda dengan akses pratinjau karena pemeriksaan tidak memerlukan konteks penganalisis akses akun atau eksternal. Pratinjau akses memungkinkan Anda untuk melihat pratinjau temuan IAM Access Analyzer sebelum menerapkan izin sumber daya, sementara pemeriksaan kustom menentukan apakah akses publik mungkin diberikan oleh kebijakan.

Biaya terkait dengan setiap pemeriksaan kebijakan khusus. Untuk detail selengkapnya tentang harga, lihat harga IAM Access Analyzer.

Cara kerja pemeriksaan kebijakan khusus

Anda dapat menjalankan pemeriksaan kebijakan khusus pada identitas dan kebijakan berbasis sumber daya. Pemeriksaan kebijakan khusus tidak bergantung pada teknik pencocokan pola atau memeriksa log akses untuk menentukan apakah akses baru atau yang ditentukan diizinkan oleh kebijakan. Mirip dengan temuan akses eksternal, pemeriksaan kebijakan khusus dibangun di Zelkova. Zelkova menerjemahkan kebijakan IAM ke dalam pernyataan logis yang setara, dan menjalankan serangkaian pemecah logis tujuan umum dan khusus (teori modulo kepuasan) terhadap masalah. Untuk memeriksa akses baru atau yang ditentukan, IAM Access Analyzer menerapkan Zelkova berulang kali ke kebijakan. Pertanyaan menjadi semakin spesifik untuk mengkarakterisasi kelas-kelas perilaku yang diizinkan oleh kebijakan berdasarkan konten kebijakan. Untuk informasi lebih lanjut tentang teori modulo kepuasan, lihat Teori Modulo Kepuasan.

Dalam kasus yang jarang terjadi, IAM Access Analyzer tidak dapat sepenuhnya menentukan apakah pernyataan kebijakan memberikan akses baru atau yang ditentukan. Dalam kasus tersebut, kesalahan di sisi menyatakan positif palsu dengan gagal pemeriksaan kebijakan khusus. IAM Access Analyzer dirancang untuk memberikan evaluasi kebijakan yang komprehensif dan berusaha untuk meminimalkan negatif palsu. Pendekatan ini berarti bahwa IAM Access Analyzer memberikan jaminan tingkat tinggi bahwa pemeriksaan yang lulus berarti akses tidak diberikan oleh kebijakan. Anda dapat memeriksa pemeriksaan yang gagal secara manual dengan meninjau pernyataan kebijakan yang dilaporkan dalam respons dari IAM Access Analyzer.

Contoh kebijakan referensi untuk memeriksa akses baru

Anda dapat menemukan contoh untuk kebijakan referensi dan mempelajari cara menyiapkan dan menjalankan pemeriksaan kebijakan kustom untuk akses baru dalam kebijakan kustom IAM Access Analyzer memeriksa repositori sampel pada. GitHub

Sebelum menggunakan contoh-contoh ini

Sebelum Anda menggunakan contoh kebijakan referensi ini, lakukan hal berikut:

  • Tinjau dan sesuaikan kebijakan referensi dengan cermat untuk kebutuhan unik Anda.

  • Uji kebijakan referensi di lingkungan Anda secara menyeluruh dengan Layanan AWS yang Anda gunakan.

    Kebijakan referensi menunjukkan implementasi dan penggunaan pemeriksaan kebijakan khusus. Contoh-contoh tersebut tidak dimaksudkan untuk ditafsirkan sebagai rekomendasi AWS resmi atau praktik terbaik untuk diimplementasikan persis seperti yang ditunjukkan. Merupakan tanggung jawab Anda untuk secara hati-hati menguji kebijakan referensi untuk kesesuaiannya untuk menyelesaikan persyaratan keamanan untuk lingkungan Anda.

  • Pemeriksaan kebijakan khusus bersifat agnostik lingkungan dalam analisisnya. Analisis mereka hanya mempertimbangkan informasi yang terkandung dalam kebijakan input. Misalnya, pemeriksaan kebijakan khusus tidak dapat memeriksa apakah akun adalah anggota AWS organisasi tertentu. Oleh karena itu, pemeriksaan kebijakan kustom tidak dapat membandingkan akses baru berdasarkan nilai kunci kondisi untuk kunci aws:PrincipalOrgIddan aws:PrincipalAccountkondisi.

Memeriksa pemeriksaan kebijakan kustom yang gagal

Jika pemeriksaan kebijakan kustom gagal, respons dari IAM Access Analyzer menyertakan ID pernyataan (Sid) pernyataan kebijakan yang menyebabkan pemeriksaan gagal. Meskipun ID pernyataan adalah elemen kebijakan opsional, sebaiknya Anda menambahkan ID pernyataan untuk setiap pernyataan kebijakan. Pemeriksaan kebijakan kustom juga menampilkan indeks pernyataan untuk membantu mengidentifikasi alasan kegagalan pemeriksaan. Indeks pernyataan mengikuti penomoran berbasis nol, di mana pernyataan pertama direferensikan sebagai 0. Ketika ada beberapa pernyataan yang menyebabkan cek gagal, cek hanya mengembalikan satu ID pernyataan pada satu waktu. Kami menyarankan Anda memperbaiki pernyataan yang disorot dalam alasan dan menjalankan kembali cek sampai lulus.

Memvalidasi kebijakan dengan pemeriksaan kebijakan khusus (konsol)

Sebagai langkah opsional, Anda dapat menjalankan pemeriksaan kebijakan khusus saat mengedit kebijakan di editor kebijakan JSON di konsol IAM. Anda dapat memeriksa apakah kebijakan yang diperbarui memberikan akses baru dibandingkan dengan versi yang ada.

Untuk memeriksa akses baru saat mengedit kebijakan IAM JSON

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Pada panel navigasi di sebelah kiri, pilih Kebijakan.

  3. Dalam daftar kebijakan, pilih nama kebijakan kebijakan yang ingin Anda edit. Anda dapat menggunakan kotak pencarian untuk memfilter daftar kebijakan.

  4. Pilih tab Izin, lalu pilih Edit.

  5. Pilih opsi JSON dan buat pembaruan kebijakan Anda.

  6. Di panel validasi kebijakan di bawah kebijakan, pilih tab Periksa akses baru, lalu pilih Periksa kebijakan. Jika izin yang dimodifikasi memberikan akses baru, pernyataan akan disorot di panel validasi kebijakan.

  7. Jika Anda tidak bermaksud memberikan akses baru, perbarui pernyataan kebijakan dan pilih Periksa kebijakan hingga tidak ada akses baru yang terdeteksi.

    catatan

    Biaya dikaitkan dengan setiap cek untuk akses baru. Untuk detail selengkapnya tentang harga, lihat harga IAM Access Analyzer.

  8. Pilih Selanjutnya.

  9. Pada halaman Tinjau dan simpan, tinjau Izin yang ditentukan dalam kebijakan ini, lalu pilih Simpan perubahan.

Memvalidasi kebijakan dengan pemeriksaan kebijakan khusus (AWS CLI atau API)

Anda dapat menjalankan pemeriksaan kebijakan kustom IAM Access Analyzer dari AWS CLI atau IAM Access Analyzer API.

Untuk menjalankan pemeriksaan kebijakan kustom IAM Access Analyzer ()AWS CLI

  • Untuk memeriksa apakah akses baru diizinkan untuk kebijakan yang diperbarui jika dibandingkan dengan kebijakan yang ada, jalankan perintah berikut: check-no-new-access

  • Untuk memeriksa apakah akses yang ditentukan tidak diizinkan oleh kebijakan, jalankan perintah berikut: check-access-not-granted

  • Untuk memeriksa apakah kebijakan sumber daya dapat memberikan akses publik ke jenis sumber daya tertentu, jalankan perintah berikut: check-no-public-access

Untuk menjalankan pemeriksaan kebijakan kustom IAM Access Analyzer (API)

  • Untuk memeriksa apakah akses baru diizinkan untuk kebijakan yang diperbarui jika dibandingkan dengan kebijakan yang ada, gunakan operasi CheckNoNewAccessAPI.

  • Untuk memeriksa apakah akses yang ditentukan tidak diizinkan oleh kebijakan, gunakan operasi CheckAccessNotGrantedAPI.

  • Untuk memeriksa apakah kebijakan sumber daya dapat memberikan akses publik ke jenis sumber daya tertentu, gunakan operasi CheckNoPublicAccessAPI.