Generazione di policy basate sull'attività di accesso

In qualità di amministratore o sviluppatore, puoi concedere autorizzazioni a entità IAM (utenti o ruoli) che vanno oltre quanto richiesto. IAM fornisce diverse opzioni che consentono di perfezionare le autorizzazioni concesse. Un'opzione consiste nel generare una policy IAM basata sull'attività di accesso per un'entità. IAM Access Analyzer esamina AWS CloudTrail i log e genera un modello di policy che contiene le autorizzazioni utilizzate dall'entità nell'intervallo di date specificato. È possibile utilizzare il modello per creare una policy con autorizzazioni granulari che concedono solo le autorizzazioni necessarie per supportare il caso d'uso specifico.

Prendiamo l'esempio di uno sviluppatore il cui team di ingegneria ha lavorato a un progetto per creare una nuova applicazione. Per incoraggiare la sperimentazione e consentire al team di muoversi rapidamente, è stato configurato un ruolo con autorizzazioni generali mentre l'applicazione è in fase di sviluppo. Ora l'applicazione è pronta per la produzione. Prima che l'applicazione possa essere avviata nell'account di produzione, è necessario identificare solo le autorizzazioni necessarie al ruolo per il funzionamento dell'applicazione. In questo modo è più facile rispettare le best practice dei privilegi minimi. È possibile generare una policy basata sull'attività di accesso del ruolo utilizzato per l'applicazione nell'account di sviluppo. È possibile perfezionare ulteriormente la policy generata e quindi allegare la policy nel proprio account di produzione.

Per ulteriori informazioni sulla generazione delle policy di IAM Access Analyzer, consulta Generazione di policy di IAM Access Analyzer.