Validar políticas com o IAM Access Analyzer - AWS Identity and Access Management

Validar políticas com o IAM Access Analyzer

É possível validar suas políticas usando validações de política do AWS Identity and Access Management Access Analyzer. É possível criar ou editar uma política usando a AWS CLI,a API da AWS ou o editor de políticas de JSON no console do IAM. O IAM Access Analyzer valida sua política em relação à gramática da política do IAM e às práticas recomendadas da AWS. É possível visualizar as descobertas de verificação de validação de política que incluem avisos de segurança, erros, avisos gerais e sugestões para sua política. Essas descobertas fornecem recomendações práticas que ajudam a criar políticas que sejam funcionais e estejam em conformidade com as práticas recomendadas de segurança. Para visualizar uma lista das verificações de política básicas executadas pelo IAM Access Analyzer, consulte Referência de verificação de política do Access Analyzer.

Validar políticas no IAM (console)

Você pode visualizar as descobertas geradas pela validação de política do IAM Access Analyzer ao criar ou editar uma política gerenciada no console do IAM. Você também pode visualizar essas descobertas para políticas de usuário ou função em linha. O IAM Access Analyzer não gera essas descobertas para políticas de grupo em linha.

Para visualizar descobertas geradas por verificações de política para políticas de JSON do IAM
  1. Faça login no AWS Management Console e abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. Comece criando ou editando uma política usando um dos seguintes métodos:

    1. Para criar uma nova política gerenciada, acesse a página Policies (Políticas) e crie uma nova política. Para ter mais informações, consulte Criar políticas usando o editor de JSON.

    2. Para visualizar as verificações de política para uma política gerenciada pelo cliente existente, acesse a página Políticas, escolha o nome de uma política e, em seguida, selecione Editar. Para ter mais informações, consulte Edição de políticas gerenciadas pelo cliente (console).

    3. Para visualizar as verificações de política para uma política em linha em um usuário ou um perfil, acesse a página Usuários ou Perfis, escolha o nome de um usuário ou de um perfil, selecione o nome da política na guia Permissões e, em seguida, clique em Editar. Para ter mais informações, consulte Edição de políticas em linha (console).

  3. No editor de política, escolha a guia JSON.

  4. No painel de validação de política abaixo da política, escolha uma ou mais das guias a seguir. Os nomes das guias também indicam o número de cada tipo de descoberta para sua política.

    • Security (Segurança): exibe avisos se sua política permitir acesso que a AWS considera um risco de segurança porque o acesso é excessivamente permissivo.

    • Errors (Erros): exibe erros se a política incluir linhas que impeçam o funcionamento da política.

    • Avisos: exibe avisos se sua política não estiver em conformidade com as práticas recomendadas, mas os problemas não forem de riscos de segurança.

    • Suggestions (Sugestões): exibe sugestões se a AWS recomendar melhorias que não afetem as permissões da política.

  5. Revise os detalhes da descoberta fornecidos pela verificação de política do IAM Access Analyzer. Cada descoberta indica a localização do problema relatado. Para saber mais sobre o que causa o problema e como resolvê-lo, escolha o link Saiba mais ao lado da descoberta. Você também pode pesquisar a verificação de política associada a cada descoberta na página de referência Verificações de políticas do Access Analyzer.

  6. Opcional. Se você estiver editando uma política existente, poderá executar uma verificação de política personalizada para determinar se sua política atualizada concede novo acesso em comparação com a versão existente. No painel de validação de política abaixo da política, escolha a guia Verificar novo acesso e, em seguida, escolha Verificar política. Se as permissões modificadas concederem novo acesso, a declaração será destacada no painel de validação da política. Se você não pretende conceder um novo acesso, atualize a declaração de política e escolha Verificar política até que nenhum novo acesso seja detectado. Para ter mais informações, consulte Validar políticas com verificações de políticas do IAM Access Analyzer.

    nota

    Uma cobrança é associada a cada verificação de novo acesso. Para obter mais detalhes sobre os preços, consulte Preços do IAM Access Analyzer.

  7. Atualize sua política para resolver as descobertas.

    Importante

    Teste políticas novas ou editadas cuidadosamente antes de implementá-las em seu fluxo de trabalho de produção.

  8. Quando terminar, escolha Próximo. O Validado de políticas relata quaisquer erros de sintaxe que não sejam relatados pelo IAM Access Analyzer.

    nota

    É possível alternar entre as guias Visual e JSON sempre que quiser. Porém, se você fizer alterações ou escolher Avançar na guia Visual, o IAM poderá reestruturar a política a fim de otimizá-la para o editor visual. Para ter mais informações, consulte Reestruturação da política.

  9. Para novas políticas, na página Revisar e criar, insira um Nome de política e uma Descrição (opcional) para a política que você está criando. Revise Permissões definidas nessa política para ver as permissões que são concedidas pela política. Em seguida, escolha Criar política para salvar seu trabalho.

    Para políticas existentes, na página Revisar e salvar, revise as Permissões definidas nessa política para ver as permissões concedidas pela sua política. Marque a caixa de seleção Definir esta nova versão como padrão. para salvar a versão atualizada como versão padrão da política. Em seguida escolha Salvar alterações para salvar o seu trabalho.

Validar políticas usando o IAM Access Analyzer (AWS CLI ou API da AWS)

Você pode visualizar as descobertas geradas pela validação de política do IAM Access Analyzer da AWS Command Line Interface (AWS CLI).

Para visualizar as descobertas geradas pela validação da política do IAM Access Analyzer (AWS CLI ou API da AWS).

Use uma das seguintes opções: