使用 IAM Access Analyzer 验证策略

查看 IAM JSON 策略的策略检查生成的结果

1. 登录 AWS Management Console，然后通过以下网址打开 IAM 控制台：https://console.aws.amazon.com/iam/。

2. 使用以下方法之一开始创建或编辑策略：

   1. 要创建新的托管策略，请转到 Policies（策略）页面并创建新策略。有关更多信息，请参阅 使用 JSON 编辑器创建策略。

   2. 要查看现有客户管理型策略的策略检查，请转到策略页面，选择策略的名称，然后选择编辑。有关更多信息，请参阅 编辑客户托管策略（控制台）。

   3. 要查看针对用户或角色的内联策略的策略检查，请转到用户或角色页面，选择用户或角色的名称，在权限选项卡上选择策略名称，然后选择编辑。有关更多信息，请参阅 编辑内联策略（控制台）。

3. 在策略编辑器中，选择 JSON 选项卡。

4. 在策略下方的策略验证窗格中，选择以下一个或多个选项卡。选项卡名称还指示策略的每种查找类型的数量。

   • Security（安全）— 如果您的策略允许访问，但由于访问权限过于宽松而致使 AWS 认为存在安全风险，则可查看相关警告。

   • Errors（错误）— 如果策略包含阻止策略运行的行，则可查看错误。

   • 警告 – 如果您的策略不符合最佳实践，但问题不属于安全风险，则可查看警告。

   • Suggestions（建议）— 如果 AWS 的建议不影响策略权限的改进，则可查看建议。

5. 查看 IAM Access Analyzer 策略检查提供的结果详细信息。每个结果都会指示所报告问题的位置。要了解有关导致问题的原因以及如何解决问题的详细信息，请选择结果旁的 Learn more（了解更多）链接。您还可以在 Access Analyzer policy checks（Access Analyzer 策略检查）参考页面搜索与各个结果关联的策略检查。

6. 可选。如果正在编辑现有策略，则可以运行自定义策略检查，以确定与现有版本相比，更新后的策略是否授予新的访问权限。在策略下方的策略验证窗格中，选择检查新访问选项卡，然后选择检查策略。如果修改后的权限授予新的访问权限，则该语句将在策略验证窗格中突出显示。如果不打算授予新的访问权限，请更新策略声明并选择检查策略，直到检测不到新的访问。有关更多信息，请参阅 使用 IAM Access Analyzer 自定义策略检查来验证策略。

   注意

   每次检查新的访问都会产生费用。有关定价的更多详细信息，请参阅 IAM Access Analyzer 定价。

7. 请更新策略以解决结果。

   重要

   在生产工作流中实施新策略之前，测试新策略或彻底编辑这些策略。

8. 完成后，选择下一步。策略验证器会报告 IAM Access Analyzer 未报告的任何语法错误。

   注意

   您可以随时在可视化和 JSON 选项卡之间切换。但如果您进行更改或在可视化选项卡中选择下一步，IAM 可能会重组您的策略，以针对可视化编辑器进行优化。有关更多信息，请参阅 调整策略结构。

9. 对于新策略，在查看和创建页面上，输入您要创建的策略的策略名称和描述（可选）。查看此策略中定义的权限，了解策略授予的权限。然后，选择创建策略以保存您的工作。

   对于现有策略，在查看和保存页面上，查看此策略中定义的权限，了解策略授予的权限。选择将此新版本设置为默认版本复选框以将更新后的版本保存为策略的默认版本。然后选择保存更改以保存您的工作。