IAM使用存取分析器自訂原則檢查驗證原則 - AWS Identity and Access Management
使用自訂政策檢查驗證政策 (主控台)使用自訂原則檢查 (AWS CLI 或API) 驗證原則

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM使用存取分析器自訂原則檢查驗證原則

您可以使用自訂政策檢查,根據您的安全標準來檢查是否有新的存取權。每次檢查新存取權都會收取費用。如需有關定價的詳細資訊,請參閱IAM存取分析器定價

使用自訂政策檢查驗證政策 (主控台)

這是選擇性步驟,您可以在IAM主控台的原則編輯器中編輯原則時執行自訂JSON原則檢查。您可以檢查與現有版本相比,更新版政策是否授予新的存取權。

編輯IAMJSON策略時檢查是否有新存取

  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在左側的導覽窗格中,選擇 Policies (政策)

  3. 在政策清單中,選擇您要編輯的政策之名稱。您可以使用搜尋方塊來篩選政策清單。

  4. 選擇許可索引標籤,然後選擇編輯

  5. 選擇選JSON項並更新您的政策。

  6. 在政策下方的政策驗證窗格中,選擇檢查新的存取權索引標籤,然後選擇檢查政策。如果修改後的許可會授予新存取權,該陳述式會在政策驗證窗格中反白顯示。

  7. 如果您不打算授予新的存取權,請更新政策陳述式並選擇檢查政策,直到沒有偵測到新的存取權為止。

    注意

    每次檢查新存取權都會收取費用。如需有關定價的詳細資訊,請參閱IAM存取分析器定價

  8. 選擇 Next (下一步)

  9. 檢視與儲存頁面上,檢視此政策中定義的許可,然後選擇儲存變更

使用自訂原則檢查 (AWS CLI 或API) 驗證原則

您可以從 AWS CLI 或IAM存取分析器執行存IAM取分析器自訂原則檢查API。

執行IAM存取分析器自訂原則檢查 (AWS CLI)

  • 若要在與現有政策進行比較時,檢查更新版政策是否允許新存取權,請執行下列命令:check-no-new-access

  • 若要檢查政策是否不允許指定的存取權,請執行下列命令:check-access-not-granted

  • 若要檢查資源策略是否可以授與指定資源類型的公用存取權,請執行下列命令:check-no-public-access

執行IAM存取分析器自訂原則檢查 (API)

  • 若要在與現有策略進行比較時檢查更新的策略是否允許新存取,請使用此CheckNoNewAccessAPI作業。

  • 若要檢查原則是否不允許指定的存取,請使用該CheckAccessNotGrantedAPI作業。

  • 若要檢查資源策略是否可以授與指定資源類型的公用存取權,請使用此CheckNoPublicAccessAPI作業。