本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以使用自訂政策檢查,根據您的安全標準來檢查是否有新的存取權。每次檢查新存取權都會收取費用。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價
使用自訂政策檢查驗證政策 (主控台)
在 IAM 主控台中使用 JSON 政策編輯器編輯政策時,您可以執行自訂政策檢查,此為選用步驟。您可以檢查與現有版本相比,更新版政策是否授予新的存取權。
在編輯 IAM JSON 政策時檢查是否有新的存取權
登入 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/
的 IAM 主控台。 -
在左側的導覽窗格中,選擇 Policies (政策)。
-
在政策清單中,選擇您要編輯的政策之名稱。您可以使用搜尋方塊來篩選政策清單。
-
選擇許可索引標籤,然後選擇編輯。
-
選擇 JSON 選項並更新政策。
-
在政策下方的政策驗證窗格中,選擇檢查新的存取權索引標籤,然後選擇檢查政策。如果修改後的許可會授予新存取權,該陳述式會在政策驗證窗格中反白顯示。
-
如果您不打算授予新的存取權,請更新政策陳述式並選擇檢查政策,直到沒有偵測到新的存取權為止。
注意
每次檢查新存取權都會收取費用。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價
。 -
選擇 Next (下一步)。
-
在檢視與儲存頁面上,檢視此政策中定義的許可,然後選擇儲存變更。
使用自訂政策檢查驗證政策 (AWS CLI 或 API)
您可以透過 AWS CLI 或 IAM Access Analyzer API 執行 IAM Access Analyzer 自訂政策檢查。
執行 IAM Access Analyzer 自訂政策檢查 (AWS CLI)
-
若要在與現有政策進行比較時,檢查更新版政策是否允許新存取權,請執行下列命令:check-no-new-access
-
若要檢查政策是否不允許指定的存取權,請執行下列命令:check-access-not-granted
-
若要檢查資源政策是否可以授予指定資源類型的公開存取權,請執行下列命令:check-no-public-access
執行 IAM Access Analyzer 自訂政策檢查 (API)
-
若要在與現有政策進行比較時,檢查更新版政策是否允許新存取權,請使用 CheckNoNewAccess API 操作。
-
若要檢查政策是否不允許指定的存取權,請使用 CheckAccessNotGranted API 操作。
-
若要檢查資源政策是否可以授予指定資源類型的公開存取權,請使用 CheckNoPublicAccess API 操作。
