使用 IAM Access Analyzer 來驗證政策

檢視由 IAM JSON 政策的政策檢查產生的問題清單

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

2. 使用以下其中一個方法開始建立或編輯政策：

   1. 若要建立新的受管政策，請移至 Policies (政策) 頁面並建立新政策。如需詳細資訊，請參閱正在使用 JSON 編輯器建立政策。

   2. 若要檢視現有客戶管理政策的政策檢查，請移至政策頁面，選擇政策的名稱，然後選擇編輯。如需詳細資訊，請參閱編輯客戶受管政策 (主控台)。

   3. 若要檢視使用者或角色內嵌政策的政策檢查，請移至使用者或角色頁面，選擇使用者或角色的名稱，然後選擇許可索引標籤上的政策名稱，然後選擇編輯。如需詳細資訊，請參閱編輯內嵌政策 (主控台)。

3. 在政策編輯器中，選擇 JSON 標籤。

4. 在政策下方的政策驗證窗格中，選擇下列一或多個標籤。標籤名稱也會指出政策的每個問題清單類型數目。

   • 安全 – 如果 AWS 將您政策所允許的存取認為是因存取過度寬鬆而造成的安全風險，請檢視警告。

   • 錯誤 – 如果您的政策包含使政策無法運作的行，請檢視錯誤。

   • 警告 – 如果您的政策不符合最佳做法，但問題不屬於安全風險，請檢視警告。

   • 建議 – 如果 AWS 建議不影響政策之許可的改進功能，請檢視警告。

5. 檢閱 IAM Access Analyzer 政策檢查所提供的問題清單詳細資訊。每個問題清單都會指出報告問題的位置。若要深入了解造成問題的原因以及如何解決問題，請選擇報告問題旁的 Learn more (進一步了解) 連結。您也可以在 Access Analyzer policy checks (Access Analyzer 政策檢查) 參考頁面中搜尋與每個問題清單相關聯的政策檢查。

6. 選用。如果您正在編輯現有政策，可以執行自訂政策檢查，以判斷更新版政策與現有版本相比，是否會授予新的存取權。在政策下方的政策驗證窗格中，選擇檢查新的存取權索引標籤，然後選擇檢查政策。如果修改後的許可會授予新存取權，該陳述式會在政策驗證窗格中反白顯示。如果您不打算授予新的存取權，請更新政策陳述式並選擇檢查政策，直到沒有偵測到新的存取權為止。如需詳細資訊，請參閱使用 IAM Access Analyzer 自訂政策檢查來驗證政策。

   注意

   每次檢查新存取權都會收取費用。如需定價的詳細資訊，請參閱 IAM Access Analyzer 定價。

7. 更新您的政策以解決問題清單。

   重要

   在您的生產工作流程中實作新的或已編輯的政策之前，請先完整測試。

8. 完成時，選擇 Next (下一步)。政策驗證器會報告 IAM Access Analyzer 未報告的所有語法錯誤。

   注意

   您可以隨時在視覺化和 JSON 索引標籤之間切換。不過，如果您進行變更或在視覺化索引標籤中選擇下一步，IAM 可能會調整您的政策結構，以針對視覺化編輯器進行最佳化。如需詳細資訊，請參閱政策結構調整。

9. 若使用新政策，在檢閱與建立頁面上，為您正在建立的政策輸入政策名稱與描述 (選用)。檢閱此政策中定義的許可，來查看您的政策所授予的許可。然後選擇 Create policy (建立政策) 來儲存您的工作。

   若使用現有的政策，在檢閱與儲存頁面上，檢閱在此政策中定義的許可來查看您的政策所授予的許可。選擇將此新版本設定為預設值。核取方塊，將更新版政策儲存為預設版政策。選擇儲存變更以儲存編輯內容。