IAMAccessAnalyzerAnalyzer添加策略验证(二)：构建IAM策略和服务控制策略

　　IAMAccessAnalyzerAnalyzer添加策略验证(二)：构建IAM策略和服务控制策略

　　Jeff Barr 的 IAM 访问分析器更新策略验证 | 2021 年 4 月 27 日 | inNews |固定链接 |

　　AWS Identity and Access Management (IAM) 是 AWS 的重要基础部分。您可以创建 IAM 策略和服务控制策略 (SCP)，定义对特定 AWS 服务和资源所需的访问级别，然后将策略附加到 IAM 委托人（用户和角色）、用户组或 AWS 资源。由于 IAM 可帮助您实现细粒度控制，因此您有责任正确使用它，几乎总是寻求建立。 IAM 教程将帮助您了解更多信息，IAM 访问分析器将帮助您识别与外部实体共享的资源。我们最近推出了 IAM 访问分析器的更新，允许您在部署权限更改之前验证对 S3 存储桶的访问。

　　新政策验证

　　今天，我很高兴地宣布，我们正在向 IAM 访问分析器添加策略验证。这一强大的新功能将帮助您构建使用久经考验的 AWS 最佳实践的 IAM 策略和 SCP。

　　验证专为开发人员和安全团队设计，在将策略附加到 IAM 委托人之前执行。我们已经执行了 100 多次检查，每一次检查都旨在提高您的安全性并帮助您*敏*感*词*简化策略管理。每次检查的结果都收录详细信息和具体建议。

　　您可以从 IAM 控制台中的 JSON 策略编辑器或通过命令行 (aws accessanalyzer validate-policy) 和您自己的代码 (ValidatePolicy) 访问验证。您可以使用 CLI 和 API 选项在 CI/CD 工作流中执行程序验证。

　　在 IAM 控制台中，每当您创建或编辑客户端管理的策略时，都会实时执行策略验证，并按严重性对结果进行细分；以下是一些示例：

　　过于宽松并可能带来安全风险的安全政策元素。这包括使用 iam:PassRole 和 NotResource 或“*”（通配符）作为资源：

　　错误 - 阻止策略正常工作的策略元素。这包括许多类型的语法错误、缺失的操作、无效的构造等：

　　不符合 AWS 最佳实践的警告政策元素，例如对已弃用的全局条件键或无效用户的引用以及使用日期不明确：

　　推荐 - 缺少、空白或多余的策略元素：

　　注意事项

　　正如我之前指出的，我们在准备发布之前进行了 100 多次检查。我们计划随着时间的推移添加更多内容，欢迎您提出建议。

　　本着亚马逊自我探索的精神，我们会定期验证 Amazon Trust 的 IAM 策略并适时进行微调。我们不时将现有的托管政策标记为已弃用，通过电子邮件通知客户，并提供更新的替代政策。要详细了解我们的流程，请参阅已弃用的 AWS 托管政策。

　　如您所知，AWS 已经有几个开源政策提示，包括著名的 Duo Labs 议会。我们的客户报告说这些工具很有用，但他们需要在编辑策略时处于活动状态的 AWS 本地验证功能。 IAM 团队的一组开发人员对此反馈做出了回应，并从头开始实施了政策验证。

　　现在，您可以在所有 AWS 区域免费使用此功能。

　　——杰夫；