IAM Access Analyzer 简化了对您组织中未使用访问权限的检查 安全博客
简化组织内未使用访问的审查
关键要点
使用 IAM Access Analyzer 发现未使用的访问权限,以提升组织的安全性。通过创建分析器,能有效监控 IAM 角色和用户的权限使用情况。除了发现未使用的访问,还能整合多账户的分析结果,方便管理。AWS 身份与访问管理IAMAccess Analyzer 提供了帮助您设置、验证和优化权限的工具。您可以使用 IAM Access Analyzer 的外部访问发现 持续监控您的 AWS 组织 和 AWS 账户,确保只能授予预期的外部访问权限。现在,您可以使用 IAM Access Analyzer 的未使用访问发现 来识别授予 IAM 角色和用户的未使用访问权限。
如果您带领安全团队,目标是在规模上管理组织的安全性,并确保您的团队遵循最佳实践,例如 最小权限原则。当开发人员在 AWS 上构建应用程序时,他们为应用程序和团队成员创建 IAM 角色,以与 AWS 服务和资源进行交互。在探索 AWS 服务时,他们可能最初会使用广泛的权限。要识别未使用的访问,您可以审查给定 IAM 角色或用户的 最后访问信息,逐步优化权限。如果您的公司使用多账户策略,则角色和策略会在多个帐户中创建。您需要跨组织进行可见性,以确保团队只使用所需的访问权限。
现在,IAM Access Analyzer 简化了未使用访问的审查,通过报告 IAM 角色和用户的未使用访问发现。IAM Access Analyzer 会持续分析您组织中的账户,以识别未使用的访问权限,并创建一个集中式仪表板汇总发现信息。从 IAM Access Analyzer 的 委派管理员账户 上,您可以使用此仪表板审查整个组织的未使用访问发现,并根据发现的数量和类型优先检阅账户。
生成未使用访问发现
要生成未使用的访问发现,您需要创建一个分析器。分析器是一个 IAM Access Analyzer 资源,持续监控您的账户或组织以查找指定类型的发现。您可以为以下发现类型创建分析器:
发现类型描述外部访问发现监控外部用户对资源的访问权限未使用访问发现监控授予但未实际使用的权限未使用访问发现的分析器是一个新分析器,持续监控角色和用户的授权情况,寻找被授予但实际上未使用的权限。即便您已经有用于外部访问发现的分析器,您仍然需要为未使用访问发现创建一个新的分析器。
您可以通过在组织级别创建分析器以集中查看未使用访问发现。如果您操作的是独立账户,也可以在账户级别创建分析器来获得未使用访问发现。本文将重点关注组织级分析器的设置和管理。
定价
IAM Access Analyzer 对于每个分析器每月分析的 IAM 角色和用户数量收取未使用访问发现的费用。您仍然可以无额外费用地使用 IAM Access Analyzer 的外部访问发现。有关更多定价详细信息,请参见 IAM Access Analyzer 定价。
创建未使用访问发现的分析器
您可以通过 IAM Access Analyzer 控制台或管理账户中的 API 创建分析器,以启用未使用访问发现。在您的组织中,您可以将管理员访问权限委托给特定的管理员账户,作为 IAM Access Analyzer 的代管管理员。最佳实践是仅将管理账户用于 需要管理账户的任务,其余任务则使用代管管理员账户。有关如何为 IAM Access Analyzer 添加委派管理员的步骤,请参见 IAM Access Analyzer 的委派管理员。
创建未使用访问发现分析器控制台从委派管理员账户中,打开 IAM Access Analyzer 控制台,在左侧导航面板中选择 分析器设置。选择 创建分析器。在 创建分析器 页面上执行以下操作,如图 1 所示:在 发现类型中,选择 未使用访问分析。提供分析器的 名称。选择 跟踪周期。跟踪周期是 IAM Access Analyzer 视为未使用访问的阈值。例如,如果您选择 90 天的跟踪周期,则 IAM Access Analyzer 将突出显示在过去 90 天内未被使用的角色。设置 所选账户。对于本示例,我们选择 当前组织 以审查整个组织的未使用访问。选择 创建。
创建分析器后,IAM Access Analyzer 开始报告您组织中 IAM 用户和角色的未使用访问发现。IAM Access Analyzer 会定期扫描您的 IAM 角色和用户,以更新未使用访问的发现。此外,如果您的任何角色、用户或策略被更新或删除,IAM Access Analyzer 会自动更新现有发现或创建新发现。IAM Access Analyzer 使用 服务链接角色 来审查您组织中所有角色、用户访问密钥和用户密码的 最后访问信息。对于活跃的 IAM 角色和用户,IAM Access Analyzer 使用 IAM 服务和操作的最后访问信息 来识别未使用的权限。
注意:尽管 IAM Access Analyzer 是一个区域服务即,您可以为特定的 AWS 区域 启用它,未使用的访问发现与全球的 IAM 资源相关即,不针对某个区域。为了避免重复发现和成本,建议在您希望审查和操作发现的单个区域中启用未使用访问分析器。
IAM Access Analyzer 发现仪表板
您的分析器将汇总来自整个组织的发现,并在仪表板上显示。这一仪表板在所选区域内聚合外部访问和未使用访问的发现,尽管本文仅关注未使用访问的发现。您可以使用未使用访问发现的仪表板集中审查按账户或发现类型分类的发现,以识别检查的优先领域例如,敏感账户、发现类型、环境类型或优化信心。
未使用访问发现仪表板 发现概述
审查发现概述,以确定您组织的总发现数量以及按发现类型分类的细分。图 2 显示了一个有 100 个活跃发现的组织示例。每个账户中都存在 未使用访问密钥,未使用访问的发现数量最多。为了朝向最小权限并 避免长期凭证,安全团队应清理未使用的访问密钥。
未使用访问发现仪表板 发现数量最多的账户
审查仪表板,以识别发现数量最多的账户以及每个发现类型的分布。在图 2 中,审计账户的发现数量最多,可能需要关注。该账户有五个未使用的访问密钥和六个未使用权限的角色。安全团队应根据发现数量优先考虑此账户,并检查与该账户相关的发现。
审查未使用访问发现
在这一部分,我们将展示如何审核发现。我们将分享两个未使用访问发现的示例,包括未使用访问密钥的发现和未使用权限的发现。
示例发现:未使用访问密钥
如图 2 所示,IAM Access Analyzer 仪表板显示发现数量最多的账户主要与未使用访问密钥相关。让我们审查与未使用访问密钥关联的一个发现。
审查未使用访问密钥的发现打开 IAM Access Analyzer 控制台,在左侧导航面板中选择 未使用访问。选择您的分析器以查看未使用访问的发现。在搜索下拉列表中,选择属性 发现类型,操作符 等于,值 未使用访问密钥,以获取仅为 发现类型 = 未使用访问密钥 的结果,如图 3 所示。选择其中一个发现,查看 IAM 用户的可用访问密钥、其状态、创建日期和最后使用日期。图 4 显示的例子中,其中一个访问密钥从未被使用,另一个在 137 天前被使用过。从这里,您可以进一步与开发团队调查,确定这些访问密钥是否仍然所需。如果不再需要,您应 删除访问密钥。
示例发现:未使用权限
另一个安全团队的目标是确保组织内的 IAM 角色和用户遵循最小权限原则。让我们逐步查看与未使用权限相关的发现示例。
审查未使用权限的发现在未使用访问发现列表中,应用筛选 发现类型 = 未使用权限。选择一个发现,如图 5 所示。在这个例子中,IAM 角色在 Amazon 关系数据库服务 (Amazon RDS) 上有 148 个未使用操作,并且在 200 天内没有使用过该服务的操作。类似地,该角色在其他服务包括 Amazon 弹性计算云 (Amazon EC2)、Amazon 简单存储服务 (Amazon S3) 和 Amazon DynamoDB上也有未使用的操作。安全团队现在可以查看该角色的未使用操作,并与开发团队进行调查,以确定这些权限是否仍然需要。
开发团队可以随后对角色授予的权限进行优化,以删除未使用的权限。
未使用访问发现会通知您所有服务级权限和 200 种服务中的未使用权限按操作级。有关支持的操作列表,请参见 IAM 操作的最后访问信息服务和操作。
对发现采取行动
IAM Access Analyzer 将发现分类为活动、已解决和已归档。在这一部分,我们将展示如何对发现采取行动。
解决发现
您可以通过删除未使用的 IAM 角色、IAM 用户、IAM 用户凭证或权限来解决未使用的访问发现。完成后,IAM Access Analyzer 会自动为您解决发现。
为了加速未使用权限的移除过程,您可以使用 IAM Access Analyzer 策略生成 根据您的访问分析生成细粒度的 IAM 策略。有关更多信息,请参见博文 使用 IAM Access Analyzer 根据组织跟踪中发现的访问活动生成 IAM 策略。
归档发现
您可以通过归档发现来压制发现,这会将发现从 活动 标签移动到 IAM Access Analyzer 控制台中的 已归档 标签中。要归档发现,打开 IAM Access Analyzer 控制台,选择 发现 ID,在 下一步 部分中选择 归档,如图 6 所示。
您可以通过创建基于其属性的 归档规则 来自动化此过程。归档规则与分析器相关联,这意味着您可以仅为未使用访问发现设置归档规则。
举个例子,假设您有一组 IAM 角色,您预计在跟踪周期中不会使用。例如,您可能有一个仅在灾难恢复流程中用于紧急访问的 IAM 角色您不应频繁使用此角色,因此您可以预计会有一些未使用访问发现。假设该角色名为 DisasterRecoveryRole。您可以创建一个归档规则,自动归档与名为 DisasterRecoveryRole 的角色相关的未使用访问发现,如图 7 所示。
龙猫加速器自动化
IAM Access Analyzer 可以将发现导出到 Amazon EventBridge 和 AWS Security Hub。Security Hub 还将事件转发到 EventBridge。
通过使用 EventBridge 规则,您可以匹配与 IAM Access Analyzer 未使用访问发现相关的传入事件,并将其发送到目标进行处理。例如,您可以通知账户所有者,以便他们调查和解决未使用的 IAM 角色、用户凭证或权限。
有关更多信息,请参见 监控 AWS 身份与访问管理 Access Analyzer 与 Amazon EventBridge。
结论
通过 IAM Access Analyzer,您可以 集中识别、审查和优化组织内的未使用访问。正如图 8 所总结的,您可以利用仪表板审查发现,并根据发现的数量优先选择需要审查的账户。这些发现突出展示了未使用的角色、IAM 用户的未使用访问密钥和未使用的 IAM 用户密码。对于活跃的 IAM 角色和用户,发现提供了未使用服务和操作的可见性。通过审查和优化未使用的访问权限,您可以改善安全态势,并在规模上更接近最小权限原则。
新的 IAM Access Analyzer 未使用访问发现和仪表板在 AWS 区域可用,但 AWS GovCloud美国区域和 AWS 中国区域不包括在内。要了解更多关于如何使用 IAM Access Analyzer 检测未使用访问的信息,请参见 IAM Access Analyzer 文档。
如果您对本文有反馈,请在下面的 评论 部分中提交评论。如有任何问题,请 联系 AWS 支持。
想获取更多 AWS 安全新闻吗?在 Twitter 上关注我们。
