Как использовать симулятор политик IAM AWS и анализатор доступа для тестирования ролей IAM
Эти два инструмента, встроенные в консоль управления IAM, очень полезны при проведении проверок безопасности, позволяя тестировать политики IAM, доступ для конкретных пользователей и доступ к нескольким учетным записям, а также при обнаружении проблем с отправкой предупреждений.
Регулярные проверки безопасности важны
Если у вас много сотрудников и вы используете пользователей IAM в качестве учетных записей сотрудников, вам следует регулярно проверять безопасность, чтобы убедиться, что ваши политики контролируются. Поскольку пользователи могут иметь несколько политик, привязанных к их учетной записи, можно ошибиться и случайно предоставить пользователю больше разрешений, чем ему нужно. Без проверки безопасности этот пользователь будет продолжать иметь повышенные разрешения, пока кто-нибудь не заметит.
Проблема усугубляется с несколькими учетными записями. Довольно часто крупные компании используют AWS Organizations для разделения своей учетной записи на среды разработки, тестирования, подготовки и производства. Это держит все отдельно и позволяет среде разработки иметь более слабые разрешения.
Настроить доступ к нескольким аккаунтам легко; например, вы можете предоставить пользователю в среде разработки доступ к определенным ресурсам в среде тестирования. Вы должны убедиться, что производственная среда более заблокирована и не разрешает доступ к внешним учетным записям, которым это не нужно. И, конечно же, если вы работаете с другой компанией, вы можете предоставить им федеративный доступ к некоторым вашим ресурсам. Вы должны убедиться, что это настроено правильно, иначе это может стать проблемой безопасности.
Симулятор политики тестирует доступ для каждой учетной записи
Симулятор политики довольно прост по своей концепции. Вы выбираете учетную запись, и она принимает разрешения этой учетной записи и имитирует запросы API, чтобы проверить, к каким ресурсам эта учетная запись имеет доступ.
Перейдите в консоль управления IAM, чтобы попробовать ее. Выберите пользователя, группу или роль на левой боковой панели и выберите службу для тестирования.
Вы можете протестировать отдельные вызовы API напрямую, выбрав конкретное действие, но гораздо полезнее просто «Выбрать все» и автоматически протестировать каждое возможное действие. Это может выявить ошибки, когда, например, вы предоставили пользователю доступ на запись в корзину (намереваясь дать ему разрешение на загрузку), но упустили тот факт, что разрешение на запись также дает разрешение на удаление.
Если вы нажмете на действие, вам будет показано, какая IAM-политика и правило предоставляют этому пользователю доступ к этому ресурсу. Вы можете редактировать и создавать новые политики IAM прямо здесь, что делает его своего рода IDE для IAM. На самом деле, это все, что делает симулятор политики IAM, но он достаточно полезен, и ему не нужно быть супер кричащим.
Анализатор доступа выявляет проблемы с доступом между учетными записями
Анализатор доступа — это новое дополнение к пакету IAM, которое может автоматически обнаруживать проблемы в ваших настройках IAM, особенно когда речь идет о разрешении ресурсов за пределами вашего круга доверия. Если, например, у вас есть ключ KMS в производственной среде, к которому может получить доступ кто-то в среде разработки, Access Analyzer обнаружит это и отправит вам предупреждение.
Это совершенно бесплатно и работает в фоновом режиме вашей учетной записи AWS, время от времени проверяя и предупреждая вас о проблемах. Нет причин не включать его.
Перейдите на вкладку «Анализ доступа» в консоли управления IAM и нажмите «Создать анализатор».
После создания он должен запускаться автоматически, и если все в порядке, вы больше ничего не увидите, только пустой список результатов. Если он что-то найдет, вы получите уведомление, и это появится в списке находок.
Отсюда вы сможете отметить, является ли находка предполагаемым доступом или нет.
Если он вызывает много ложных срабатываний, вы можете настроить фильтр в разделе «Правила архивирования».