关键字: [Amazon Web Services re:Invent 2023, IAM Access Analyzer, Access Analyzer, Unused Access Findings, Custom Policy Checks, Lease Privilege, Automated Reasoning]

本文字数: 1100, 阅读完需: 6 分钟

视频

如视频不能正常播放，请前往bilibili观看本视频。>> https://www.bilibili.com/video/BV1WN4y1876Z

导读

合规性控制通常比较模糊，而且并不总能很好地转化为云原生堆栈。因此，必须确保工程团队不会被拖后腿，也不会一直怀疑他们的变更是否合规。加入本论坛，了解 Datadog CSM 如何帮助 Tally 在推出变更时实现自动合规性验证。本讲座由亚马逊云科技合作伙伴 Datadog 提供。

演讲精华

以下是小编为您整理的本次演讲的精华，共800字，阅读时间大约是4分钟。如果您想进一步了解演讲内容或者观看演讲全文，请观看演讲完整视频或者下面的演讲原文。

会议开始时，IAM访问分析器团队的主要产品经理Ujall欢迎其他潜在演讲者和观众。他们正在讨论关于新的IAM访问分析器功能，以帮助简化在亚马逊云科技环境中最小权限访问的过程。首先，他解释了亚马逊云科技如何在整个亚马逊云科技环境中考虑访问控制，包括粗粒度控制（如服务控制策略）和细粒度权限（如IAM角色和资源策略）。这些控制在多帐户设置时在亚马逊云科技组织级别设置。

接下来，Ujall介绍了最小权限的重要概念，即用户应只拥有完成工作构建应用程序所需的权限——所需的最小权限集。他强调，实现最小权限是一个持续的过程而不是一次性的目标，因为随着基础设施和使用情况的改变，权限也需要随着时间的推移而调整。

在亚马逊云科技环境中协调最小权限的两种主要人物是集中式团队（如云平台团队或中央安全团队）和分散式团队（如独立应用程序团队或开发人员团队）。中央安全团队负责定义安全标准和策略，通过组织级别的控制创建护栏，并通过检查IAM配置来通知团队在权限比预期更广泛时跟踪合规性。分散的开发人员团队负责在安全团队设定的护栏内安全地构建应用程序，并随着时间的推移随着其应用程序的发展优化权限。

为了说明这两个人物，Ujall和他的共同演讲者Jeremiah分别扮演了安全团队和开发人员团队的角色。Jeremiah强调，作为开发者，他的目标是快速构建同时遵守公司的安全标准，以便安全团队不会对他产生麻烦。这两个角色必须合作，以将亚马逊云科技权限推向最小权限。

尤贾尔随后解释了我是如何利用IAM访问分析器来简化最小权限之旅的。这个工具贯穿于权限生命周期的始终——预先设定合适的权限、随时间推移验证访问以及定期调整权限。他的重点在于阐述访问分析器如何具体地帮助我们设置和验证权限。首先，耶利米亚展示了访问分析器中的新自定义策略检查功能，以帮助在初始权限设置阶段实现策略审查的自动化。两个新的API分别是CheckNoNewAccess和CheckAccessNotGranted。CheckNoNewAccess用于检查一个新版本的政策是否比提供的参考政策授予了更多的访问权限。而CheckAccessNotGranted则用于检查一个政策是否授予了对任何指定的上百个IAM操作列表中的任何敏感操作的访问权限。耶利米亚展示了如何在CI/CD管道中使用这些API来自动阻止不想要的策略更改，通过将自定义检查作为构建过程的一部分进行集成，从而缩短构建时间至两分钟。他还提到了一些开源工具，如CfnPolicyValidator和TerraformPolicyValidator，它们可以从基础设施即代码中提取IAM策略以进行验证。目标是将反馈提前并提供给开发人员，以便尽早获得改进建议。耶利米亚解释说，自定义检查使用将策略评估视为数学证明的自动化推理功能，使用SAT解决器来确定一个政策是否可以授予某些访问权限。这使得检查能够高度定制，以满足特定组织的特定安全标准。接下来，尤贾尔介绍了访问分析器中帮助随着时间的推移验证权限的一些现有功能。例如，从CloudTrail日志生成策略以识别已使用的权限；使用自动化推理标记公共和跨帐户访问的14种资源类型和11种服务的外部访问；以及用于未使用角色和凭据的上次访问信息等。然后，他宣布在re:Invent上推出了一项新功能——未使用访问发现。这项功能通过持续监控活动长达180天，提供了对所有账户中未使用的角色、凭证、服务和操作的可见性。结果显示在一个汇总了跨多个账户的28项发现的中央仪表板中。尤贾尔展示了一个仪表盘，显示了17个未使用的IAM访问密钥和跨账户的角色，并过滤了可以在Security Hub中集成的发现。

尤贾尔与耶利米亚在讨论中强调了re:Invent的相关会议信息，以及如何将访问分析器集成到他们产品的合作伙伴中。他们还提供了联系方式，以便回答更多问题。

总结来说，为了实现最小特权原则的简化管理，应在权限生命周期中使用IAM访问分析器。此外，通过自定义检查来自动化初始设置期间的策略审查，以及充分利用未使用的访问发现结果，可以减少组织在亚马逊云科技上的整体权限表面面积。

下面是一些演讲现场的精彩瞬间：

一位资深的产品经理和一位高级软件开发经理共同探讨了亚马逊云科技的新IAM访问分析器功能，这些功能旨在帮助客户实现最小权限原则。

亚马逊云科技的访问分析器采用策略验证功能，该功能将根据最佳实践和语法检查IAM策略，确保策略的有效性、一致性及安全性。

验证策略API使得开发人员能够通过编程方式对IAM策略进行验证。

在演示过程中，演讲者详细解释了如何通过从S3存储桶中提取参考策略和敏感操作列表来检测未经授权的访问。

演讲者还探讨了在边界上限制权限与手动审批之间的区别，以及针对特定边缘情况的具体差异。

通过展示一个使用自定义策略检查的安全管道的实际应用，亚马逊云科技的安全工具展示了其强大的功能。

演讲者邀请观众在LinkedIn上关注他们，并通过电子邮件发送任何问题，同时鼓励大家填写会议调查表。

总结

本次演讲主要介绍了亚马逊云科技IAM访问分析器的一些新功能，旨在实现最小权限许可的自动化和简化。首先，强调了全新的自定义策略检查API——CheckNoNewAccess和CheckAccessNotGranted，这两个API可以通过数学证明在CI/CD管道的早期阶段自动进行策略审查，从而及时发现并解决问题。接着，介绍了新的未使用访问发现功能，该功能为企业提供了关于未使用角色、凭证和权限的集中可视化展示。这些发现将在访问分析器控制台中显示，并与安全中心集成。总之，访问分析器通过对适当访问权限的验证和自定义检查，以及识别并删除未使用的角色来优化权限，从而实现了对权限生命周期的有效影响。其目标在于持续检查和优化权限，以实现最小权限原则。

演讲原文

https://blog.csdn.net/just2gooo/article/details/135120464

想了解更多精彩完整内容吗？立即访问re:Invent 官网中文网站！

2023亚马逊云科技re:Invent全球大会 - 官方网站

点击此处，一键查看 re:Invent 2023 所有热门发布

即刻注册亚马逊云科技账户，开启云端之旅！

【免费】亚马逊云科技“100 余种核心云服务产品免费试用”

【免费】亚马逊云科技中国区“40 余种核心云服务产品免费试用”

亚马逊云科技是谁？

亚马逊云科技（Amazon Web Services）是全球云计算的开创者和引领者，自 2006 年以来一直以不断创新、技术领先、服务丰富、应用广泛而享誉业界。亚马逊云科技可以支持几乎云上任意工作负载。亚马逊云科技目前提供超过 200 项全功能的服务，涵盖计算、存储、网络、数据库、数据分析、机器人、机器学习与人工智能、物联网、移动、安全、混合云、虚拟现实与增强现实、媒体，以及应用开发、部署与管理等方面；基础设施遍及 31 个地理区域的 99 个可用区，并计划新建 4 个区域和 12 个可用区。全球数百万客户，从初创公司、中小企业，到大型企业和政府机构都信赖亚马逊云科技，通过亚马逊云科技的服务强化其基础设施，提高敏捷性，降低成本，加快创新，提升竞争力，实现业务成长和成功。