هاتان الأداتان المدمجتان في وحدة تحكم إدارة IAM مفيدة جدًا عند إجراء مراجعات الأمان ، مما يسمح لك باختبار سياسات IAM الخاصة بك ، والوصول المحدد للمستخدم ، والوصول عبر الحسابات ، وحتى يتم اكتشاف مشكلات إرسال التحذيرات.
مراجعات الأمان المنتظمة مهمة
إذا كان لديك الكثير من الموظفين ، واستخدمت مستخدمي IAM لحسابات الموظفين ، فيجب إجراء مراجعات أمنية منتظمة للتأكد من مراقبة سياساتك. نظرًا لأنه يمكن للمستخدمين إرفاق سياسات متعددة بحساباتهم ، فمن الممكن أن تتسبب في الخطأ ومنح المستخدم عن طريق الخطأ أذونات أكثر مما يحتاج إليه.بدون مراجعات الأمان ، سيستمر هذا المستخدم في الحصول على أذونات مرتفعة حتى يلاحظ شخص ما.
تتفاقم المشكلة مع وجود حسابات متعددة. من الشائع جدًا أن تستخدم الشركات الكبيرة مؤسسات AWS لفصل حساباتها إلى بيئات التطوير والاختبار والتشغيل المرحلي والإنتاج. هذا يبقي كل شيء منفصلاً ، ويسمح لبيئة التطوير بالحصول على أذونات أكثر تراخيًا.
إعداد الوصول عبر الحسابات أمر سهل ؛ على سبيل المثال ، قد تمنح مستخدمًا في بيئة التطوير إمكانية الوصول إلى موارد معينة في بيئة الاختبار. ستحتاج إلى التأكد من أن بيئة الإنتاج مؤمنة بشكل أكبر ، ولا تسمح بالوصول إلى الحسابات الخارجية التي لا تحتاج إليها. وبالطبع ، إذا كنت تعمل مع شركة أخرى ، فيمكنك منحها وصولاً موحدًا إلى بعض مواردك. ستحتاج إلى التأكد من إعداد هذا بشكل صحيح ، وإلا فقد يصبح مشكلة أمنية.
اختبارات محاكي السياسة الوصول لكل حساب
محاكي السياسة بسيط جدًا من حيث المفهوم. حدد حسابًا ، وهو يفترض أذونات هذا الحساب ويحاكي طلبات واجهة برمجة التطبيقات لاختبار الموارد التي يمكن لهذا الحساب الوصول إليها.
توجه إلى وحدة تحكم إدارة IAM لتجربتها. حدد مستخدمًا أو مجموعة أو دورًا من الشريط الجانبي الأيسر ، وحدد خدمة لاختبارها.
يمكنك اختبار استدعاءات واجهة برمجة التطبيقات الفردية مباشرةً عن طريق تحديد إجراء معين ، ولكن من المفيد جدًا ببساطة "تحديد الكل" واختبار كل إجراء ممكن تلقائيًا. يمكن أن يكتشف هذا الأخطاء حيث ، على سبيل المثال ، منحت المستخدم حق الوصول للكتابة إلى حاوية (بهدف منحهم إذنًا للتحميل) ، لكنك فاتتك حقيقة أن إذن الكتابة يمنح إذنًا بالحذف أيضًا.
إذا نقرت على أحد الإجراءات ، فسيتم عرض سياسة IAM والقاعدة التي تمنح هذا المستخدم حق الوصول إلى هذا المورد. يمكنك تحرير وإنشاء سياسات IAM جديدة مباشرة هنا ، مما يجعلها IDE من نوع ما لـ IAM. حقًا ، هذا هو كل ما يفعله محاكي سياسة IAM ، ولكنه مفيد بدرجة كافية بحيث لا يحتاج إلى أن يكون شديد اللمعان.
محلل الوصول يحدد مشاكل الوصول عبر الحسابات
يعد Access Analyzer إضافة جديدة إلى مجموعة IAM التي يمكنها اكتشاف المشكلات تلقائيًا في إعدادات IAM الخاصة بك ، لا سيما عندما يتعلق الأمر بالسماح للموارد خارج دائرة الثقة الخاصة بك. إذا كان لديك ، على سبيل المثال ، مفتاح KMS في بيئة الإنتاج يمكن الوصول إليه من قبل شخص ما في بيئة التطوير ، فسيكتشف Access Analyzer ذلك ويرسل إليك تحذيرًا.
إنه مجاني تمامًا ، ويعمل في خلفية حساب AWS الخاص بك ، ويتحقق بين الحين والآخر ويحذرك من المشكلات. لا يوجد سبب لعدم تمكينه.
توجه إلى علامة التبويب Access Analyzer في وحدة تحكم إدارة IAM ، وانقر على "إنشاء محلل".
يجب أن يتم تشغيله تلقائيًا بمجرد إنشائه ، وإذا كان كل شيء جيدًا ، فلن ترى أي شيء آخر ، مجرد قائمة فارغة من النتائج. إذا عثر على شيء ما ، فسيتم إخطارك وسيظهر في قائمة النتائج.
من هنا ، ستتمكن من تحديد ما إذا كان الاكتشاف هو الوصول المقصود أم لا.
إذا أدى ذلك إلى ظهور الكثير من الإيجابيات الخاطئة ، فيمكنك إعداد عامل تصفية ضمن "قواعد الأرشيف".
