Deze twee tools die zijn ingebouwd in de IAM Management Console zijn erg handig bij het uitvoeren van beveiligingsbeoordelingen, zodat u uw IAM-beleid, gebruikersspecifieke toegang en toegang tot meerdere accounts kunt testen, en zelfs wanneer u waarschuwingen ontvangt, worden problemen gedetecteerd.
Regelmatige beveiligingsbeoordelingen zijn belangrijk
Als u veel werknemers heeft en IAM-gebruikers gebruikt voor werknemersaccounts, moet u regelmatig beveiligingscontroles uitvoeren om ervoor te zorgen dat uw beleid onder controle blijft. Omdat gebruikers meerdere beleidsregels aan hun account kunnen koppelen, is het mogelijk om een fout te maken en een gebruiker per ongeluk meer rechten te geven dan ze nodig hebben. Zonder beveiligingsbeoordelingen blijft die gebruiker verhoogde machtigingen hebben totdat iemand het merkt.
Het probleem wordt verergerd met meerdere accounts. Het is vrij gebruikelijk dat grote bedrijven AWS-organisaties gebruiken om hun account te scheiden in ontwikkelings-, test-, staging- en productieomgevingen. Dit houdt alles gescheiden en zorgt ervoor dat de ontwikkelomgeving meer lakse rechten heeft.
Het instellen van toegang voor meerdere accounts is eenvoudig; u kunt bijvoorbeeld een gebruiker in de ontwikkelomgeving toegang geven tot bepaalde bronnen in de testomgeving. U moet ervoor zorgen dat de productieomgeving meer is vergrendeld en geen toegang geeft tot externe accounts die dit niet nodig hebben. En natuurlijk, als u met een ander bedrijf werkt, kunt u hen federatieve toegang geven tot sommige van uw bronnen. U moet ervoor zorgen dat dit correct is ingesteld, anders kan het een beveiligingsprobleem worden.
Beleidsimulator test toegang per account
De beleidssimulator is vrij eenvoudig van opzet. U selecteert een account en het neemt de machtigingen van dat account aan en simuleert API-verzoeken om te testen tot welke bronnen dat account toegang heeft.
Ga naar de IAM Management Console om het uit te proberen. Selecteer een gebruiker, groep of rol in de linkerzijbalk en selecteer een service om te testen.
Je kunt individuele API-aanroepen rechtstreeks testen door een specifieke actie te selecteren, maar het is veel handiger om simpelweg "Alles selecteren" te gebruiken en elke mogelijke actie automatisch te testen. Dit kan fouten opvangen waarbij u bijvoorbeeld een gebruiker schrijftoegang tot een bucket hebt gegeven (met de bedoeling om ze toestemming te geven om te uploaden), maar het feit hebt gemist dat schrijftoestemming ook verwijderingstoestemming geeft.
Als u op een actie klikt, wordt u getoond welk IAM-beleid en welke regel die gebruiker toegang geeft tot die bron. U kunt hier direct nieuwe IAM-beleidsregels bewerken en maken, waardoor het een soort IDE wordt voor IAM. Echt, dat is alles wat de IAM Policy Simulator doet, maar het is nuttig genoeg dat het niet super flitsend hoeft te zijn.
Access Analyzer identificeert problemen met toegang tot meerdere accounts
De Access Analyzer is een nieuwe toevoeging aan de IAM-suite die automatisch problemen in uw IAM-instellingen kan detecteren, met name als het gaat om het toestaan van bronnen buiten uw vertrouwenskring. Als u bijvoorbeeld een KMS-sleutel in de productieomgeving hebt die toegankelijk is voor iemand in de ontwikkelomgeving, zal Access Analyzer dat detecteren en u een waarschuwing sturen.
Het is helemaal gratis en draait op de achtergrond van je AWS-account, controleert af en toe en waarschuwt je voor problemen. Er is geen reden om het niet in te schakelen.
Ga naar het tabblad Access Analyzer van de IAM Management Console en klik op 'Create Analyzer'.
Het zou automatisch moeten werken zodra het is gemaakt, en als alles goed is, zie je niets anders, alleen een lege lijst met bevindingen. Als er iets wordt gevonden, ontvang je een melding en verschijnt het in de lijst met bevindingen.
Vanaf hier kun je aangeven of de bevinding bedoeld is als toegang, of niet bedoeld is.
Als het veel valse positieven veroorzaakt, kun je een filter instellen onder 'Archiefregels'.
