Trabalhando com o AWS IAM Access Analyzer - AWS Kit de ferramentas para VS Code
Pré-requisitosVerificações de política do analisador de acesso do AWS IAM

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Trabalhando com o AWS IAM Access Analyzer

As seções a seguir descrevem como executar a validação de política do IAM e verificações de política personalizadas no AWS Toolkit for Visual Studio Code. Para obter mais detalhes, consulte os seguintes tópicos no Guia do AWS Identity and Access Management usuário: validação da política do IAM Access Analyzer e verificações de políticas personalizadas do IAM Access Analyzer.

Pré-requisitos

Os pré-requisitos a seguir devem ser atendidos para que você possa trabalhar com as verificações de política do analisador de acesso do AWS IAM do Toolkit.

Verificações de política do analisador de acesso do AWS IAM

Você pode realizar verificações de políticas para CloudFormation modelos, planos do Terraform e documentos de política JSON, usando o. AWS Toolkit for Visual Studio Code Suas descobertas de verificação podem ser visualizadas no Painel de problemas do VS Code. A seguinte imagem mostra o Painel de problemas do VS Code.

VS Code Problems Panel displaying security warnings and version recommendations.

O analisador de acesso do AWS IAM fornece 4 tipos de verificações:

  • Validate Policy

  • CheckAccessNotGranted

  • CheckNoNewAccess

  • CheckNoPublicAccess

As seções a seguir descrevem como executar cada tipo de verificação.

nota

Configure suas credenciais de AWS função antes de executar qualquer tipo de verificação. Os arquivos compatíveis incluem os seguintes tipos de documentos: CloudFormation modelos, planos do Terraform e documentos de política JSON

As referências de caminho de arquivo geralmente são fornecidas pelo administrador ou pela equipe de segurança e podem ser um caminho de arquivo do sistema ou um URI de bucket do Amazon S3. Para usar um URI de bucket do Amazon S3, a função atual deve ter acesso ao bucket do Amazon S3.

Uma cobrança é associada a cada verificação de política personalizada. Para obter detalhes sobre os preços de verificação de políticas personalizadas, consulte o Guia de preços do analisador de acesso do AWS IAM.

Executando a política de validação

A verificação Validate Policy, também conhecida como validação de política, valida sua política em relação à gramática política e AWS às melhores práticas do IAM. Para obter mais informações, consulte os tópicos Gramática da linguagem de política JSON do IAM e as melhores práticas de AWS segurança no IAM, localizados no Guia do AWS Identity and Access Managementusuário.

  1. No VS Code, abra um arquivo compatível que contém políticas AWS do IAM, no editor do VS Code.

  2. Para abrir as verificações de política do analisador de acesso do AWS IAM, abra a paleta de comandos do VS Code pressionando CRTL+Shift+P, pesquise por IAM Policy Checks e clique para abrir o painel Verificações de políticas do IAM no editor de código do VS Code.

  3. No painel Verificação de políticas do IAM, selecione o tipo de documento no menu suspenso.

  4. Na seção Validar políticas, escolha o botão Executar validação de política para executar a verificação Validate Policy.

  5. No Painel de problemas do VS Code, analise suas descobertas de verificação de políticas.

  6. Atualize sua política e repita esse procedimento, executando novamente a verificação Validar política até que as descobertas da verificação de política não exibam mais avisos ou erros de segurança.

Correndo CheckAccessNotGranted

CheckAccessNotGranted é uma verificação de política personalizada para verificar se ações específicas do IAM não são permitidas pela sua política.

nota

As referências de caminho de arquivo geralmente são fornecidas pelo administrador ou pela equipe de segurança e podem ser um caminho de arquivo do sistema ou um URI de bucket do Amazon S3. Para usar um URI de bucket do Amazon S3, a função atual deve ter acesso ao bucket do Amazon S3. Pelo menos uma ação ou recurso deve ser especificado e o arquivo deve ser estruturado de acordo com o exemplo a seguir:


              {"actions": ["action1", "action2", "action3"], "resources": ["resource1", "resource2", "resource3"]}

  1. No VS Code, abra um arquivo compatível que contém políticas AWS do IAM, no editor do VS Code.

  2. Para abrir as verificações de política do analisador de acesso do AWS IAM, abra a paleta de comandos do VS Code pressionando CRTL+Shift+P, pesquise por IAM Policy Checks e clique para abrir o painel Verificações de políticas do IAM no editor de código do VS Code.

  3. No painel Verificação de políticas do IAM, selecione o tipo de documento no menu suspenso.

  4. Na seção Verificações de políticas personalizadas, selecione CheckAccessNotGranted.

  5. No campo de entrada de texto, você pode inserir uma lista separada por vírgulas que contém ações e recursos. ARNs Devem ser fornecidos pelo menos uma ação ou recurso.

  6. Escolha o botão Executar verificação de política personalizada.

  7. No Painel de problemas do VS Code, analise suas descobertas de verificação de políticas. As verificações de políticas personalizadas retornam um resultado FAIL ou PASS.

  8. Atualize sua política e repita esse procedimento, executando novamente a CheckAccessNotGranted verificação até que ela retornePASS.

Correndo CheckNoNewAccess

CheckNoNewAccess é uma verificação de política personalizada para verificar se sua política concede novo acesso em comparação com uma política de referência.

  1. No VS Code, abra um arquivo compatível que contém políticas AWS do IAM, no editor do VS Code.

  2. Para abrir as verificações de política do analisador de acesso do AWS IAM, abra a paleta de comandos do VS Code pressionando CRTL+Shift+P, pesquise por IAM Policy Checks e clique para abrir o painel Verificações de políticas do IAM no editor de código do VS Code.

  3. No painel Verificação de políticas do IAM, selecione o tipo de documento no menu suspenso.

  4. Na seção Verificações de políticas personalizadas, selecione CheckNoNewAccess.

  5. Insira um documento de referência de política JSON. Como alternativa, você pode fornecer um caminho de arquivo que faça referência a um documento de política JSON.

  6. Selecione o Tipo de política de referência que corresponda ao tipo do seu documento de referência.

  7. Escolha o botão Executar verificação de política personalizada.

  8. No Painel de problemas do VS Code, analise suas descobertas de verificação de políticas. As verificações de políticas personalizadas retornam um resultado FAIL ou PASS.

  9. Atualize sua política e repita esse procedimento, executando novamente a CheckNoNewAccess verificação até que ela retornePASS.

Correndo CheckNoPublicAccess

CheckNoPublicAccess é uma verificação de política personalizada para verificar se sua política concede acesso público aos tipos de recursos compatíveis em seu modelo.

Para obter informações específicas sobre os tipos de recursos compatíveis, consulte os cloudformation-iam-policy-validatorterraform-iam-policy-validator GitHub repositórios e.

  1. No VS Code, abra um arquivo compatível que contém políticas AWS do IAM, no editor do VS Code.

  2. Para abrir as verificações de política do analisador de acesso do AWS IAM, abra a paleta de comandos do VS Code pressionando CRTL+Shift+P, pesquise por IAM Policy Checks e clique para abrir o painel Verificações de políticas do IAM no editor de código do VS Code.

  3. No painel Verificação de políticas do IAM, selecione o tipo de documento no menu suspenso.

  4. Na seção Verificações de políticas personalizadas, selecione CheckNoPublicAccess.

  5. Escolha o botão Executar verificação de política personalizada.

  6. No Painel de problemas do VS Code, analise suas descobertas de verificação de políticas. As verificações de políticas personalizadas retornam um resultado FAIL ou PASS.

  7. Atualize sua política e repita esse procedimento, executando novamente a CheckNoNewAccess verificação até que ela retornePASS.