更新时间:2025-09-25 gmt 08:00
对iam用户的权限进行安全审计-j9九游会登录
场景描述
企业级用户通常需要对云上iam用户的权限定期进行安全审计,以确定iam用户的权限未超出规定的范围。例如:除账号根用户和审计员用户以外的所有iam用户都不应该具有任何iam的管理权限。此安全审计往往是系统定期自动检查,所以需要使用api来完成。
本章节指导用户如何使用api调用的方式对iam用户的权限进行安全审计,您可进一步通过编程手段完成定期安全审计工作。
总体思路
对iam用户的权限进行安全审计,包含审计iam用户自身附加的身份策略,以及iam用户组附加的身份策略。对iam用户自身附加的身份策略进行权限审计,只需要将待审计的权限与附加的身份策略内容进行对比即可。因此,接下来只以iam用户组附加的身份策略权限审计为例进行详细说明,操作对步骤如下:
- 查询用户组列表;
- 查询用户组权限;
- 查询身份策略内容;
- 确定需要审计的权限,查询用户组中的iam用户,进行安全审计。
涉及的接口如下:
- 响应示例
{ "groups" : [ { "group_id" : "5b050baea9db472c88cbae67e8d6....", "group_name" : "iamgroupa", "created_at" : "2023-09-11t10:13:25.414z", "urn" : "iam::d78cbac186b744899480f25bd022....:group:iamgroupa", "description" : "iamdescription" }, { "group_id" : "07609e7eb200250a3f7dc003cb7a....", "group_name" : "iamgroupb", "created_at" : "2023-09-11t10:13:40.016z", "urn" : "iam::d78cbac186b744899480f25bd022....:group:iamgroupb", "description" : "iamdescription" } ], "page_info" : { "current_count" : 2 } }
步骤2:查询用户组权限
uri:get /v5/groups/{group_id}/attached-policies
api文档详情请参见:查询指定用户组附加的所有身份策略
- 请求示例
get https://{endpoint}/v5/groups/5b050baea9db472c88cbae67e8d6..../attached-policies
- 响应示例
{ "attached_policies" : [ { "policy_name" : "readpolicy", "policy_id" : "75cfe22af2b3498d82b655fbb39d....", "urn" : "iam::d78cbac186b744899480f25bd022....:policy:readpolicy", "attached_at" : "2023-09-25t09:31:44.935z" } ], "page_info" : { "current_count" : 1 } }
步骤3:查询身份策略内容
uri:get /v5/policies/{policy_id}/versions
api文档详情请参见:查询指定身份策略的所有版本
- 请求示例
get https://{endpoint}/v5/policies/75cfe22af2b3498d82b655fbb39d..../versions
- 响应示例
{ "versions" : [ { "document" : "{\"version\":\"5.0\",\"statement\":[{\"effect\":\"allow\",\"action\":[\"iam:*:get*\",\"iam:*:list*\"]}]}", "version_id" : "v1", "is_default" : true, "created_at" : "2023-09-25t09:03:24.786z" } ], "page_info" : { "current_count" : 1 } }
步骤4:确定需要审计的权限,查询用户组中的iam用户,进行安全审计
uri:get /v5/users
api文档详情请参见:查询iam用户列表
- 请求示例
get https://{endpoint}/v5/users?group_id=5b050baea9db472c88cbae67e8d6....
- 响应示例
{ "users" : [ { "description" : "description", "user_name" : "iamusera", "is_root_user" : false, "created_at" : "2023-04-26t03:49:42z", "user_id" : "07609fb9358010e21f7bc003751c....", "urn" : "iam::d78cbac186b744899480f25bd022....:user:iamusera", "enabled" : true }, { "description" : "description", "user_name" : "iamuserb", "is_root_user" : false, "created_at" : "2023-04-26t03:52:27z", "user_id" : "076837351e80251c1f0fc003afe4....", "urn" : "iam::d78cbac186b744899480f25bd022....:user:iamuserb", "enabled" : true } ], "page_info" : { "current_count" : 2 } }
父主题:
相关文档
意见反馈
文档内容是否对您有帮助?
提交成功!非常感谢您的反馈,我们会继续努力做到更好!
您可在查看反馈及问题处理状态。
系统繁忙,请稍后重试
如您有其它疑问,您也可以通过华为云社区问答频道来与我们联系探讨
