更新时间:2025-09-25 gmt 08:00

对iam用户的权限进行安全审计-j9九游会登录

场景描述

企业级用户通常需要对云上iam用户的权限定期进行安全审计,以确定iam用户的权限未超出规定的范围。例如:除账号根用户和审计员用户以外的所有iam用户都不应该具有任何iam的管理权限。此安全审计往往是系统定期自动检查,所以需要使用api来完成。

本章节指导用户如何使用api调用的方式对iam用户的权限进行安全审计,您可进一步通过编程手段完成定期安全审计工作。

总体思路

对iam用户的权限进行安全审计,包含审计iam用户自身附加的身份策略,以及iam用户组附加的身份策略。对iam用户自身附加的身份策略进行权限审计,只需要将待审计的权限与附加的身份策略内容进行对比即可。因此,接下来只以iam用户组附加的身份策略权限审计为例进行详细说明,操作对步骤如下:

  1. 查询用户组列表;
  2. 查询用户组权限;
  3. 查询身份策略内容;
  4. 确定需要审计的权限,查询用户组中的iam用户,进行安全审计。

涉及的接口如下:

步骤1:查询用户组列表

uri:get /v5/groups

api文档详情请参见:查询用户组列表

  • 请求示例
    get https://{endpoint}/v5/groups
  • 响应示例
    { 
      "groups" : [ { 
        "group_id" : "5b050baea9db472c88cbae67e8d6....", 
        "group_name" : "iamgroupa", 
        "created_at" : "2023-09-11t10:13:25.414z", 
        "urn" : "iam::d78cbac186b744899480f25bd022....:group:iamgroupa", 
        "description" : "iamdescription" 
      }, { 
        "group_id" : "07609e7eb200250a3f7dc003cb7a....", 
        "group_name" : "iamgroupb", 
        "created_at" : "2023-09-11t10:13:40.016z", 
        "urn" : "iam::d78cbac186b744899480f25bd022....:group:iamgroupb", 
        "description" : "iamdescription" 
      } ], 
      "page_info" : { 
        "current_count" : 2 
      } 
    }

步骤2:查询用户组权限

uri:get /v5/groups/{group_id}/attached-policies

api文档详情请参见:查询指定用户组附加的所有身份策略

  • 请求示例
    get https://{endpoint}/v5/groups/5b050baea9db472c88cbae67e8d6..../attached-policies
  • 响应示例
    { 
      "attached_policies" : [ { 
        "policy_name" : "readpolicy", 
        "policy_id" : "75cfe22af2b3498d82b655fbb39d....", 
        "urn" : "iam::d78cbac186b744899480f25bd022....:policy:readpolicy", 
        "attached_at" : "2023-09-25t09:31:44.935z" 
      } ], 
      "page_info" : { 
        "current_count" : 1 
      } 
    }

步骤3:查询身份策略内容

uri:get /v5/policies/{policy_id}/versions

api文档详情请参见:查询指定身份策略的所有版本

  • 请求示例
    get https://{endpoint}/v5/policies/75cfe22af2b3498d82b655fbb39d..../versions
  • 响应示例
    { 
      "versions" : [ { 
        "document" : "{\"version\":\"5.0\",\"statement\":[{\"effect\":\"allow\",\"action\":[\"iam:*:get*\",\"iam:*:list*\"]}]}", 
        "version_id" : "v1", 
        "is_default" : true, 
        "created_at" : "2023-09-25t09:03:24.786z" 
      } ], 
      "page_info" : { 
        "current_count" : 1 
      } 
    }

步骤4:确定需要审计的权限,查询用户组中的iam用户,进行安全审计

uri:get /v5/users

api文档详情请参见:查询iam用户列表

  • 请求示例
    get https://{endpoint}/v5/users?group_id=5b050baea9db472c88cbae67e8d6....
  • 响应示例
    { 
      "users" : [ { 
        "description" : "description", 
        "user_name" : "iamusera", 
        "is_root_user" : false, 
        "created_at" : "2023-04-26t03:49:42z", 
        "user_id" : "07609fb9358010e21f7bc003751c....", 
        "urn" : "iam::d78cbac186b744899480f25bd022....:user:iamusera", 
        "enabled" : true 
      }, { 
        "description" : "description", 
        "user_name" : "iamuserb", 
        "is_root_user" : false, 
        "created_at" : "2023-04-26t03:52:27z", 
        "user_id" : "076837351e80251c1f0fc003afe4....", 
        "urn" : "iam::d78cbac186b744899480f25bd022....:user:iamuserb", 
        "enabled" : true 
      } ], 
      "page_info" : {  
        "current_count" : 2 
      } 
    }

相关文档

网站地图