Отчет хранителя облака для извлечения политик AWS IAM с определенными действиями

Question

Отчет хранителя облака для извлечения политик AWS IAM с определенными действиями

Я новичок в облачном хранении и мне было интересно, может ли облачный хранитель сканировать через сервис AWS IAM - сканировать все политики IAM для определенных действий, таких как S3Delete с Resoruce:*

Если это можно сделать, как мы можем извлечь результаты в отчет?

0

amazon-web-services amazon-iam rule-engine cloudcustodian

Источник

user7444183 11 окт '19 в 22:02

2 ответа

Другие вопросы по тегам amazon-web-services amazon-iam rule-engine cloudcustodian

user9500239 04 дек '19 в 20:27 2019-12-04 20:27 · Answer 1 · 2019-12-04 20:27

Попробуй это:

policies:
  - name: iam-user-policies
    description:  IAM USER policies 
    resource: iam-user
    filters:
      - or:
        - type: has-inline-policy
          value: true
        - type: policy
          key: PolicyName
          op: not-equal
          value: ""
        - type: PolicyStatement
          statements:
            - Effect: Allow
              Principal: '*'

0

Источник

user9500239 04 дек '19 в 20:27

user1703948 12 ноя '19 в 18:46 2019-11-12 18:46 · Answer 2 · 2019-11-12 18:46

Да, см. Строки 30-38 https://github.com/FireballDWF/securityhub-remediations/blob/master/module4/ec2-public-ingress-hubfinding.yml, который является частью моего семинара по использованию AWS Security Hub с облаком. Хранитель. Вы можете отправить результаты из Cloud Custodian в AWS Security Hub, см. https://aws.amazon.com/blogs/opensource/announcing-cloud-custodian-integration-aws-security-hub/ для ознакомления, а затем запустить запрос в разделе "Результаты" Security Hub. Если вам нужна дополнительная помощь, я предлагаю вам отправить вопрос на моем семинаре с просьбой о помощи, которую вы ищете, и я постараюсь ответить в форме обновления для семинара.