我是云托管人的新手,想知道云托管人是否可以扫描 AWS IAM 服务 - 扫描所有 IAM 策略以查找特定操作,例如 S3Delete with Resoruce:*
如果可以做到这一点,我们如何将结果提取到报告中?
是的,请参阅 https://github.com/FireballDWF/securityhub-remediations/blob/master/module4/ec2-public-ingress-hubfinding.yml 的第 30-38 行,这是我将 AWS Security Hub 与云托管人结合使用研讨会的一部分。 您可以将调查结果从云托管人发送到 AWS Security Hub,请参阅 https://aws.amazon.com/blogs/opensource/announcing-cloud-custodian-integration-aws-security-hub/了解简介,然后您可以在 Security Hub 的调查结果部分中运行查询。 如果您需要更多帮助,我建议您在我的研讨会上提交一个问题,请求您正在寻找的帮助,我将尝试以研讨会更新的形式回答。
试试这个:
policies:
- name: iam-user-policies
description: IAM USER policies
resource: iam-user
filters:
- or:
- type: has-inline-policy
value: true
- type: policy
key: PolicyName
op: not-equal
value: ""
- type: PolicyStatement
statements:
- Effect: Allow
Principal: '*'