OpenReplay Logo
12k
12k

Разбор политик AWS IAM

Вставьте политику AWS IAM или политику доверия роли и получите объяснение простым языком того, что она разрешает, а также пометки о рискованных шаблонах. Всё работает прямо в вашем браузере.

Всё выполняется в вашем браузере — ничего не загружается.

Об этом инструменте

Политика IAM — это документ в формате JSON, который определяет, кому и что разрешено делать в аккаунте AWS. Каждое выражение объединяет эффект (Allow или Deny), набор действий, ресурсы, к которым они применяются, при необходимости принципала и условия, которые должны выполняться. Грамматика точна, но плотна — несколько символов подстановки и операторов условий могут скрыть, насколько широкий доступ на самом деле даёт политика.

Этот инструмент разбирает документ и переписывает каждое выражение в виде предложения: какие действия разрешены или запрещены, на какие ресурсы, для кого и при каких условиях. Затем он выделяет шаблоны, заслуживающие повторного взгляда — полный административный доступ, публичный принципал, широкие символы подстановки для сервисов, ловушки NotAction/NotResource и действия для повышения привилегий — и отмечает хорошие меры контроля, такие как обязательная MFA или TLS.

Разбор происходит локально — политика, которую вы вставляете, никогда не покидает ваш браузер. Объяснение — это детерминированный перевод JSON, а не юридическая консультация или рекомендация по безопасности; всегда сверяйтесь с собственными требованиями.

Часто задаваемые вопросы

Отправляет ли инструмент мою политику куда-либо или использует LLM?

Нет. Объяснение генерируется детерминированным механизмом правил, работающим полностью в вашем браузере. Ничего не загружается и ни один ИИ-сервис не вызывается, поэтому идентификаторы аккаунтов, ARN и принципалы остаются на вашем устройстве.

Какие виды политик он понимает?

Политики на основе идентификации, политики на основе ресурсов и политики доверия ролей. Он нормализует одно или несколько выражений, строковые или массивные значения, блоки принципалов, а также распространённые операторы условий и глобальные ключи условий.

Являются ли пометки о рисках полным аудитом безопасности?

Нет. Они отмечают распространённые шаблоны с высоким воздействием — полный админ-доступ (Action и Resource оба "*"), публичные принципалы, широкие символы подстановки для сервисов, NotAction/NotResource и действия для повышения привилегий — но это эвристики, а не замена проверке по принципу наименьших привилегий или инструментам вроде IAM Access Analyzer.