11-自动检测iam用户并更改

任务 1：构建 IAM 评估 Lambda 函数

第一项任务是构建一个 AWS Lambda 函数，以编程方式使用 IAM Access Analyzer 策略验证功能。

您可以使用 AWS IAM 访问分析器策略检查来验证您的策略。您可以使用 AWS CLI、AWS API 或 IAM 控制台中的 JSON 策略编辑器来创建或编辑策略。访问分析器会根据 IAM 策略语法和最佳实践来验证您的策略。您可以查看策略验证检查结果，其中包括安全警告、错误、一般警告和针对您的策略的建议。这些结果提供了可操作的建议，可帮助您编写实用且符合安全最佳实践的策略。

存货

您有一个 Lambda 函数jam-validate-iam-policy-with-access-analyzer。

你的任务

更新 AWS Lambda 函数jam-validate-iam-policy-with-access-analyzer以使用 IAM Access Analyzer 策略验证功能。

解答：

1. 从AWS 管理控制台转到AWS Lambda控制台。
2. 选择功能jam-validate-iam-policy-with-access-analyzer。
3. 在代码源下，打开index.py文件。
4. 找到包含 < > 的行to_be_completed。
5. 将 < to_be_completed> 替换为validate_policy。
6. 选择**Deploy (部署)**保存您的更改。
7. （可选）在代码源下，选择测试。
8. （可选）在事件名称下，输入triggerValidation，不要更改内置Hello-world测试用例并用创建确认。
9. （可选）在代码源下，选择测试。
10. （可选）等待 Lambda 函数执行完成。您应该在执行结果选项卡中看到结果。

任务 2：向您的 Lambda 函数添加触发器

1. 从AWS 管理控制台转到AWS Lambda控制台。
2. 从登录页面选择jam-validate-iam-policy-with-access-analyzer。
3. 在配置下，选择触发器。
4. 在触发器配置下，选择来源为 Eventbridge (Cloudwatch Events)。
5. 选择创建新规则并填写详细信息。
6. 提供您选择的规则名称和描述。
7. 在规则类型下，选择计划表达式并提供输入rate(1 day)。
8. 单击屏幕底部的添加按钮来创建触发器。

任务 3：修复 IAM 访问分析器发现的问题

1. 按照线索 1和线索 2中的步骤进行操作。

2. 更新Resource字段，将 ACCOUNT-ID 替换*为arn:aws:iam::ACCOUTNT-ID:role/RoleName举办 Jam 挑战的账户 ID，将 RoleName 替换为此账户中的给定 IAM 角色（可以是任何 IAM 角色）。目的是将iam:PassRole操作限制为一个或多个现有 IAM 角色。

3. 选择**“查看政策”并通过“保存更改”**进行确认。