AWS IAM 审计 Agent 的第一性原理

IAM 审计 Agent 不应该从“把所有权限导出来”的脚本开始。它应该从一组很小的问题开始，并且这些问题要能对应到清晰的运维风险。

从问题开始

• 哪些人工用户仍然可以访问账号？
• 哪些用户没有开启 MFA？
• 哪些 access key 已经过旧、未使用，或者从未轮换？
• 哪些 principal 拥有过宽的管理员权限？
• 哪些发现需要立即处理，哪些只需要跟踪？

保持输出可审阅

第一个有用版本应该产出一张无需阅读源码也能理解的表。最小输出可以包括：

Principal | Finding | Severity | Evidence | Recommended action

这种格式让工具服务于审计沟通，而不是变成一份原始数据导出。

自动化解释，而不只是检测

检测只能告诉你哪里不对。解释能帮助另一个团队接受发现并修复问题。对审计自动化来说，报告语言本身就是产品的一部分。