CRAFTING EFFECTIVE POLICIES FOR IDENTITY AND ACCESS MANAGEMENT ROLES

Disclosed herein are system, method, and computer program product embodiments for preemptively evaluating whether roles are over-privileged within an (IAM) identity and access management system. Roles may be over-privileged when they are granted permissions to perform certain actions outside the scope granted to those roles. The evaluation occurs without submitting the certain actions to the IAM system and allows roles to be evaluated on a preemptive basis so that corrective actions may be taken to prevent unauthorized access to resources. Roles may be associated with policies which may each define different permissions for accessing resources. The evaluation may involve generating an effective policy from the policies associated with a role to provide a comprehensive view of all permissions associated with the role. The specified solution operates to generate an effective permission for accessing a resource and evaluating whether that effective permission is outside of a permissible scope of access for the role. La présente invention concerne des modes de réalisation d'un système, d'un procédé et d'un progiciel informatique destinés à évaluer de manière préemptive si des rôles jouissent de privilèges excessifs au sein d'un système de gestion des identités et des accès (IAM). Les rôles peuvent jouir de privilèges excessifs lorsqu'ils se voient accorder des habilitations pour effectuer certaines actions en dehors du champ accordé à ces rôles. L'évaluation a lieu sans soumettre les actions en question au système d'IAM et permet d'évaluer les rôles à titre préemptif de telle sorte que des actions correctives puissent être menées pour empêcher un accès non autorisé aux ressources. Les rôles peuvent être associés à des politiques dont chacune peut définir différentes habilitations d'accès aux ressources. L'évaluation peut faire intervenir la génération d'une politique effective à partir des politiques associées à un rôle pour donner une vue exhaustive de toutes les habilitations associées au rôle. La solution spécifiée fonctionne pour générer une habilitation effective pour accéder à une ressource et évaluer si l'habilitation effective en question se situe en dehors d'un champ permissible d'accès pour le rôle.