CIEM (управление полномочиями в облачной инфраструктуре)

Публичные облака предоставляют тысячи мелкозернистых разрешений для IAM-пользователей, ролей, сервис-принципалов, федеративных и сервисных идентификаторов. Инструменты CIEM инвентаризируют все действующие разрешения, сопоставляют их с реальной активностью и подсвечивают избыточные привилегии — например, роль с s3:*, использующую только GetObject. Они также выявляют пути эскалации (цепочки PassRole/AssumeRole), неиспользуемые идентификаторы и рискованные межаккаунтные доверия. Результаты обычно подаются в автоматическое исправление, более узкие роли и временное (JIT) повышение прав. CIEM — одна из ключевых опор CNAPP, особенно ценная в мультиоблаке, где модели разрешений сильно различаются.