Tinjau temuan IAM Access Analyzer - AWS Identity and Access Management
Temuan akses eksternalTemuan akses yang tidak digunakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Tinjau temuan IAM Access Analyzer

Setelah Anda mengaktifkan IAM Access Analyzer, langkah selanjutnya adalah meninjau temuan apa pun untuk menentukan apakah akses yang diidentifikasi dalam temuan itu disengaja atau tidak disengaja. Anda juga dapat meninjau temuan untuk menentukan temuan serupa untuk akses yang dimaksudkan, dan kemudian membuat aturan arsip untuk mengarsipkan temuan tersebut secara otomatis. Anda juga dapat meninjau temuan yang diarsipkan dan diselesaikan.

Anda harus meninjau semua temuan di akun Anda untuk menentukan apakah akses eksternal atau tidak terpakai diharapkan dan disetujui. Jika akses eksternal atau tidak terpakai yang diidentifikasi dalam temuan diharapkan, Anda dapat mengarsipkan temuan tersebut. Saat Anda mengarsipkan temuan, statusnya diubah menjadi Diarsipkan, dan temuan tersebut dihapus dari daftar temuan aktif. Temuan tidak dihapus. Anda dapat melihat temuan yang diarsipkan kapan saja. Pelajari semua temuan di akun Anda hingga Anda tidak memiliki temuan aktif. Setelah Anda mencapai nol temuan, Anda tahu bahwa setiap temuan Aktif baru yang dihasilkan berasal dari perubahan baru-baru ini di lingkungan Anda.

Untuk meninjau temuan

  1. Buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Pilih Penganalisis akses.

  3. Dasbor temuan ditampilkan. Pilih temuan aktif untuk penganalisis akses eksternal atau tidak terpakai Anda.

    Untuk informasi lebih lanjut tentang melihat dasbor temuan, lihatLihat dasbor temuan IAM Access Analyzer.

catatan

Temuan ditampilkan hanya jika Anda memiliki izin untuk melihat temuan untuk penganalisis.

Semua temuan ditampilkan untuk penganalisis. Untuk melihat temuan lain yang dihasilkan oleh penganalisis, pilih jenis temuan yang sesuai dari tarik-turun Status:

  • Pilih Aktif untuk melihat semua temuan aktif yang dihasilkan oleh penganalisis.

  • Pilih Diarsipkan untuk melihat hanya temuan yang dihasilkan oleh penganalisis yang telah diarsipkan. Untuk mempelajari informasi lebih lanjut, lihat Arsipkan IAM temuan Access Analyzer.

  • Pilih Diselesaikan untuk melihat hanya temuan yang dihasilkan oleh penganalisis yang telah diselesaikan. Saat Anda memulihkan masalah yang menghasilkan temuan, status temuan diubah menjadi Terselesaikan.

    penting

    Temuan yang diselesaikan dihapus 90 hari setelah pembaruan terakhir temuan. Temuan aktif dan diarsipkan tidak akan dihapus kecuali jika Anda menghapus penganalisis yang menghasilkannya.

  • Pilih Semua untuk melihat semua temuan dengan semua status yang dihasilkan oleh penganalisis.

Temuan akses eksternal

Pilih Akses eksternal dan kemudian pilih penganalisis akses eksternal dari menu tarik-turun View analyzer. Halaman Temuan untuk penganalisis akses eksternal menampilkan detail berikut tentang sumber daya bersama dan pernyataan kebijakan yang menghasilkan temuan:

Menemukan ID

ID unik yang ditetapkan untuk temuan. Pilih ID temuan untuk menampilkan detail tambahan tentang sumber daya dan pernyataan kebijakan yang menghasilkan temuan tersebut.

Sumber Daya

Jenis dan nama parsial dari sumber daya yang memiliki kebijakan yang diterapkan yang memberikan akses ke entitas eksternal yang tidak berada di zona kepercayaan Anda.

Akun pemilik sumber daya

Kolom ini ditampilkan hanya jika Anda menggunakan sebuah organisasi sebagai zona kepercayaan. Akun dalam organisasi yang memiliki sumber daya yang dilaporkan dalam temuan.

Prinsipal eksternal

Penanggung jawab, tidak di dalam zona kepercayaan Anda yang diberikan akses oleh kebijakan yang dianalisis. Nilai yang valid meliputi:

  • Akun AWS— Semua prinsipal dalam daftar Akun AWS dengan izin dari administrator akun itu dapat mengakses sumber daya.

  • Prinsipal apa pun — Semua kepala sekolah Akun AWS yang memenuhi persyaratan yang termasuk dalam kolom Ketentuan memiliki izin untuk mengakses sumber daya. Misalnya, jika a VPC terdaftar, itu berarti bahwa setiap prinsipal di akun apa pun yang memiliki izin untuk mengakses yang terdaftar VPC dapat mengakses sumber daya.

  • Pengguna kanonik — Semua kepala sekolah Akun AWS dengan ID pengguna kanonik yang terdaftar memiliki izin untuk mengakses sumber daya.

  • IAMperan — IAM Peran yang terdaftar memiliki izin untuk mengakses sumber daya.

  • IAMpengguna — Pengguna yang terdaftar IAM memiliki izin untuk mengakses sumber daya.

Kondisi

Ketentuan dari pernyataan kebijakan yang memberikan akses. Misalnya, jika bidang Kondisi menyertakan Sumber VPC, itu berarti sumber daya dibagikan dengan prinsipal yang memiliki akses ke VPC daftar. Ketentuan dapat bersifat global atau khusus layanan. Kunci ketentuan global memiliki aws: awalan.

Dibagikan melalui

Bidang Dibagikan melalui menunjukkan bagaimana akses yang menghasilkan temuan diberikan. Nilai yang valid meliputi:

  • Kebijakan Bucket — Kebijakan bucket yang dilampirkan pada bucket Amazon S3.

  • Daftar kontrol akses — Daftar kontrol akses (ACL) yang dilampirkan ke bucket Amazon S3.

  • Titik akses — Titik akses atau titik akses multi-wilayah yang terkait dengan bucket Amazon S3. Titik akses ditampilkan dalam rincian Temuan. ARN

Tingkat akses

Tingkat akses yang diberikan kepada entitas eksternal oleh tindakan dalam kebijakan berbasis sumber daya. Lihat detail temuan untuk informasi lebih lanjut. Nilai tingkat akses mencakup hal berikut:

  • Daftar – Izin untuk mencantumkan sumber daya di dalam layanan untuk menentukan apakah ada objek. Tindakan dengan tingkat akses ini dapat mencantumkan objek tetapi tidak dapat melihat isi sumber daya.

  • Baca – Izin untuk membaca, namun tidak mengedit konten dan atribut sumber daya dalam layanan.

  • Tulis – Izin untuk membuat, menghapus, atau memodifikasi sumber daya dalam layanan.

  • Izin – Izin untuk memberikan atau mengubah izin sumber daya dalam layanan.

  • Penandaan – Izin untuk melakukan tindakan yang hanya mengubah status tanda sumber daya.

Diperbarui

Stempel waktu untuk pembaruan terbaru ke status temuan, atau waktu dan tanggal temuan dihasilkan jika tidak ada pembaruan yang dilakukan.

catatan

Diperlukan waktu hingga 30 menit setelah kebijakan diubah agar IAM Access Analyzer kembali menganalisis sumber daya dan kemudian memperbarui temuannya.

Status

Status temuan, salah satu Aktif, Diarsipkan, atau Diselesaikan.

Temuan akses yang tidak digunakan

IAMAccess Analyzer mengenakan biaya untuk analisis akses yang tidak digunakan berdasarkan jumlah IAM peran dan pengguna yang dianalisis per bulan. Untuk detail selengkapnya tentang harga, lihat harga IAM Access Analyzer.

Pilih Akses yang tidak digunakan dan kemudian pilih penganalisis akses yang tidak terpakai dari menu tarik-turun View analyzer. Halaman Temuan untuk penganalisis akses yang tidak digunakan menampilkan detail berikut tentang IAM entitas yang menghasilkan temuan:

Menemukan ID

ID unik yang ditetapkan untuk temuan. Pilih ID temuan untuk menampilkan detail tambahan tentang IAM entitas yang menghasilkan temuan.

Menemukan jenis

Jenis pencarian akses yang tidak digunakan: Kunci akses yang tidak digunakan, Kata sandi yang tidak digunakan, Izin yang tidak digunakan, atau Peran yang tidak digunakan.

IAMentitas

IAMEntitas dilaporkan dalam temuan. Ini bisa menjadi IAM pengguna atau peran.

Akun AWS ID

Kolom ini hanya ditampilkan jika Anda mengatur penganalisis untuk semua yang Akun AWS ada di organisasi. Akun AWS Dalam organisasi yang memiliki IAM entitas dilaporkan dalam temuan.

Terakhir diperbarui

Terakhir kali IAM entitas melaporkan dalam temuan diperbarui, atau ketika entitas dibuat jika tidak ada pembaruan yang dilakukan.

Status

Status temuan (Aktif, Diarsipkan, atau Diselesaikan).