Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menyempurnakan izin dalam AWS menggunakan informasi yang terakhir diakses
Sebagai administrator, Anda dapat memberikan izin ke sumber daya IAM (peran, pengguna, grup pengguna, atau kebijakan) di luar yang mereka butuhkan. IAM menyediakan informasi yang terakhir diakses untuk membantu Anda mengidentifikasi izin yang tidak digunakan sehingga Anda dapat menghapusnya. Anda dapat menggunakan informasi yang diakses terakhir untuk menyempurnakan kebijakan Anda dan mengizinkan akses hanya ke layanan dan tindakan yang digunakan identitas dan kebijakan IAM Anda. Ini membantu Anda untuk lebih menganut praktik terbaik dengan privilese paling sedikit. Anda dapat melihat informasi yang terakhir diakses untuk identitas atau kebijakan yang ada di IAM atau. AWS Organizations
Anda dapat terus memantau informasi yang diakses terakhir dengan penganalisis akses yang tidak digunakan. Untuk informasi selengkapnya, lihat Temuan untuk akses eksternal dan tidak terpakai.
Topik
- Jenis informasi yang terakhir diakses untuk IAM
- Informasi yang terakhir diakses untuk AWS Organizations
- Hal yang perlu diketahui tentang informasi yang terakhir diakses
- Izin diperlukan
- Pemecahan masalah IAM dan entitas Organisasi
- Tempat AWS melacak informasi terakhir yang diakses
- Melihat informasi yang terakhir diakses untuk IAM
- Melihat informasi yang terakhir diakses untuk Organisasi
- Contoh alur perencanaan untuk menggunakan informasi yang terakhir diakses
- Tindakan IAM terakhir mengakses layanan dan tindakan informasi
Jenis informasi yang terakhir diakses untuk IAM
Anda dapat melihat dua jenis informasi terakhir yang diakses untuk identitas IAM: informasi AWS layanan yang diizinkan dan informasi tindakan yang diizinkan. Informasi tersebut mencakup tanggal dan waktu ketika upaya untuk mengakses AWS API dilakukan. Untuk tindakan, informasi yang terakhir diakses melaporkan tindakan manajemen layanan. Tindakan manajemen meliputi pembuatan, penghapusan, dan tindakan modifikasi. Untuk mempelajari lebih lanjut tentang cara melihat informasi yang terakhir diakses untuk IAM, lihat Melihat informasi yang terakhir diakses untuk IAM.
Misalnya skenario untuk menggunakan informasi yang diakses terakhir untuk membuat keputusan tentang izin yang Anda berikan ke identitas IAM Anda, lihat. Contoh alur perencanaan untuk menggunakan informasi yang terakhir diakses
Untuk mempelajari lebih lanjut tentang bagaimana tersedianya informasi untuk tindakan manajemen, lihat Hal yang perlu diketahui tentang informasi yang terakhir diakses.
Informasi yang terakhir diakses untuk AWS Organizations
Jika Anda masuk menggunakan kredensi akun manajemen, Anda dapat melihat informasi layanan yang terakhir diakses untuk AWS Organizations entitas atau kebijakan di organisasi Anda. AWS Organizations entitas termasuk akar organisasi, unit organisasi (OU), atau akun. Informasi terakhir yang diakses untuk AWS Organizations mencakup informasi tentang layanan yang diizinkan oleh kebijakan kontrol layanan (SCP). Informasi menunjukkan prinsip mana (pengguna root, pengguna IAM, atau peran) dalam organisasi atau akun yang terakhir mencoba mengakses layanan dan kapan. Untuk mempelajari lebih lanjut tentang laporan dan cara melihat informasi yang terakhir diakses AWS Organizations, lihatMelihat informasi yang terakhir diakses untuk Organisasi.
Sebagai contoh, alur perencanaan penggunaan informasi yang terakhir diakses untuk membuat keputusan tentang izin yang Anda berikan ke entitas organisasi Anda, lihat Contoh alur perencanaan untuk menggunakan informasi yang terakhir diakses.
Hal yang perlu diketahui tentang informasi yang terakhir diakses
Sebelum Anda menggunakan informasi yang terakhir diakses dari laporan untuk mengubah izin identitas IAM atau entitas Organizations, tinjau detail berikut tentang informasi tersebut.
-
Periode pelacakan - Aktivitas terbaru muncul di konsol IAM dalam waktu empat jam. Periode pelacakan untuk informasi layanan setidaknya 400 hari tergantung pada kapan layanan mulai melacak informasi tindakan. Periode pelacakan untuk informasi tindakan Amazon S3 dimulai pada 12 April 2020. Periode pelacakan untuk tindakan Amazon EC2, IAM, dan Lambda dimulai pada 7 April 2021. Periode pelacakan untuk semua layanan lainnya dimulai pada 23 Mei 2023. Untuk daftar layanan yang informasi terakhir diakses tindakan yang tersedia, lihatTindakan IAM terakhir mengakses layanan dan tindakan informasi. Untuk informasi selengkapnya tentang tindakan Wilayah mana yang terakhir diakses informasi tersedia, lihatTempat AWS melacak informasi terakhir yang diakses.
-
Upaya dilaporkan — Data layanan yang terakhir diakses mencakup semua upaya untuk mengakses AWS API, bukan hanya upaya yang berhasil. Ini termasuk semua upaya yang dilakukan menggunakan AWS Management Console, AWS API melalui salah satu SDK, atau salah satu alat baris perintah. Entri tak terduga dalam layanan data terakhir yang diakses tidak berarti akun Anda telah disusupi, karena permintaan tersebut mungkin ditolak. Lihat CloudTrail log Anda sebagai sumber otoritatif untuk informasi tentang semua panggilan API dan apakah mereka berhasil atau ditolak aksesnya.
-
PassRole—
iam:PassRoleTindakan tidak dilacak dan tidak termasuk dalam tindakan IAM informasi terakhir diakses. -
Action last access information — Action last access information tersedia untuk tindakan manajemen layanan yang diakses oleh identitas IAM. Lihat daftar layanan dan tindakan mereka untuk tindakan yang terakhir diakses melaporkan informasi.
catatan
Informasi tindakan yang terakhir diakses tidak tersedia untuk peristiwa data Amazon S3.
-
Peristiwa manajemen - IAM menyediakan informasi tindakan untuk peristiwa manajemen layanan yang dicatat oleh CloudTrail. Terkadang, peristiwa CloudTrail manajemen juga disebut operasi pesawat kontrol atau peristiwa pesawat kontrol. Acara manajemen memberikan visibilitas ke dalam operasi administratif yang dilakukan pada sumber daya di Anda Akun AWS. Untuk mempelajari selengkapnya tentang peristiwa manajemen di CloudTrail, lihat peristiwa pengelolaan log di Panduan AWS CloudTrail Pengguna.
-
Laporkan pemilik – Hanya penanggung jawab yang membuat laporan yang dapat melihat detail laporan. Ini berarti bahwa ketika Anda melihat informasi di AWS Management Console, Anda mungkin harus menunggu untuk menghasilkan dan memuat. Jika Anda menggunakan AWS API AWS CLI atau untuk mendapatkan detail laporan, kredensional Anda harus sesuai dengan kredensi prinsipal yang menghasilkan laporan. Apabila Anda menggunakan kredensial sementara untuk peran atau pengguna gabungan, Anda harus membuat dan mengambil laporan selama sesi yang sama. Untuk informasi lebih lanjut tentang penanggung jawab sesi peran yang diasumsikan, lihat AWS Elemen kebijakan JSON: Principal.
-
Sumber daya IAM — Informasi terakhir yang diakses untuk IAM mencakup sumber daya IAM (peran, pengguna, grup pengguna, dan kebijakan) di akun Anda. Informasi terakhir yang diakses untuk Organizations mencakup prinsipal (pengguna IAM, peran IAM, atau) Pengguna root akun AWS dalam entitas Organizations tertentu. Informasi terakhir yang diakses tidak termasuk upaya yang tidak diautentikasi.
-
Jenis kebijakan IAM — Informasi terakhir yang diakses untuk IAM mencakup layanan yang diizinkan oleh kebijakan identitas IAM. Ini merupakan kebijakan yang melekat pada suatu peran atau terlampir pada pengguna secara langsung atau melalui grup. Akses yang diperbolehkan oleh jenis kebijakan lain tidak termasuk dalam laporan Anda. Jenis kebijakan yang dikecualikan mencakup kebijakan berbasis sumber daya, daftar kontrol akses, AWS Organizations SCP, batas izin IAM, dan kebijakan sesi. Izin yang diberikan oleh peran yang terkait dengan layanan ditentukan oleh layanan yang terkait dan tidak dapat dimodifikasi di IAM. Untuk mempelajari lebih lanjut tentang peran yang berkaitan dengan layanan, lihat Menggunakan peran terkait layanan Untuk mempelajari cara jenis kebijakan yang berbeda dievaluasi untuk memungkinkan atau menolak akses, lihat Logika evaluasi kebijakan.
-
Jenis kebijakan Organizations — Informasi untuk hanya AWS Organizations mencakup layanan yang diizinkan oleh kebijakan kontrol layanan warisan (SCP) entitas Organizations. SCP merupakan kebijakan yang melekat pada root, OU, atau akun. Akses yang diperbolehkan oleh jenis kebijakan lain tidak termasuk dalam laporan Anda. Jenis kebijakan yang dikecualikan meliputi kebijakan berbasis identitas, kebijakan berbasis sumber daya, access control list, batasan izin IAM, dan kebijakan sesi. Untuk mempelajari cara berbagai jenis kebijakan dievaluasi untuk memungkinkan atau menolak akses, lihat Logika evaluasi kebijakan.
-
Menentukan ID kebijakan — Saat Anda menggunakan AWS CLI atau AWS API untuk membuat laporan untuk informasi yang terakhir diakses di Organizations, Anda dapat menentukan ID kebijakan secara opsional. Laporan yang dihasilkan mencakup informasi untuk layanan yang diperbolehkan hanya oleh kebijakan tersebut. Informasi ini mencakup aktivitas akun terbaru di entitas Organisasi yang spesifik atau anak dari entitas tersebut. Untuk informasi selengkapnya, lihat aws iam generate-organizations-access-report atau GenerateOrganizationsAccessReport.
-
Akun manajemen organisasi – Anda harus masuk ke akun manajemen organisasi Anda untuk melihat informasi yang terakhir diakses oleh layanan. Anda dapat memilih untuk melihat informasi untuk akun manajemen menggunakan konsol IAM, API AWS CLI, atau AWS API. Laporan yang dihasilkan mencantumkan semua AWS layanan, karena akun manajemen tidak dibatasi oleh SCP. Jika Anda menentukan ID kebijakan di CLI atau API, kebijakan tersebut akan diabaikan. Untuk setiap layanan, laporan mencakup informasi hanya untuk akun manajemen. Namun, laporan untuk entitas Organisasi lain tidak mengembalikan informasi atas aktivitas di akun manajemen.
-
Pengaturan Organizations — Administrator harus mengaktifkan SCP di root organisasi Anda sebelum Anda dapat menghasilkan data untuk Organizations.
Izin diperlukan
Untuk melihat informasi yang terakhir diakses di AWS Management Console, Anda harus memiliki kebijakan yang memberikan izin yang diperlukan.
Izin untuk informasi IAM
Untuk menggunakan konsol IAM guna melihat informasi terakhir yang diakses pengguna, peran, atau kebijakan IAM, Anda harus memiliki kebijakan yang mencakup tindakan berikut:
-
iam:GenerateServiceLastAccessedDetails -
iam:Get* -
iam:List*
Izin ini memungkinkan pengguna melihat hal berikut:
-
Pengguna, kelompok, atau peran yang dilampirkan pada kebijakan terkelola
-
Layanan yang dapat diakses pengguna atau peran
-
Terakhir kali mereka mengakses layanan
-
Terakhir kali mereka mencoba menggunakan tindakan Amazon EC2, IAM, Lambda, atau Amazon S3 tertentu
Untuk menggunakan AWS API AWS CLI atau untuk melihat informasi terakhir yang diakses untuk IAM, Anda harus memiliki izin yang cocok dengan operasi yang ingin Anda gunakan:
-
iam:GenerateServiceLastAccessedDetails -
iam:GetServiceLastAccessedDetails -
iam:GetServiceLastAccessedDetailsWithEntities -
iam:ListPoliciesGrantingServiceAccess
Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan melihat informasi terakhir yang diakses IAM. Selain itu, ini memungkinkan akses baca-saja ke seluruh IAM. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }
Izin untuk informasi AWS Organizations
Untuk menggunakan konsol IAM untuk melihat laporan untuk entri root, OU, atau entitas akun dalam Organisasi, Anda harus memiliki kebijakan yang mencakup tindakan berikut:
-
iam:GenerateOrganizationsAccessReport -
iam:GetOrganizationsAccessReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:DescribePolicy -
organizations:ListChildren -
organizations:ListParents -
organizations:ListPoliciesForTarget -
organizations:ListRoots -
organizations:ListTargetsForPolicy
Untuk menggunakan AWS CLI atau AWS API untuk melihat layanan informasi yang terakhir diakses untuk Organizations, Anda harus memiliki kebijakan yang mencakup tindakan berikut:
-
iam:GenerateOrganizationsAccessReport -
iam:GetOrganizationsAccessReport -
organizations:DescribePolicy -
organizations:ListChildren -
organizations:ListParents -
organizations:ListPoliciesForTarget -
organizations:ListRoots -
organizations:ListTargetsForPolicy
Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan melihat layanan informasi yang terakhir diakses untuk Organizations. Selain itu, ini memungkinkan akses baca-saja ke seluruh Organisasi. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }
Anda juga dapat menggunakan kunci OrganizationsPolicyId kondisi iam: untuk memungkinkan pembuatan laporan hanya untuk kebijakan Organizations tertentu. Sebagai contoh kebijakan, lihat IAM: Melihat informasi layanan yang terakhir diakses untuk kebijakan Organizations.
Pemecahan masalah IAM dan entitas Organisasi
Dalam beberapa kasus, tabel informasi AWS Management Console terakhir Anda yang diakses mungkin kosong. Atau mungkin permintaan Anda AWS CLI atau AWS API mengembalikan kumpulan informasi kosong atau bidang nol. Dalam kejadian ini, tinjau masalah berikut:
-
Untuk informasi tindakan yang terakhir kali diakses, tindakan yang Anda harapkan untuk dilihat mungkin tidak akan dikembalikan dalam daftar. Ini dapat terjadi baik karena identitas IAM tidak memiliki izin untuk tindakan, atau AWS belum melacak tindakan untuk informasi yang terakhir diakses.
-
Untuk pengguna IAM, pastikan bahwa pengguna memiliki sekurangnya satu kebijakan selaras atau terkelola terlampir, baik langsung atau melalui keanggotaan grup.
-
Untuk grup IAM, verifikasi bahwa grup tersebut memiliki sekurangnya satu kebijakan selaras atau terkelola terlampir.
-
Untuk grup IAM, laporan hanya mengembalikan informasi layanan yang terakhir diakses bagi anggota yang menggunakan kebijakan grup tersebut untuk mengakses layanan. Untuk mempelajari apakah anggota menggunakan kebijakan lain, tinjau informasi yang terakhir diakses untuk pengguna tersebut.
-
Untuk peran IAM, verifikasi bahwa grup tersebut memiliki sekurangnya satu kebijakan selaras atau terkelola terlampir.
-
Untuk entitas IAM (pengguna atau peran), tinjau jenis kebijakan lain yang mungkin memengaruhi izin entitas tersebut. Ini termasuk kebijakan berbasis sumber daya, daftar kontrol akses, kebijakan, batas izin IAM, atau AWS Organizations kebijakan sesi. Untuk informasi selengkapnya, lihat Jenis kebijakan atau Mengevaluasi kebijakan dalam satu akun.
-
Untuk kebijakan IAM, pastikan kebijakan pengelolaan yang ditentukan dilampirkan pada setidaknya suatu pengguna, grup dengan anggota, atau peran.
-
Untuk entitas Organisasi (root, OU, atau akun), pastikan bahwa Anda masuk menggunakan kredensial akun manajemen Organisasi.
-
Verifikasi bahwa SCP aktif di root organisasi Anda.
-
Informasi tindakan yang terakhir diakses hanya tersedia untuk tindakan yang tercantum dalamTindakan IAM terakhir mengakses layanan dan tindakan informasi.
Saat Anda membuat perubahan, tunggu setidaknya empat jam agar aktivitas muncul di laporan konsol IAM Anda. Jika Anda menggunakan AWS API AWS CLI atau, Anda harus membuat laporan baru untuk melihat informasi yang diperbarui.
Tempat AWS melacak informasi terakhir yang diakses
AWS mengumpulkan informasi yang terakhir diakses untuk AWS Wilayah standar. Saat AWS menambahkan Wilayah tambahan, Wilayah tersebut ditambahkan ke tabel berikut, termasuk tanggal yang AWS mulai melacak informasi di setiap Wilayah.
-
Informasi layanan — Periode pelacakan untuk layanan setidaknya 400 hari, atau kurang jika Wilayah Anda mulai melacak fitur ini dalam 400 hari terakhir.
-
Informasi tindakan – Periode pelacakan untuk tindakan manajemen Amazon S3 dimulai pada 12 April 2020. Periode pelacakan untuk tindakan manajemen Amazon EC2, IAM, dan Lambda dimulai pada 7 April 2021. Periode pelacakan untuk tindakan manajemen semua layanan lainnya dimulai pada 23 Mei 2023. Jika tanggal pelacakan suatu Wilayah lebih lambat dari 23 Mei 2023, maka tindakan yang terakhir diakses informasi dari Wilayah tersebut akan dimulai di kemudian hari.
| Nama Wilayah | Region | Tanggal mulai pelacakan |
|---|---|---|
| AS Timur (Ohio) | as-timur-2 | 27 Oktober 2017 |
| AS Timur (Virginia Utara) | as-timur-1 | 1 Oktober 2015 |
| AS Barat (California Utara) | as-barat-1 | 1 Oktober 2015 |
| AS Barat (Oregon) | as-barat-2 | 1 Oktober 2015 |
| Afrika (Cape Town) | af-selatan-1 | 22 April 2020 |
| Asia Pasifik (Hong Kong) | ap-timur-1 | 24 April 2019 |
| Asia Pasifik (Hyderabad) | ap-south-2 | 22 November 2022 |
| Asia Pasifik (Jakarta) | ap-southeast-3 | 13 Desember 2021 |
| Asia Pasifik (Melbourne) | ap-southeast-4 | 23 Januari 2023 |
| Asia Pasifik (Mumbai) | ap-selatan-1 | 27 Juni 2016 |
| Asia Pacific (Osaka) | ap-northeast-3 | Februari 11, 2018 |
| Asia Pasifik (Seoul) | ap-timur laut-2 | 6 Januari 2016 |
| Asia Pasifik (Singapura) | ap-tenggara-1 | 1 Oktober 2015 |
| Asia Pasifik (Sydney) | ap-tenggara-2 | 1 Oktober 2015 |
| Asia Pasifik (Tokyo) | ap-timur laut-1 | 1 Oktober 2015 |
| Kanada (Pusat) | ca-sentral-1 | 28 Oktober 2017 |
| Eropa (Frankfurt) | eu-sentral-1 | 1 Oktober 2015 |
| Eropa (Irlandia) | eu-barat-1 | 1 Oktober 2015 |
| Eropa (London) | eu-barat-2 | 28 Oktober 2017 |
| Eropa (Milan) | eu-selatan-1 | 28 April 2020 |
| Eropa (Paris) | eu-barat-3 | 18 Desember 2017 |
| Eropa (Spanyol) | eu-south-2 | 15 November 2022 |
| Eropa (Stockholm) | eu-utara-1 | 12 Desember 2018 |
| Eropa (Zürich) | eu-central-2 | 8 November 2022 |
| Israel (Tel Aviv) | il-central-1 | 1 Agustus 2023 |
| Timur Tengah (Bahrain) | me-selatan-1 | 29 Juli 2019 |
| Timur Tengah (UEA) | me-central-1 | 30 Agustus 2022 |
| Amerika Selatan (Sao Paulo) | sa-timur-1 | 11 Desember 2015 |
| AWS GovCloud (AS-Timur) | us-gov-east-1 | Juli 1, 2023 |
| AWS GovCloud (AS-Barat) | us-gov-west-1 | Juli 1, 2023 |
Jika region tidak tercantum dalam tabel sebelumnya, maka region tersebut belum memberikan informasi yang terakhir diakses.
AWS Wilayah adalah kumpulan AWS sumber daya di wilayah geografis. Region-region dikelompokkan menjadi beberapa bagian. Region standar adalah region yang termasuk ke bagian aws. Untuk informasi lebih lanjut tentang bagian yang berbeda, lihat Format Nama Sumber Daya Amazon (Amazon Resource Names/ARN) dalam Referensi Umum AWS. Untuk informasi selengkapnya tentang Wilayah, lihat Tentang AWS Wilayah juga di Referensi Umum AWS.
