Ada lebih banyak AWS SDK contoh yang tersedia di GitHub repo SDKContoh AWS Dokumen
Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
IAMContoh Access Analyzer menggunakan AWS CLI
Contoh kode berikut menunjukkan cara melakukan tindakan dan mengimplementasikan skenario umum dengan menggunakan AWS Command Line Interface With IAM Access Analyzer.
Tindakan adalah kutipan kode dari program yang lebih besar dan harus dijalankan dalam konteks. Sementara tindakan menunjukkan cara memanggil fungsi layanan individual, Anda dapat melihat tindakan dalam konteks dalam skenario terkait.
Setiap contoh menyertakan tautan ke kode sumber lengkap, di mana Anda dapat menemukan instruksi tentang cara mengatur dan menjalankan kode dalam konteks.
Topik
Tindakan
Contoh kode berikut menunjukkan cara menggunakanapply-archive-rule
.
- AWS CLI
-
Untuk menerapkan aturan arsip pada temuan yang ada yang memenuhi kriteria aturan arsip
apply-archive-rule
Contoh berikut menerapkan aturan arsip untuk temuan yang ada yang memenuhi kriteria aturan arsip.aws accessanalyzer apply-archive-rule \ --analyzer-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization
\ --rule-nameMyArchiveRule
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Aturan arsip di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat ApplyArchiveRule
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancancel-policy-generation
.
- AWS CLI
-
Untuk membatalkan pembuatan kebijakan yang diminta
cancel-policy-generation
Contoh berikut membatalkan id pekerjaan pembuatan kebijakan yang diminta.aws accessanalyzer cancel-policy-generation \ --job-id
923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Pembuatan kebijakan IAM Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat CancelPolicyGeneration
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancheck-access-not-granted
.
- AWS CLI
-
Untuk memeriksa apakah akses yang ditentukan tidak diizinkan oleh kebijakan
check-access-not-granted
Contoh berikut memeriksa apakah akses yang ditentukan tidak diizinkan oleh kebijakan.aws accessanalyzer check-access-not-granted \ --policy-document
file://myfile.json
\ --access actions="s3:DeleteBucket","s3:GetBucketLocation" \ --policy-typeIDENTITY_POLICY
Isi dari
myfile.json
:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ] } ] }
Output:
{ "result": "PASS", "message": "The policy document does not grant access to perform one or more of the listed actions." }
Untuk informasi selengkapnya, lihat Mempratinjau akses dengan IAM Access Analyzer APIs di AWS IAMPanduan Pengguna.
-
Untuk API detailnya, lihat CheckAccessNotGranted
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancheck-no-new-access
.
- AWS CLI
-
Untuk memeriksa apakah akses baru diizinkan untuk kebijakan yang diperbarui jika dibandingkan dengan kebijakan yang ada
check-no-new-access
Contoh berikut memeriksa apakah akses baru diizinkan untuk kebijakan yang diperbarui jika dibandingkan dengan kebijakan yang ada.aws accessanalyzer check-no-new-access \ --existing-policy-document
file://existing-policy.json
\ --new-policy-documentfile://new-policy.json
\ --policy-typeIDENTITY_POLICY
Isi dari
existing-policy.json
:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ] } ] }
Isi dari
new-policy.json
:{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:GetObjectAcl", "s3:ListBucket" ], "Resource": [ "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "arn:aws:s3:::DOC-EXAMPLE-BUCKET/*" ] } ] }
Output:
{ "result": "FAIL", "message": "The modified permissions grant new access compared to your existing policy.", "reasons": [ { "description": "New access in the statement with index: 0.", "statementIndex": 0 } ] }
Untuk informasi selengkapnya, lihat Mempratinjau akses dengan IAM Access Analyzer APIs di AWS IAMPanduan Pengguna.
-
Untuk API detailnya, lihat CheckNoNewAccess
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancheck-no-public-access
.
- AWS CLI
-
Untuk memeriksa apakah kebijakan sumber daya dapat memberikan akses publik ke jenis sumber daya yang ditentukan
check-no-public-access
Contoh berikut memeriksa apakah kebijakan sumber daya dapat memberikan akses publik ke jenis sumber daya yang ditentukan.aws accessanalyzer check-no-public-access \ --policy-document
file://check-no-public-access-myfile.json
\ --resource-typeAWS::S3::Bucket
Isi dari
myfile.json
:{ "Version": "2012-10-17", "Statement": [ { "Sid": "CheckNoPublicAccess", "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::111122223333:user/JohnDoe" }, "Action": [ "s3:GetObject" ] } ] }
Output:
{ "result": "PASS", "message": "The resource policy does not grant public access for the given resource type." }
Untuk informasi selengkapnya, lihat Mempratinjau akses dengan IAM Access Analyzer APIs di AWS IAMPanduan Pengguna.
-
Untuk API detailnya, lihat CheckNoPublicAccess
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-access-preview
.
- AWS CLI
-
Untuk membuat pratinjau akses yang memungkinkan Anda melihat pratinjau temuan IAM Access Analyzer untuk sumber daya Anda sebelum menerapkan izin sumber daya
create-access-preview
Contoh berikut membuat pratinjau akses yang memungkinkan Anda melihat pratinjau temuan IAM Access Analyzer untuk sumber daya Anda sebelum menerapkan izin sumber daya di akun Anda. AWSaws accessanalyzer create-access-preview \ --analyzer-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
\ --configurationsfile://myfile.json
Isi dari
myfile.json
:{ "arn:aws:s3:::DOC-EXAMPLE-BUCKET": { "s3Bucket": { "bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*\"}]}", "bucketPublicAccessBlock": { "ignorePublicAcls": true, "restrictPublicBuckets": true }, "bucketAclGrants": [ { "grantee": { "id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be" }, "permission": "READ" } ] } } }
Output:
{ "id": "3c65eb13-6ef9-4629-8919-a32043619e6b" }
Untuk informasi selengkapnya, lihat Mempratinjau akses dengan IAM Access Analyzer APIs di AWS IAMPanduan Pengguna.
-
Untuk API detailnya, lihat CreateAccessPreview
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-analyzer
.
- AWS CLI
-
Untuk membuat analyzer
create-analyzer
Contoh berikut membuat analyzer di AWS akun Anda.aws accessanalyzer create-analyzer \ --analyzer-name
example
\ --typeACCOUNT
Output:
{ "arn": "arn:aws:access-analyzer:us-east-2:111122223333:analyzer/example" }
Untuk informasi selengkapnya, lihat Memulai temuan AWS Identity and Access Management Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat CreateAnalyzer
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakancreate-archive-rule
.
- AWS CLI
-
Untuk membuat aturan arsip untuk analyzer yang ditentukan
create-archive-rule
Contoh berikut membuat aturan arsip untuk analyzer yang ditentukan di AWS akun Anda.aws accessanalyzer create-archive-rule \ --analyzer-name
UnusedAccess-ConsoleAnalyzer-organization
\ --rule-nameMyRule
\ --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}
'Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Aturan arsip di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat CreateArchiveRule
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandelete-analyzer
.
- AWS CLI
-
Untuk menghapus analyzer yang ditentukan
delete-analyzer
Contoh berikut menghapus analyzer yang ditentukan di akun Anda AWS .aws accessanalyzer delete-analyzer \ --analyzer-name
example
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Aturan arsip di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat DeleteAnalyzer
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakandelete-archive-rule
.
- AWS CLI
-
Untuk menghapus aturan arsip yang ditentukan
delete-archive-rule
Contoh berikut menghapus aturan arsip yang ditentukan di AWS akun Anda.aws accessanalyzer delete-archive-rule \ --analyzer-name
UnusedAccess-ConsoleAnalyzer-organization
\ --rule-nameMyRule
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Aturan arsip di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat DeleteArchiveRule
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-access-preview
.
- AWS CLI
-
Untuk mengambil informasi tentang pratinjau akses untuk penganalisis yang ditentukan
get-access-preview
Contoh berikut mengambil informasi tentang pratinjau akses untuk penganalisis yang ditentukan di akun Anda AWS .aws accessanalyzer get-access-preview \ --access-preview-id
3c65eb13-6ef9-4629-8919-a32043619e6b
\ --analyzer-arnarn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
Output:
{ "accessPreview": { "id": "3c65eb13-6ef9-4629-8919-a32043619e6b", "analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account", "configurations": { "arn:aws:s3:::DOC-EXAMPLE-BUCKET": { "s3Bucket": { "bucketPolicy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Effect\":\"Allow\",\"Principal\":{\"AWS\":[\"arn:aws:iam::111122223333:root\"]},\"Action\":[\"s3:PutObject\",\"s3:PutObjectAcl\"],\"Resource\":\"arn:aws:s3:::DOC-EXAMPLE-BUCKET/*\"}]}", "bucketAclGrants": [ { "permission": "READ", "grantee": { "id": "79a59df900b949e55d96a1e698fbacedfd6e09d98eacf8f8d5218e7cd47ef2be" } } ], "bucketPublicAccessBlock": { "ignorePublicAcls": true, "restrictPublicBuckets": true } } } }, "createdAt": "2024-02-17T00:18:44+00:00", "status": "COMPLETED" } }
Untuk informasi selengkapnya, lihat Mempratinjau akses dengan IAM Access Analyzer APIs di AWS IAMPanduan Pengguna.
-
Untuk API detailnya, lihat GetAccessPreview
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-analyzed-resource
.
- AWS CLI
-
Untuk mengambil informasi tentang sumber daya yang dianalisis
get-analyzed-resource
Contoh berikut mengambil informasi tentang sumber daya yang dianalisis di AWS akun Anda.aws accessanalyzer get-analyzed-resource \ --analyzer-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
\ --resource-arnarn:aws:s3:::DOC-EXAMPLE-BUCKET
Output:
{ "resource": { "analyzedAt": "2024-02-15T18:01:53.002000+00:00", "isPublic": false, "resourceArn": "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "resourceOwnerAccount": "111122223333", "resourceType": "AWS::S3::Bucket" } }
Untuk informasi selengkapnya, lihat Menggunakan AWS Identity and Access Management Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat GetAnalyzedResource
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-analyzer
.
- AWS CLI
-
Untuk mengambil informasi tentang analyzer yang ditentukan
get-analyzer
Contoh berikut mengambil informasi tentang analyzer yang ditentukan di akun Anda AWS .aws accessanalyzer get-analyzer \ --analyzer-name
ConsoleAnalyzer-account
Output:
{ "analyzer": { "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account", "createdAt": "2019-12-03T07:28:17+00:00", "lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic", "lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00", "name": "ConsoleAnalyzer-account", "status": "ACTIVE", "tags": { "auto-delete": "no" }, "type": "ACCOUNT" } }
Untuk informasi selengkapnya, lihat Menggunakan AWS Identity and Access Management Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat GetAnalyzer
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-archive-rule
.
- AWS CLI
-
Untuk mengambil informasi tentang aturan arsip
get-archive-rule
Contoh berikut mengambil informasi tentang aturan arsip di AWS akun Anda.aws accessanalyzer get-archive-rule \ --analyzer-name
UnusedAccess-ConsoleAnalyzer-organization
\ --rule-nameMyArchiveRule
Output:
{ "archiveRule": { "createdAt": "2024-02-15T00:49:27+00:00", "filter": { "resource": { "contains": [ "Cognito" ] }, "resourceType": { "eq": [ "AWS::IAM::Role" ] } }, "ruleName": "MyArchiveRule", "updatedAt": "2024-02-15T00:49:27+00:00" } }
Untuk informasi selengkapnya, lihat Aturan arsip di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat GetArchiveRule
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-finding-v2
.
- AWS CLI
-
Untuk mengambil informasi tentang temuan yang ditentukan
get-finding-v2
Contoh berikut etrieves informasi tentang temuan yang ditentukan di akun Anda AWS .aws accessanalyzer get-finding-v2 \ --analyzer-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization
\ --id0910eedb-381e-4e95-adda-0d25c19e6e90
Output:
{ "findingDetails": [ { "externalAccessDetails": { "action": [ "sts:AssumeRoleWithWebIdentity" ], "condition": { "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000" }, "isPublic": false, "principal": { "Federated": "cognito-identity.amazonaws.com" } } } ], "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role", "status": "ACTIVE", "error": null, "createdAt": "2021-02-26T21:17:50.905000+00:00", "resourceType": "AWS::IAM::Role", "findingType": "ExternalAccess", "resourceOwnerAccount": "111122223333", "analyzedAt": "2024-02-16T18:17:47.888000+00:00", "id": "0910eedb-381e-4e95-adda-0d25c19e6e90", "updatedAt": "2021-02-26T21:17:50.905000+00:00" }
Untuk informasi selengkapnya, lihat Meninjau temuan di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat GetFindingV2
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-finding
.
- AWS CLI
-
Untuk mengambil informasi tentang temuan yang ditentukan
get-finding
Contoh berikut etrieves informasi tentang temuan yang ditentukan di akun Anda AWS .aws accessanalyzer get-finding \ --analyzer-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization
\ --id0910eedb-381e-4e95-adda-0d25c19e6e90
Output:
{ "finding": { "id": "0910eedb-381e-4e95-adda-0d25c19e6e90", "principal": { "Federated": "cognito-identity.amazonaws.com" }, "action": [ "sts:AssumeRoleWithWebIdentity" ], "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role", "isPublic": false, "resourceType": "AWS::IAM::Role", "condition": { "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000" }, "createdAt": "2021-02-26T21:17:50.905000+00:00", "analyzedAt": "2024-02-16T18:17:47.888000+00:00", "updatedAt": "2021-02-26T21:17:50.905000+00:00", "status": "ACTIVE", "resourceOwnerAccount": "111122223333" } }
Untuk informasi selengkapnya, lihat Meninjau temuan di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat GetFinding
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanget-generated-policy
.
- AWS CLI
-
Untuk mengambil kebijakan yang dihasilkan menggunakan `` StartPolicyGeneration API
get-generated-policy
Contoh berikut mengambil kebijakan yang dibuat menggunakan StartPolicyGeneration API di AWS akun Anda.aws accessanalyzer get-generated-policy \ --job-id
c557dc4a-0338-4489-95dd-739014860ff9
Output:
{ "generatedPolicyResult": { "generatedPolicies": [ { "policy": "{\"Version\":\"2012-10-17\",\"Statement\":[{\"Sid\":\"SupportedServiceSid0\",\"Effect\":\"Allow\",\"Action\":[\"access-analyzer:GetAnalyzer\",\"access-analyzer:ListAnalyzers\",\"access-analyzer:ListArchiveRules\",\"access-analyzer:ListFindings\",\"cloudtrail:DescribeTrails\",\"cloudtrail:GetEventDataStore\",\"cloudtrail:GetEventSelectors\",\"cloudtrail:GetInsightSelectors\",\"cloudtrail:GetTrailStatus\",\"cloudtrail:ListChannels\",\"cloudtrail:ListEventDataStores\",\"cloudtrail:ListQueries\",\"cloudtrail:ListTags\",\"cloudtrail:LookupEvents\",\"ec2:DescribeRegions\",\"iam:GetAccountSummary\",\"iam:GetOpenIDConnectProvider\",\"iam:GetRole\",\"iam:ListAccessKeys\",\"iam:ListAccountAliases\",\"iam:ListOpenIDConnectProviders\",\"iam:ListRoles\",\"iam:ListSAMLProviders\",\"kms:ListAliases\",\"s3:GetBucketLocation\",\"s3:ListAllMyBuckets\"],\"Resource\":\"*\"}]}" } ], "properties": { "cloudTrailProperties": { "endTime": "2024-02-14T22:44:40+00:00", "startTime": "2024-02-13T00:30:00+00:00", "trailProperties": [ { "allRegions": true, "cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail", "regions": [] } ] }, "isComplete": false, "principalArn": "arn:aws:iam::111122223333:role/Admin" } }, "jobDetails": { "completedOn": "2024-02-14T22:47:01+00:00", "jobId": "c557dc4a-0338-4489-95dd-739014860ff9", "startedOn": "2024-02-14T22:44:41+00:00", "status": "SUCCEEDED" } }
Untuk informasi selengkapnya, lihat Pembuatan kebijakan IAM Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat GetGeneratedPolicy
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-access-preview-findings
.
- AWS CLI
-
Untuk mengambil daftar temuan pratinjau akses yang dihasilkan oleh pratinjau akses yang ditentukan
list-access-preview-findings
Contoh berikut mengambil daftar temuan pratinjau akses yang dihasilkan oleh pratinjau akses yang ditentukan di AWS akun Anda.aws accessanalyzer list-access-preview-findings \ --access-preview-id
3c65eb13-6ef9-4629-8919-a32043619e6b
\ --analyzer-arnarn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
Output:
{ "findings": [ { "id": "e22fc158-1c87-4c32-9464-e7f405ce8d74", "principal": { "AWS": "111122223333" }, "action": [ "s3:PutObject", "s3:PutObjectAcl" ], "condition": {}, "resource": "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "isPublic": false, "resourceType": "AWS::S3::Bucket", "createdAt": "2024-02-17T00:18:46+00:00", "changeType": "NEW", "status": "ACTIVE", "resourceOwnerAccount": "111122223333", "sources": [ { "type": "POLICY" } ] } ] }
Untuk informasi selengkapnya, lihat Mempratinjau akses dengan IAM Access Analyzer APIs di AWS IAMPanduan Pengguna.
-
Untuk API detailnya, lihat ListAccessPreviewFindings
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-access-previews
.
- AWS CLI
-
Untuk mengambil daftar pratinjau akses untuk analyzer yang ditentukan
list-access-previews
Contoh berikut mengambil daftar pratinjau akses untuk analyzer yang ditentukan di akun Anda. AWSaws accessanalyzer list-access-previews \ --analyzer-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
Output:
{ "accessPreviews": [ { "id": "3c65eb13-6ef9-4629-8919-a32043619e6b", "analyzerArn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account", "createdAt": "2024-02-17T00:18:44+00:00", "status": "COMPLETED" } ] }
Untuk informasi selengkapnya, lihat Mempratinjau akses dengan IAM Access Analyzer APIs di AWS IAMPanduan Pengguna.
-
Untuk API detailnya, lihat ListAccessPreviews
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-analyzed-resources
.
- AWS CLI
-
Untuk daftar widget yang tersedia
list-analyzed-resources
Contoh berikut mencantumkan widget yang tersedia di AWS akun Anda.aws accessanalyzer list-analyzed-resources \ --analyzer-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
\ --resource-typeAWS::IAM::Role
Output:
{ "analyzedResources": [ { "resourceArn": "arn:aws:sns:us-west-2:111122223333:Validation-Email", "resourceOwnerAccount": "111122223333", "resourceType": "AWS::SNS::Topic" }, { "resourceArn": "arn:aws:sns:us-west-2:111122223333:admin-alerts", "resourceOwnerAccount": "111122223333", "resourceType": "AWS::SNS::Topic" }, { "resourceArn": "arn:aws:sns:us-west-2:111122223333:config-topic", "resourceOwnerAccount": "111122223333", "resourceType": "AWS::SNS::Topic" }, { "resourceArn": "arn:aws:sns:us-west-2:111122223333:inspector-topic", "resourceOwnerAccount": "111122223333", "resourceType": "AWS::SNS::Topic" } ] }
Untuk informasi selengkapnya, lihat Menggunakan AWS Identity and Access Management Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat ListAnalyzedResources
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-analyzers
.
- AWS CLI
-
Untuk mengambil daftar analisa
list-analyzers
Contoh berikut mengambil daftar analisa di akun Anda AWS .aws accessanalyzer list-analyzers
Output:
{ "analyzers": [ { "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization", "createdAt": "2024-02-15T00:46:40+00:00", "name": "UnusedAccess-ConsoleAnalyzer-organization", "status": "ACTIVE", "tags": { "auto-delete": "no" }, "type": "ORGANIZATION_UNUSED_ACCESS" }, { "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-organization", "createdAt": "2020-04-25T07:43:28+00:00", "lastResourceAnalyzed": "arn:aws:s3:::DOC-EXAMPLE-BUCKET", "lastResourceAnalyzedAt": "2024-02-15T21:51:56.517000+00:00", "name": "ConsoleAnalyzer-organization", "status": "ACTIVE", "tags": { "auto-delete": "no" }, "type": "ORGANIZATION" }, { "arn": "arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account", "createdAt": "2019-12-03T07:28:17+00:00", "lastResourceAnalyzed": "arn:aws:sns:us-west-2:111122223333:config-topic", "lastResourceAnalyzedAt": "2024-02-15T18:01:53.003000+00:00", "name": "ConsoleAnalyzer-account", "status": "ACTIVE", "tags": { "auto-delete": "no" }, "type": "ACCOUNT" } ] }
Untuk informasi selengkapnya, lihat Menggunakan AWS Identity and Access Management Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat ListAnalyzers
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-archive-rules
.
- AWS CLI
-
Untuk mengambil daftar aturan arsip yang dibuat untuk analyzer yang ditentukan
list-archive-rules
Contoh berikut mengambil daftar aturan arsip yang dibuat untuk analyzer yang ditentukan di akun Anda AWS .aws accessanalyzer list-archive-rules \ --analyzer-name
UnusedAccess-ConsoleAnalyzer-organization
Output:
{ "archiveRules": [ { "createdAt": "2024-02-15T00:49:27+00:00", "filter": { "resource": { "contains": [ "Cognito" ] }, "resourceType": { "eq": [ "AWS::IAM::Role" ] } }, "ruleName": "MyArchiveRule", "updatedAt": "2024-02-15T00:49:27+00:00" }, { "createdAt": "2024-02-15T23:27:45+00:00", "filter": { "findingType": { "eq": [ "UnusedIAMUserAccessKey" ] } }, "ruleName": "ArchiveRule-56125a39-e517-4ff8-afb1-ef06f58db612", "updatedAt": "2024-02-15T23:27:45+00:00" } ] }
Untuk informasi selengkapnya, lihat Menggunakan AWS Identity and Access Management Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat ListArchiveRules
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-findings-v2
.
- AWS CLI
-
Untuk mengambil daftar temuan yang dihasilkan oleh penganalisis yang ditentukan
list-findings-v2
Contoh berikut mengambil daftar temuan yang dihasilkan oleh penganalisis yang ditentukan di akun Anda AWS . Contoh ini memfilter hasil untuk menyertakan hanya IAM peran yang namanya berisiCognito
.aws accessanalyzer list-findings-v2 \ --analyzer-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
\ --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}
'Output:
{ "findings": [ { "analyzedAt": "2024-02-16T18:17:47.888000+00:00", "createdAt": "2021-02-26T21:17:24.710000+00:00", "id": "597f3bc2-3adc-4c18-9879-5c4b23485e46", "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role", "resourceType": "AWS::IAM::Role", "resourceOwnerAccount": "111122223333", "status": "ACTIVE", "updatedAt": "2021-02-26T21:17:24.710000+00:00", "findingType": "ExternalAccess" }, { "analyzedAt": "2024-02-16T18:17:47.888000+00:00", "createdAt": "2021-02-26T21:17:50.905000+00:00", "id": "ce0e221a-85b9-4d52-91ff-d7678075442f", "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role", "resourceType": "AWS::IAM::Role", "resourceOwnerAccount": "111122223333", "status": "ACTIVE", "updatedAt": "2021-02-26T21:17:50.905000+00:00", "findingType": "ExternalAccess" } ] }
Untuk informasi selengkapnya, lihat Menggunakan AWS Identity and Access Management Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat ListFindingsV2
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-findings
.
- AWS CLI
-
Untuk mengambil daftar temuan yang dihasilkan oleh penganalisis yang ditentukan
list-findings
Contoh berikut mengambil daftar temuan yang dihasilkan oleh penganalisis yang ditentukan di akun Anda AWS . Contoh ini memfilter hasil untuk menyertakan hanya IAM peran yang namanya berisiCognito
.aws accessanalyzer list-findings \ --analyzer-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
\ --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}
'Output:
{ "findings": [ { "id": "597f3bc2-3adc-4c18-9879-5c4b23485e46", "principal": { "Federated": "cognito-identity.amazonaws.com" }, "action": [ "sts:AssumeRoleWithWebIdentity" ], "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolUnauth_Role", "isPublic": false, "resourceType": "AWS::IAM::Role", "condition": { "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000" }, "createdAt": "2021-02-26T21:17:24.710000+00:00", "analyzedAt": "2024-02-16T18:17:47.888000+00:00", "updatedAt": "2021-02-26T21:17:24.710000+00:00", "status": "ACTIVE", "resourceOwnerAccount": "111122223333" }, { "id": "ce0e221a-85b9-4d52-91ff-d7678075442f", "principal": { "Federated": "cognito-identity.amazonaws.com" }, "action": [ "sts:AssumeRoleWithWebIdentity" ], "resource": "arn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role", "isPublic": false, "resourceType": "AWS::IAM::Role", "condition": { "cognito-identity.amazonaws.com:aud": "us-west-2:EXAMPLE0-0000-0000-0000-000000000000" }, "createdAt": "2021-02-26T21:17:50.905000+00:00", "analyzedAt": "2024-02-16T18:17:47.888000+00:00", "updatedAt": "2021-02-26T21:17:50.905000+00:00", "status": "ACTIVE", "resourceOwnerAccount": "111122223333" } ] }
Untuk informasi selengkapnya, lihat Menggunakan AWS Identity and Access Management Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat ListFindings
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-policy-generations
.
- AWS CLI
-
Untuk membuat daftar semua generasi kebijakan yang diminta dalam tujuh hari terakhir
list-policy-generations
Contoh berikut mencantumkan semua generasi kebijakan yang diminta dalam tujuh hari terakhir di AWS akun Anda.aws accessanalyzer list-policy-generations
Output:
{ "policyGenerations": [ { "completedOn": "2024-02-14T23:43:38+00:00", "jobId": "923a56b0-ebb8-4e80-8a3c-a11ccfbcd6f2", "principalArn": "arn:aws:iam::111122223333:role/Admin", "startedOn": "2024-02-14T23:43:02+00:00", "status": "CANCELED" }, { "completedOn": "2024-02-14T22:47:01+00:00", "jobId": "c557dc4a-0338-4489-95dd-739014860ff9", "principalArn": "arn:aws:iam::111122223333:role/Admin", "startedOn": "2024-02-14T22:44:41+00:00", "status": "SUCCEEDED" } ] }
Untuk informasi selengkapnya, lihat Pembuatan kebijakan IAM Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat ListPolicyGenerations
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanlist-tags-for-resource
.
- AWS CLI
-
Untuk mengambil daftar tag yang diterapkan ke sumber daya yang ditentukan
list-tags-for-resource
Contoh berikut mengambil daftar tag yang diterapkan ke sumber daya yang ditentukan di AWS akun Anda.aws accessanalyzer list-tags-for-resource \ --resource-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
Output:
{ "tags": { "Zone-of-trust": "Account", "Name": "ConsoleAnalyzer" } }
Untuk informasi selengkapnya, lihat Pembuatan kebijakan IAM Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat ListTagsForResource
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanstart-policy-generation
.
- AWS CLI
-
Untuk memulai permintaan pembuatan kebijakan
start-policy-generation
Contoh berikut memulai permintaan pembuatan kebijakan di AWS akun Anda.aws accessanalyzer start-policy-generation \ --policy-generation-details '
{"principalArn":"arn:aws:iam::111122223333:role/Admin"}
' \ --cloud-trail-detailsfile://myfile.json
Isi dari
myfile.json
:{ "accessRole": "arn:aws:iam::111122223333:role/service-role/AccessAnalyzerMonitorServiceRole", "startTime": "2024-02-13T00:30:00Z", "trails": [ { "allRegions": true, "cloudTrailArn": "arn:aws:cloudtrail:us-west-2:111122223333:trail/my-trail" } ] }
Output:
{ "jobId": "c557dc4a-0338-4489-95dd-739014860ff9" }
Untuk informasi selengkapnya, lihat Pembuatan kebijakan IAM Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat StartPolicyGeneration
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanstart-resource-scan
.
- AWS CLI
-
Untuk segera memulai pemindaian kebijakan yang diterapkan ke sumber daya yang ditentukan
start-resource-scan
Contoh berikut mmediately memulai pemindaian kebijakan yang diterapkan ke sumber daya yang ditentukan di akun Anda AWS .aws accessanalyzer start-resource-scan \ --analyzer-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
\ --resource-arnarn:aws:iam::111122223333:role/Cognito_testpoolAuth_Role
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Pembuatan kebijakan IAM Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat StartResourceScan
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakantag-resource
.
- AWS CLI
-
Untuk menambahkan tag ke sumber daya yang ditentukan
tag-resource
Contoh berikut menambahkan tag ke sumber daya yang ditentukan di AWS akun Anda.aws accessanalyzer tag-resource \ --resource-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
\ --tagsEnvironment=dev,Purpose=testing
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Menggunakan AWS Identity and Access Management Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat TagResource
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanuntag-resource
.
- AWS CLI
-
Untuk menghapus tag dari sumber daya yang ditentukan
untag-resource
Contoh berikut menghapus tag dari sumber daya yang ditentukan di AWS akun Anda.aws accessanalyzer untag-resource \ --resource-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/ConsoleAnalyzer-account
\ --tag-keysEnvironment
Purpose
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Menggunakan AWS Identity and Access Management Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat UntagResource
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-archive-rule
.
- AWS CLI
-
Untuk memperbarui kriteria dan nilai untuk aturan arsip yang ditentukan
update-archive-rule
Contoh berikut memperbarui kriteria dan nilai untuk aturan arsip yang ditentukan di AWS akun Anda.aws accessanalyzer update-archive-rule \ --analyzer-name
UnusedAccess-ConsoleAnalyzer-organization
\ --rule-nameMyArchiveRule
\ --filter '{"resource": {"contains": ["Cognito"]}, "resourceType": {"eq": ["AWS::IAM::Role"]}}
'Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Aturan arsip di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat UpdateArchiveRule
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanupdate-findings
.
- AWS CLI
-
Untuk memperbarui status temuan yang ditentukan
update-findings
Contoh berikut memperbarui status untuk temuan yang ditentukan di AWS akun Anda.aws accessanalyzer update-findings \ --analyzer-arn
arn:aws:access-analyzer:us-west-2:111122223333:analyzer/UnusedAccess-ConsoleAnalyzer-organization
\ --ids4f319ac3-2e0c-4dc4-bf51-7013a086b6ae
780d586a-2cce-4f72-aff6-359d450e7500
\ --statusARCHIVED
Perintah ini tidak menghasilkan output.
Untuk informasi selengkapnya, lihat Menggunakan AWS Identity and Access Management Access Analyzer di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat UpdateFindings
di Referensi AWS CLI Perintah.
-
Contoh kode berikut menunjukkan cara menggunakanvalidate-policy
.
- AWS CLI
-
Untuk meminta validasi kebijakan dan mengembalikan daftar temuan
validate-policy
Contoh berikut meminta validasi kebijakan dan mengembalikan daftar temuan. Kebijakan dalam contoh adalah kebijakan kepercayaan peran untuk peran Amazon Cognito yang digunakan untuk federasi identitas web. Temuan yang dihasilkan dari kebijakan kepercayaan berhubungan dengan nilaiSid
elemen kosong dan prinsip kebijakan yang tidak cocok karena tindakan peran asumsi yang salah digunakan,.sts:AssumeRole
Tindakan peran asumsi yang benar untuk digunakan dengan Cognito adalah.sts:AssumeRoleWithWebIdentity
aws accessanalyzer validate-policy \ --policy-document
file://myfile.json
\ --policy-typeRESOURCE_POLICY
Isi dari
myfile.json
:{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Federated": "cognito-identity.amazonaws.com" }, "Action": [ "sts:AssumeRole", "sts:TagSession" ], "Condition": { "StringEquals": { "cognito-identity.amazonaws.com:aud": "us-west-2_EXAMPLE" } } } ] }
Output:
{ "findings": [ { "findingDetails": "Add a value to the empty string in the Sid element.", "findingType": "SUGGESTION", "issueCode": "EMPTY_SID_VALUE", "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-suggestion-empty-sid-value", "locations": [ { "path": [ { "value": "Statement" }, { "index": 0 }, { "value": "Sid" } ], "span": { "end": { "column": 21, "line": 5, "offset": 81 }, "start": { "column": 19, "line": 5, "offset": 79 } } } ] }, { "findingDetails": "The sts:AssumeRole action is invalid with the following principal(s): cognito-identity.amazonaws.com. Use a SAML provider principal with the sts:AssumeRoleWithSAML action or use an OIDC provider principal with the sts:AssumeRoleWithWebIdentity action. Ensure the provider is Federated if you use either of the two options.", "findingType": "ERROR", "issueCode": "MISMATCHED_ACTION_FOR_PRINCIPAL", "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-mismatched-action-for-principal", "locations": [ { "path": [ { "value": "Statement" }, { "index": 0 }, { "value": "Action" }, { "index": 0 } ], "span": { "end": { "column": 32, "line": 11, "offset": 274 }, "start": { "column": 16, "line": 11, "offset": 258 } } }, { "path": [ { "value": "Statement" }, { "index": 0 }, { "value": "Principal" }, { "value": "Federated" } ], "span": { "end": { "column": 61, "line": 8, "offset": 202 }, "start": { "column": 29, "line": 8, "offset": 170 } } } ] }, { "findingDetails": "The following actions: sts:TagSession are not supported by the condition key cognito-identity.amazonaws.com:aud. The condition will not be evaluated for these actions. We recommend that you move these actions to a different statement without this condition key.", "findingType": "ERROR", "issueCode": "UNSUPPORTED_ACTION_FOR_CONDITION_KEY", "learnMoreLink": "https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-reference-policy-checks.html#access-analyzer-reference-policy-checks-error-unsupported-action-for-condition-key", "locations": [ { "path": [ { "value": "Statement" }, { "index": 0 }, { "value": "Action" }, { "index": 1 } ], "span": { "end": { "column": 32, "line": 12, "offset": 308 }, "start": { "column": 16, "line": 12, "offset": 292 } } }, { "path": [ { "value": "Statement" }, { "index": 0 }, { "value": "Condition" }, { "value": "StringEquals" }, { "value": "cognito-identity.amazonaws.com:aud" } ], "span": { "end": { "column": 79, "line": 16, "offset": 464 }, "start": { "column": 58, "line": 16, "offset": 443 } } } ] } ] }
Untuk informasi selengkapnya, lihat Memeriksa untuk memvalidasi kebijakan di Panduan AWS IAM Pengguna.
-
Untuk API detailnya, lihat ValidatePolicy
di Referensi AWS CLI Perintah.
-