解决 IAM Access Analyzer 调查发现 - AWS Identity and Access Management

解决 IAM Access Analyzer 调查发现

解决外部访问调查发现

为了解决从意外访问生成的外部访问调查发现,您应该修改策略语句以删除允许访问已识别资源的权限。

对于与 Amazon S3 存储桶相关的调查发现,请使用 Amazon S3 控制台配置该存储桶的权限。

对于 IAM 角色,请使用 IAM 控制台为列出的 IAM 角色修改信任策略

对于其他受支持的资源,请使用控制台修改导致生成的调查发现的策略语句。

在进行更改以解决外部访问调查发现后,例如修改应用于 IAM 角色的策略,IAM Access Analyzer 将再次扫描资源。如果资源不再在信任区域之外共享,则调查发现的状态将变为已解决。调查发现随后将显示在已解决的调查发现列表中,而不是活动调查发现列表中。

注意

这不适用于错误调查发现。当 IAM Access Analyzer 无法分析某个资源时,它将生成一个错误调查发现。如果已解决导致 IAM Access Analyzer 无法分析该资源的问题,则错误调查发现将被完全移除,而不是变为已解决的调查发现。

如果所做的更改导致资源在信任区域之外通过其他方式进行共享(例如,通过不同的主体或其他权限),则 IAM Access Analyzer 将生成新的活动调查发现。

注意

在修改策略后,IAM Access Analyzer 可能最多需要 30 分钟来再次分析资源并更新结果。已解决的结果将在上次更新到查找状态后 90 天被删除。

解决未使用访问调查发现

IAM Access Analyzer 会根据调查发现的类型提供解决未使用访问分析器调查发现的建议步骤。

在进行更改以解决未使用的访问调查发现后,下次运行未使用的访问分析器时,调查发现的状态将变为已解决。调查发现不再显示在活动调查发现列表中,而是显示在已解决的调查发现列表中。如果您所做的更改仅部分解决了未使用的访问调查发现,则现有调查发现将变为已解决,但会生成新的调查发现。例如,如果仅删除调查发现中部分未使用的权限,而不是全部。

IAM Access Analyzer 根据每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价

解决未使用的权限调查发现问题

对于未使用的权限调查发现,IAM Access Analyzer 可以建议要从 IAM 用户或角色中移除的策略,并提供新的策略来替换现有权限策略。以下情况不支持策略建议:

  • 未使用的权限调查发现适用于用户组中的 IAM 用户。

  • 未使用的权限调查发现适用于 IAM Identity Center 的 IAM 角色。

  • 未使用的权限调查发现具有包含 notAction 元素的现有权限策略。

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 选择未使用的访问

  3. 选择调查发现类型未使用的权限的调查发现。

  4. 建议部分,如果建议的策略列中列出了策略,请选择预览策略以查看现有策略,并使用建议的策略来替换现有策略。如果有多个建议的策略,则可以选择下一个策略上一个策略来查看每个现有策略和建议的策略。

  5. 选择下载 JSON下载一个 .zip 文件,其中包含所有建议策略的 JSON 文件。

  6. 创建建议的策略并将其附加到 IAM 用户或角色。有关更多信息,请参阅更改用户的权限(控制台)修改角色权限策略(控制台)

  7. 从 IAM 用户或角色中移除现有权限策略列中列出的策略。有关更多信息,请参阅从用户删除权限(控制台)修改角色权限策略(控制台)

解决未使用的角色调查发现问题

对于未使用的角色调查发现,IAM Access Analyzer 建议删除未使用的 IAM 角色。

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 选择未使用的访问

  3. 选择调查发现类型未使用的角色的调查发现。

  4. 建议部分,查看 IAM 角色的详细信息。

  5. 删除 IAM 角色。有关更多信息,请参阅删除 IAM 角色(控制台)

解决未使用的访问密钥调查发现问题

对于未使用的访问密钥调查发现,IAM Access Analyzer 建议停用或删除未使用的访问密钥。

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 选择未使用的访问

  3. 选择调查发现类型未使用的访问密钥的调查发现。

  4. 建议部分,查看访问密钥的详细信息。

  5. 停用或删除访问密钥。有关更多信息,请参阅管理访问密钥(控制台)

解决未使用的密码调查发现问题

对于未使用的密码调查发现,IAM Access Analyzer 建议删除 IAM 用户未使用的密码。

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 选择未使用的访问

  3. 选择调查发现类型未使用的密码的调查发现。

  4. 建议部分,查看 IAM 用户的详细信息。

  5. 删除 IAM 用户的密码。有关更多信息,请参阅创建、更改或删除 IAM 用户密码(控制台)