本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
封存規則
存檔規則會自動存檔新的問題清單,這些問題清單都符合您建立規則時所定義的條件。您也可以追溯套用封存規則,以封存符合封存規則條件的現有問題清單。例如,您可以建立封存規則,以針對您定期授予存取權的特定 Amazon S3 儲存貯體,自動封存任何調查結果。或者,如果您將多個資源的存取權授與特定主體,則可以建立規則,自動存檔任何新問題清單,這些問題清單都是為授與該主體的存取權而產生。這可讓您只專注於可能表示安全性風險的作用中問題清單。
建立存檔規則時,系統只會自動存檔符合規則條件的新問題清單。系統不會自動存檔現有的問題清單。建立規則時,您最多可以為規則中的每個條件加入 20 個值。如需可用來建立或更新存檔規則的篩選鍵清單,請參閱 IAM Access Analyzer 篩選鍵。
注意
建立或編輯封存規則時,IAM Access Analyzer 不會驗證您在規則篩選條件中包含的值。例如,如果您新增規則以比對 AWS 帳戶,即使該值不是有效的 AWS 帳戶號碼,IAM Access Analyzer 仍會接受欄位中的任何值。
建立存檔規則
前往網址 https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
選擇 Access Analyzer,然後選擇分析器設定。
-
在分析器區段中,選擇您要建立封存規則的分析器。
-
在封存規則索引標籤上,選擇建立封存規則。
-
如果要變更預設名稱,請輸入規則的名稱。
-
Rule (規則) 區段中 Criteria (條件) 下,選取要與規則比對的屬性。
-
選擇屬性值的條件,例如包含、是或不等於。
可用的運算子取決於您選擇的屬性。
-
為屬性新增其他值,或為規則新增其他條件 (非必要)。針對外部存取權調查結果,若要確保規則不會封存公開存取權的新調查結果,您也可以包含公開存取權條件並設為 false。
若要為條件新增另一個值,請選擇 Add another value (新增另一個值)。若要為規則新增其他條件,請選擇新增。
-
當您完成新增條件和值時,請選擇 Create rule (建立規則),以將規則僅套用至新的問題清單。選擇 Create and archive active findings (建立並封存作用中的問題清單),以根據規則條件來封存新的和現有的問題清單。在 Results (結果) 區段中,您可以檢閱封存規則所套用之作用中問題清單的清單。
例如,若要建立為 Amazon S3 儲存貯體自動封存所有調查結果的規則:選擇資源類型,然後選擇是 條件。接下來,從值清單中選擇 S3 儲存貯體。
若要針對未使用的存取權調查結果建立規則,以自動封存特定帳戶的所有調查結果,請選擇資源擁有者帳戶,然後選擇等於條件。在 [值] 文字方塊中輸入 AWS 帳戶 ID。
繼續定義條件以自訂適合您環境的規則,然後選擇建立規則。
如果您要建立新規則並新增多個條件,您可以透過選擇 Remove this criterion (移除此條件) 來從規則中移除單一條件。您可以透過選擇 Remove value (移除值) 來移除為條件新增的值。
編輯存檔規則
-
在名稱欄中選擇要編輯的規則之名稱。
您一次只能編輯一個存檔規則。
-
為每個條件新增準則或移除現有準則和值。
-
選擇 Save changes (儲存變更),將規則僅套用至新的問題清單。選擇 Save and archive active findings (儲存並封存作用中的問題清單),以根據規則條件來封存新的和現有的問題清單。
刪除存檔規則
-
選擇您要刪除的規則之核取方塊。
-
選擇刪除。
-
在 Delete archive rule (刪除存檔規則) 確認對話方塊中輸入
delete
,然後選擇 Delete (刪除)。
系統僅會在目前區域中將這些規則從分析器中刪除。您必須為您在其他區域中建立的每個分析器分別刪除存檔規則。