解決 IAM Access Analyzer 調查結果 - AWS Identity and Access Management
解決外部存取權調查結果解決未使用的存取權調查結果

解決 IAM Access Analyzer 調查結果

解決外部存取權調查結果

若要解決從您不打算允許的存取權產生的外部存取權調查結果,您應該修改政策陳述式,移除允許存取所識別資源的許可。

關於與 Amazon S3 儲存貯體有關的調查結果,請使用 Amazon S3 主控台來設定該儲存貯體的許可。

若是 IAM 角色,請使用 IAM 主控台來修改所列出之 IAM 角色的信任政策

關於其他支援的資源,請使用主控台來修改產生調查結果的政策陳述式。

進行變更以解決外部存取權調查結果後 (例如修正套用至 IAM 角色的政策),IAM Access Analyzer 會再次掃描資源。若資源不再於信任區域外共用,則調查結果的狀態會變更為已解決。然後,調查結果將顯示在已解決的調查結果清單,而不是作用中的調查結果清單中。

注意

上述內容不適用於錯誤調查結果。當 IAM Access Analyzer 無法分析資源時,就會產生錯誤調查結果。如果您解決了導致 IAM Access Analyzer 無法分析資源的問題,錯誤調查結果就會完全移除,而不是變更為已解決的調查結果。

若您進行的變更使得資源以另一種方式 (如不同主體或不同許可) 在信任區域外共用,則 IAM Access Analyzer 會產生新的作用中調查結果。

注意

修改政策後,IAM Access Analyzer 至多可能需要 30 分鐘才能再次分析資源並更新問題清單。已解決的問題清單會在最後更新至問題清單狀態的 90 天後刪除。

解決未使用的存取權調查結果

IAM Access Analyzer 提供建議的步驟,根據調查結果類型來解決未使用的存取權分析器調查結果。

在您進行變更以解決未使用的存取權調查結果之後,下次執行未使用的存取權分析器時,調查結果的狀態會變更為已解決。該調查結果不會再出現於作用中調查結果清單中,而是會顯示在已解決調查結果清單內。如果您進行的變更僅部分解決未使用的存取權調查結果,現有的調查結果會變更為已解決,但會產生新的調查結果。例如,如果您只移除調查結果中部分未使用的許可,而非所有未使用的許可。

IAM Access Analyzer 會根據每月分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價

解決未使用的許可調查結果

對於未使用的許可調查結果,IAM Access Analyzer 可以建議從 IAM 使用者或角色中移除政策,並提供新政策來取代現有的許可政策。下列案例不支援政策建議:

  • 未使用的許可調查結果針對在使用者群組中的 IAM 使用者。

  • 未使用的許可調查結果針對 IAM Identity Center 的 IAM 角色。

  • 未使用的許可調查結果具有包含 notAction 元素的現有許可政策。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取權

  3. 選擇一個調查結果類型未使用的許可的調查結果。

  4. 建議區段中,如果有在建議的政策欄中列出的政策,請選擇預覽政策以檢視具有建議政策的現有政策,以取代現有政策。如果有多個建議的政策,您可以選擇下一個政策上一個政策來檢視每個現有的和建議的政策。

  5. 選擇下載 JSON 以下載 .zip 檔案,其中包含所有建議政策的 JSON 檔案。

  6. 建立建議的政策並將其連接至 IAM 使用者或角色。如需詳細資訊,請參閱 Changing permissions for a user (console)Modifying a role permissions policy (console)

  7. 從 IAM 使用者或角色移除現有的許可政策欄中列出的政策。如需詳細資訊,請參閱 Removing a permissions from a user (console)Modifying a role permissions policy (console)

解決未使用的角色調查結果

對於未使用的角色調查結果,IAM Access Analyzer 建議刪除未使用的 IAM 角色。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取權

  3. 選擇一個調查結果類型未使用的角色的調查結果。

  4. 建議區段中,檢閱 IAM 角色的詳細資訊。

  5. 刪除 IAM 角色。如需詳細資訊,請參閱刪除 IAM 角色 (主控台)

解決未使用的存取金鑰調查結果

對於未使用的存取金鑰調查結果,IAM Access Analyzer 建議停用或刪除未使用的存取金鑰。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取權

  3. 選擇一個調查結果類型未使用的存取金鑰的調查結果。

  4. 建議區段中,檢閱存取金鑰的詳細資訊。

  5. 停用或刪除存取金鑰 如需詳細資訊,請參閱管理存取金鑰 (控制台)

解決未使用的密碼調查結果

對於未使用的密碼調查結果,IAM Access Analyzer 建議刪除 IAM 使用者的未使用密碼。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取權

  3. 選擇一個調查結果類型未使用的密碼的調查結果。

  4. 建議區段中,檢閱 IAM 使用者的詳細資訊。

  5. 刪除 IAM 使用者的密碼。如需詳細資訊,請參閱建立、變更或刪除 IAM 使用者密碼 (主控台)