解決問題清單 - AWS Identity and Access Management
外部存取權調查結果未使用的存取權調查結果

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

解決問題清單

外部存取權調查結果

若您不打算允許某個存取權,且希望解決其產生的外部存取權調查結果,請修改政策陳述式,移除允許存取所識別資源的許可。例如,若 Amazon S3 儲存貯體出現調查結果,請使用 Amazon S3 主控台來設定該儲存貯體的許可。若是 IAM 角色,請使用 IAM 主控台來修改所列出之 IAM 角色的信任政策。關於其他支援的資源,請使用主控台來修改產生問題清單的政策陳述式。

進行變更來解決外部存取權調查結果後 (例如修正套用至 IAM 角色的政策),IAM Access Analyzer 會再次掃描資源。若資源不再於信任區域外共用,則問題清單的狀態會變更為已解決。該調查結果不會再出現於作用中調查結果清單中,而是會顯示在已解決調查結果清單內。

注意

上述內容不適用於錯誤調查結果。當 IAM Access Analyzer 無法分析資源時,就會產生錯誤問題清單。如果您解決了 IAM Access Analyzer 無法分析資源的問題,錯誤問題清單就會完全移除,而不是變更為已解決的問題清單。

若您進行的變更使得資源以另一種方式 (如不同主體或不同許可) 在信任區域外共用,則 IAM Access Analyzer 會產生新的作用中問題清單。

注意

修改政策後,IAM Access Analyzer 至多可能需要 30 分鐘才能再次分析資源並更新問題清單。已解決的問題清單會在最後更新至問題清單狀態的 90 天後刪除。

未使用的存取權調查結果

針對未使用的存取分析器發現項目,IAM Access Analyzer 會根據發現項目類型提供建議的步驟來解決發現項目。

在您進行變更以解決未使用的存取權調查結果之後,下次執行未使用的存取權分析器時,調查結果的狀態會變更為已解決。發現項目不會再顯示在作用中的發現項目清單中,而是會顯示在已解析的發現項目清單中。如果您進行的變更僅部分解決未使用的存取權調查結果,現有的調查結果會變更為已解決,但會產生新的調查結果。例如,您只移除調查結果中部分未使用的許可,而非所有未使用的許可。

IAM Access Analyzer 會根據每月分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價

解決未使用的權限發

對於未使用的權限發現,IAM Access Analyzer 可以建議從 IAM 使用者或角色移除政策,並提供新政策來取代現有許可政策。下列案例不支援原則建議:

  • 未使用的權限尋找項目適用於使用者群組中的 IAM 使用者。

  • 未使用的權限尋找項目適用於 IAM 身分中心的 IAM 角色。

  • 未使用的權限尋找項目具有包含notAction元素的現有權限原則。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 選擇「尋找項目」類型為「未使用」權限的發現項目

  4. 在 [建議] 段落中,如果 [建議的原則] 資料欄中列出原則,請選擇預覽原則,以建議的原則來檢視現有原則以取代現有原則的建議原則。如果有多個建議的原則,您可以選擇 [下一個原則] 和 [上一個原則] 來檢視每個現有和建議的原則。

  5. 選擇 [下載 JSON] 以下載包含所有建議政策之 JSON 檔案的 .zip 檔案。

  6. 建立建議的政策,並將其附加到 IAM 使用者或角色。如需詳細資訊,請參閱變更使用者的權限 (主控台)修改角色權限原則 (主控台)

  7. 從 IAM 使用者或角色移除 [現有許可政策] 欄中列出的政策。如需詳細資訊,請參閱移除使用者的權限 (主控台)修改角色權限原則 (主控台)

解決未使用角色發現

對於未使用的角色發現,IAM 存取分析器建議刪除未使用的 IAM 角色。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 選擇「搜尋結果」類型為「未使用」角色的搜尋結果

  4. 在「建議」區段中,檢閱 IAM 角色的詳細資料。

  5. 刪除 IAM 角色。如需詳細資訊,請參閱刪除 IAM 角色 (主控台)

解決未使用的存取鍵發現

對於未使用的存取金鑰發現項目,IAM Access Analyzer 建議停用或刪除未使用的存取金鑰。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 使用「尋找項目」類型的「未使用的存取金鑰」選擇一個

  4. 在「建議」段落中,檢閱存取金鑰的詳細資訊。

  5. 停用或刪除存取金鑰。如需詳細資訊,請參閱管理存取金鑰 (主控台)

解決未使用密碼發現

針對未使用的密碼發現項目,IAM 存取分析器建議刪除 IAM 使用者未使用的密碼。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 選擇「尋找項目」類型為「未使用」密碼的搜尋結果

  4. 在「建議」區段中,檢閱 IAM 使用者的詳細資料。

  5. 刪除 IAM 使用者的密碼。如需詳細資訊,請參閱建立、變更或刪除 IAM 使用者密碼 (主控台)