檢閱IAM存取分析器發現 - AWS Identity and Access Management
外部存取權調查結果未使用的存取權調查結果

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢閱IAM存取分析器發現

啟用 IAM Access Analyzer 之後,下一個步驟就是複查任何發現項目,以判斷發現項目中識別的存取權是有意的還是無意的。您也可檢閱調查結果來決定類似的存取權調查結果是否在預期之內,之後即可建立封存規則,自動將這些調查結果封存。您也可檢閱已存檔與已解決的問題清單。

您應檢閱帳戶內的所有調查結果,藉以判定外部或未使用的存取權是否正常和經過核准。若調查結果識別的外部或未使用的存取權是正常的,則可將該調查結果封存。封存的調查結果狀態會變更為已封存,並從作用中調查結果清單中移除。但不會刪除該問題清單。您可隨時檢視已存檔的問題清單。請仔細閱讀帳戶內的所有問題清單,直到作用中問題清單數量為零。調查結果數量變成零後,即可知道任何新的作用中調查結果,都是環境內最近的變更所產生。

檢閱問題清單

  1. 在開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 選擇 Access analyzer (存取分析器)

  3. 此時會顯示調查結果儀表板。為外部或未使用的存取權分析器選取作用中的調查結果。

    如需檢視調查結果儀表板的詳細資訊,請參閱:檢視IAM存取分析器發現項目資訊

注意

只有在您擁有分析器問題清單的檢視許可時,才會顯示問題清單。

此時會顯示該分析器的所有調查結果。若要檢視該分析器產生的其他調查結果,請從狀態下拉是清單中選擇適當的調查結果類型:

  • 選擇 Active (作用中) 以檢視所有該分析器產生的作用中問題清單。

  • 若選擇 Archived (已存檔),則只能檢視該分析器已存檔的問題清單。如需進一步了解,請參閱 存檔存IAM取分析器發現

  • 若選擇 Resolved (已解決),則只能檢視該分析器已解決的問題清單。修復產生調查結果的問題時,該調查結果狀態會變更為已解決

    重要

    已解決的問題清單會在其最後一次更新的 90 天後刪除。作用中和已存檔的問題清單都不會被刪除,除非您將產生該問題清單的分析器刪除。

  • 若選擇 All (全部),即可檢視該分析器產生的所有問題清單 (不論狀態)。

外部存取權調查結果

選擇外部存取權,然後從檢視分析器下拉式清單中選擇外部存取權分析器。外部存取權分析器的調查結果頁面顯示的詳細資訊,為產生問題之共用資源與政策陳述式,如下所示:

問題清單 ID

指派給問題清單的唯一 ID。選擇問題清單 ID 來顯示產生問題之資源與政策陳述式的其他詳細資訊。

Resource

資源類型與部分名稱,該資源套用的政策會將存取權授予您信任區域以外的外部實體。

Resource owner account (資源擁有者帳戶)

只有在您使用組織做為信任區域時,此欄才會顯示。問題清單會回報組織中擁有該資源的帳戶。

External principal (外部主體)

您信任區域以外的主體,受分析之政策授予存取權的對象。有效值包含:

  • AWS 帳戶— 列出中具有該帳號管理員權限的所有主參 AWS 帳戶 與者都可以存取資源。

  • 任何主體:任何 AWS 帳戶 中,滿足條件欄內條件的所有的主體,都擁有該資源的存取許可。例如,如果列出,VPC則表示任何帳戶中具有存取所列資源之權限的任何主參與者都VPC可以存取資源。

  • 正式使用者: AWS 帳戶 中,擁有上列正式使用者 ID 的所有主體,都擁有該資源的存取許可。

  • IAMrole — 列出的IAM角色具有存取資源的權限。

  • IAMuser — 列出的IAM使用者具有存取資源的權限。

Condition

政策陳述式內授予存取權的條件。例如,如果「條件」欄位包含「來源」VPC,則表示資源會與可存取VPC列出的主參與者共用。條件可為全域或服務特定。全域條件金鑰字首為 aws:

Shared through (共用方式)

Shared through (共用方式) 欄位會指出產生問題清單之存取權的授予方式。有效值包含:

  • 儲存貯體政策 – 連接至 Amazon S3 儲存貯體的儲存貯體政策。

  • 存取控制清單 — 附加至 Amazon S3 儲存貯體的存取控制清單 (ACL)。

  • Access point (存取點) – 與 Amazon S3 儲存貯體相關聯的存取點或多區域存取點。存取點ARN的會顯示在「發現項目」詳細資料中。

存取層級

資源型政策的動作授予外部實體之存取層級。如需詳細資訊,請檢視問題清單的詳細資訊。存取層級的值如下:

  • List (清單) – 列出服務內資源的許可,以判斷物件是否存在。具有此層級存取權的動作,可以列出物件,但無法查看資源的內容。

  • Read (讀取) – 可讀取但無法編輯服務內資源的內容和屬性的許可。

  • Write (寫入) – 可建立、刪除或修改服務內資源的許可。

  • Permissions (許可) – 可授與或修改服務內資源許可的許可。

  • Tagging (標記) – 執行僅變更資源標籤狀態之動作的許可。

Updated

問題清單狀態最近一次更新的時間戳記,若未有更新,則顯示問題清單產生的時間與日期。

注意

修改原則後,IAM存取分析器再次分析資源,然後更新發現項目,最多可能需要 30 分鐘的時間。

狀態

問題清單的狀態為 Active (作用中)Archived (已存檔)Resolved (已解決)

未使用的存取權調查結果

IAMAccess Analyzer 會根據每月分析的IAM角色和使用者數量,針對未使用的存取分析收費。如需有關定價的詳細資訊,請參閱IAM存取分析器定價

選擇未使用的存取權,然後從檢視分析器下拉式清單中選擇未使用的存取權分析器。未使用的存取分析器的「發現的項目」頁面會顯示下列有關產生發現項目之IAM實體的詳細資訊:

問題清單 ID

指派給問題清單的唯一 ID。選擇搜尋結果識別碼,以顯示產生搜尋結果之IAM實體的其他明細。

調查結果類型

未使用的存取權調查結果類型:未使用的存取金鑰未使用的密碼未使用的許可未使用的角色

IAM實體

發現項目中報告的IAM實體。這可以是IAM使用者或角色。

AWS 帳戶 ID

只有當您已為組織中的所有 AWS 帳戶 設定分析器時,此欄才會顯示。擁有發現項目 AWS 帳戶 中報告之IAM實體的組織中。

上次更新

上次更新發現項目中報告的IAM實體的時間,或者如果尚未進行更新,則建立實體的時間。

狀態

調查結果的狀態為作用中已封存已解決