本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
外部和未使用的存取權調查結果
IAM Access Analyzer 會針對 AWS 帳戶 或組織中的外部存取權和未使用的存取權產生調查結果。針對外部存取權,若執行個體採用的資源類型政策會將信任區域內的資源存取權授予信任區域以外的主體,則 IAM Access Analyzer 會為每個執行個體產生調查結果。當您建立外部存取分析器時,您可以選擇組織或 AWS 帳戶 進行分析。該分析器會將所選組織或帳戶中的任何主體認定為可信任的。由於相同組織或帳戶中的主體是可信任的,分析器的信任區域就會包含該組織或帳戶內的資源和主體。在信任區域內共享的任何項目都是安全的,因此 IAM Access Analyzer 不會產生問題清單。例如,如果您選擇組織做為分析器的信任區域,則該組織中的所有資源和主體都會在信任區域內。若您將其中一個組織成員帳戶中的 Amazon S3 儲存貯體許可授予另一個組織成員帳戶中的主體,IAM Access Analyzer 並不會產生調查結果。但若將許可授與非組織成員帳戶中的主體,IAM Access Analyzer 就會產生問題清單。
IAM Access Analyzer 也會針對 AWS 組織和帳戶中授予的未使用存取產生調查結果。當您建立未使用的存取分析器時,IAM Access Analyzer 會持續監控 AWS 組織和帳戶中的所有 IAM 角色和使用者,並產生未使用的存取調查結果。IAM Access Analyzer 會針對未使用的存取權產生下列類型的調查結果:
-
未使用的角色:在指定使用期間內沒有存取活動的角色。
-
未使用的 IAM 使用者存取金鑰和密碼 – 屬於 IAM 使用者的登入資料,而這些登入資料尚未用於在指定的使用時段 AWS 帳戶 中存取您的 。
-
未使用的許可:指定使用期間內角色未使用的服務層級和動作層級許可。IAM Access Analyzer 會使用連接至角色的身分型政策,來判斷這些角色可存取的服務和動作。IAM Access Analyzer 支援檢閱所有服務層級許可的未使用許可。如需未使用的存取權調查結果支援的動作層級許可完整清單,請參閱:IAM 動作最近存取的資訊服務和動作。
注意
IAM Access Analyzer 免費提供外部存取權調查結果,且會根據每月每個分析器所分析的 IAM 角色和使用者數量,收取未使用的存取權調查結果費用。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價
主題
