使用 AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management
識別與外部實體共用的資源識別授予 IAM 使用者和角色的未使用存取權根據 AWS 最佳實務驗證政策根據您指定的安全標準驗證政策產生政策IAM Access Analyzer 定價

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer 提供下列功能:

識別與外部實體共用的資源

IAM Access Analyzer 可協助您識別與外部實體共用的組織和帳戶中資源,例如 Amazon S3 儲存貯體或 IAM 角色。這有助於您識別非預期存取資源和資料的情況,避免產生安全性風險。IAM Access Analyzer 會使用邏輯型推理來分析環境中以資源為基礎的政策,藉此識別與外部主體共用的資源。 AWS 針對帳戶外部共用資源的每一個執行個體,IAM Access Analyzer 都會產生一份問題清單。調查結果包括存取權及其被授與存取的外部主體的資訊。您可以檢閱問題清單,判斷此為有意為之且安全的存取,還是非預期且有安全風險的存取。除了協助您識別與外部實體共用的資源外,IAM Access Analyzer 也可讓您使用 IAM Access Analyzer 的問題清單,在部署資源使用權限之前預覽您的政策對您資源的公有和跨帳戶存取權的影響。系統會在視覺化摘要儀表板中整理歸納調查結果。儀表板會反白公有與跨帳户存取權調查結果之間的分隔線,並提供依資源類型分類的調查結果明細。若要深入了解儀表板,請參閱:檢視 IAM Access Analyzer 調查結果儀表板

注意

外部實體可以是其他 AWS 帳戶、根使用者、IAM 使用者或角色、聯合身分使用者、 AWS 服務、匿名使用者或其他可用來建立篩選器的實體。如需詳細資訊,請參閱 AWS JSON 政策元素:主體

啟用 IAM Access Analyzer 後,您可以為整個組織或帳戶建立分析器。您選擇的組織或帳戶也稱為分析器的信任區域。分析器會監控您信任區域內所有支援的資源。在信任區域內主體對資源的任何存取權都會被視為受信任。啟用後,IAM Access Analyzer 會分析在您信任區域中套用至所有支援之資源的政策。在第一次分析後,IAM Access Analyzer 會定期分析這些政策。如果新增政策或變更現有政策,則 IAM Access Analyzer 會在大約 30 分鐘內分析新增的或更新的政策。

分析政策時,如果 IAM Access Analyzer 識別到會將存取權授與不在信任區域內的外部主體的政策,就會產生問題清單。每個問題清單都包含資源、具有該資源存取權的外部實體,以及授與之許可的詳細資訊,以便您可以採取適當的動作。您可以檢視問題清單中包含的詳細資訊,以判斷資源存取權是有意為之的,還是您應解決的潛在風險。當您將政策新增至資源或更新現有政策時,IAM Access Analyzer 會分析該政策。IAM Access Analyzer 也會定期分析所有以資源為基礎的政策。

在特定情況下,在極少數情況下,IAM Access Analyzer 不會收到新增或更新政策的通知,這可能會導致產生的發現結果延遲。如果您建立或刪除與 Amazon S3 儲存貯體關聯的多區域存取點,或更新多區域存取點的政策,IAM Access Analyzer 最多可能需要 6 小時才能產生或解決發現結果。此外,如果 AWS CloudTrail 記錄傳遞有傳遞問題,原則變更不會觸發發現項目中報告的資源重新掃描。發生這種情況時,IAM Access Analyzer 會在下次定期掃描 (24 小時內) 期間分析該新增或更新的政策。如果您要確認對政策所做的變更是否可以解決問題清單中報告的存取問題,您可以重新掃描問題清單中報告的資源,方法為使用 Findings (問題清單) 詳細資訊頁面中的 Rescan (重新掃描) 連結,或使用 IAM Analyzer API 的 StartResourceScan 操作。如需進一步了解,請參閱解決問題清單

重要

IAM 存取分析器只會分析套用至啟用該功能之相同 AWS 區域中資源的政策。若要監控 AWS 環境中的所有資源,您必須建立分析器,以便在使用支援 AWS 資源的每個區域中啟用 IAM Access Analyzer。

IAM Access Analyzer 會分析下列資源類型:

識別授予 IAM 使用者和角色的未使用存取權

IAM 存取分析器可協助您識別和檢閱 AWS 組織和帳戶中未使用的存取權。IAM Access Analyzer 會持續監控 AWS 組織和帳戶中的所有 IAM 角色和使用者,並針對未使用的存取權產生調查結果。調查結果會反白未使用的角色、IAM 使用者未使用的存取金鑰,以及 IAM 使用者未使用的密碼。調查結果可讓您了解作用中 IAM 角色和使用者未使用的服務和動作。

外部存取權與未使用的存取權分析器調查結果,會在視覺化摘要儀表板中整理歸納。儀表板會反白顯示發現項目最多的您 AWS 帳戶 ,並依類型提供發現項目的明細。如需儀表板中的詳細資訊,請參閱檢視 IAM Access Analyzer 調查結果儀表板

IAM Access Analyzer 會檢閱 AWS 組織和帳戶中所有角色的上次存取資訊,以協助您識別未使用的存取權。IAM 動作上次存取的資訊可協助識別 AWS 帳戶中的角色未使用的動作。如需詳細資訊,請參閱 AWS 使用上次存取的資訊精簡權限

根據 AWS 最佳實務驗證政策

您可以使用 IAM Access Analyzer 政策驗證功能提供的基本政策檢查,根據 IAM 政策文法AWS 最佳實務來驗證您的政策。您可以使用 IAM 主控台中的 AWS CLI AWS API 或 JSON 政策編輯器建立或編輯政策。您可以檢視政策驗證檢查問題清單,包含安全警告、錯誤、一般警告和政策的建議。這些發現項目提供可行的建議,可協助您撰寫功能正常且符合 AWS 最佳作法的原則。若要進一步了解如何使用政策驗證來驗證政策,請參閱:IAM Access Analyzer 政策驗證

根據您指定的安全標準驗證政策

您可以使用 IAM Access Analyzer 自訂政策檢查,根據您指定的安全標準來驗證 IAM 政策。您可以使用 IAM 主控台中的 AWS CLI AWS API 或 JSON 政策編輯器建立或編輯政策。您可以透過主控台檢查與現有版本相比,更新版政策是否授予新的存取權。透過 AWS CLI 和 AWS API,您也可以檢查政策不允許您認為重要的特定 IAM 動作。這些檢查會反白授予新存取權的政策陳述式。您可以更新政策陳述式並重新執行檢查,直到政策符合安全標準為止。若要進一步了解如何使用自訂政策檢查來驗證政策,請參閱:IAM Access Analyzer 自訂政策檢查

產生政策

IAM Access Analyzer 會分析您的日 AWS CloudTrail 誌,以識別 IAM 實體 (使用者或角色) 在指定日期範圍內使用的動作和服務。然後它會產生以該存取活動為基礎的 IAM 政策。您可以使用產生的政策,將其連接至 IAM 使用者或角色,以進一步調整該實體的許可。若要進一步了解如何使用 IAM Access Analyzer 來產生政策,請參閱 產生 IAM Access Analyzer 政策

IAM Access Analyzer 定價

IAM Access Analyzer 會根據每月每個分析器所分析的 IAM 角色和使用者數量,收取未使用的存取權分析費用。

  • 您需為建立的每個未使用的存取權分析器支付費用。

  • 若跨多個區域建立未使用的存取權分析器,您將須為每個分析器支付費用。

  • 系統不會針對未使用的存取活動分析服務連結角色,也不會將這些角色包含在已分析的 IAM 角色總數中。

IAM Access Analyzer 會根據向 IAM Access Analyzer 發出的檢查新存取權 API 請求數量,來收取自訂政策檢查費用。

如需 IAM Access Analyzer 的完整費用與定價清單,請參閱 IAM Access Analyzer 定價

若要查看您的帳單,請前往 AWS Billing and Cost Management 主控台中的帳單與成本管理儀表板。您的帳單內含用量報告的連結,可提供帳單的詳細資訊。若要進一步了解 AWS 帳戶 帳單,請參閱AWS Billing 使用者指南

如果您對帳 AWS 單、帳戶和活動有任何疑問,請聯絡 AWS Support