使用 AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management
識別與外部實體共用的資源識別授予 IAM 使用者和角色的未使用存取權根據 AWS 最佳實務驗證政策根據您指定的安全標準驗證政策產生政策IAM Access Analyzer 定價

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer 提供下列功能:

識別與外部實體共用的資源

IAM Access Analyzer 可協助您識別與外部實體共用的組織和帳戶中資源,例如 Amazon S3 儲存貯體或 IAM 角色。這有助於您識別非預期存取資源和資料的情況,避免產生安全性風險。IAM Access Analyzer 使用邏輯式推理來分析您 AWS 環境中的資源型政策,藉此識別與外部主體共用的資源。針對帳戶外部共用資源的每一個執行個體,IAM Access Analyzer 都會產生一份問題清單。調查結果包括存取權及其被授與存取的外部主體的資訊。您可以檢閱問題清單,判斷此為有意為之且安全的存取,還是非預期且有安全風險的存取。除了協助您識別與外部實體共用的資源外,IAM Access Analyzer 也可讓您使用 IAM Access Analyzer 的問題清單,在部署資源使用權限之前預覽您的政策對您資源的公有和跨帳戶存取權的影響。系統會在視覺化摘要儀表板中整理歸納調查結果。儀表板會反白公有與跨帳户存取權調查結果之間的分隔線,並提供依資源類型分類的調查結果明細。若要深入了解儀表板,請參閱:檢視 IAM Access Analyzer 調查結果儀表板

注意

外部實體可以是另一個 AWS 帳戶、根使用者、IAM 使用者或角色、聯合身分使用者、匿名使用者,或可用來建立篩選條件的另一個實體。如需詳細資訊,請參閱 AWS JSON 政策元素:主體

啟用 IAM Access Analyzer 後,您可以為整個組織或帳戶建立分析器。您選擇的組織或帳戶也稱為分析器的信任區域。分析器會監控您信任區域內所有支援的資源。在信任區域內主體對資源的任何存取權都會被視為受信任。啟用後,IAM Access Analyzer 會分析在您信任區域中套用至所有支援之資源的政策。在第一次分析後,IAM Access Analyzer 會定期分析這些政策。如果您新增政策或變更現有政策,IAM Access Analyzer 會在大約 30 分鐘內分析新的或更新的政策。

分析政策時,如果 IAM Access Analyzer 識別到會將存取權授與不在信任區域內的外部主體的政策,就會產生問題清單。每個問題清單都包含資源、具有該資源存取權的外部實體,以及授與之許可的詳細資訊,以便您可以採取適當的動作。您可以檢視問題清單中包含的詳細資訊,以判斷資源存取權是有意為之的,還是您應解決的潛在風險。當您將政策新增至資源或更新現有政策時,IAM Access Analyzer 會分析該政策。IAM Access Analyzer 也會定期分析所有以資源為基礎的政策。

在符合某些條件的極少數情況下,IAM Access Analyzer 不會接收可能會導致生成的調查結果延遲的新增或更新政策的通知。若您建立或刪除與 Amazon S3 儲存貯體相關聯的多區域存取點,或更新多區域存取點的政策,IAM Access Analyzer 最多可能需要 6 小時才能產生或解決問題清單。此外,如果 AWS CloudTrail 日誌交付或資源控制政策 (RCP) 限制變更發生交付問題,政策變更不會觸發問題清單中所報告資源的重新掃描。發生這種情況時,IAM Access Analyzer 會在下次定期掃描 (24 小時內) 期間分析該新增或更新的政策。如果您要確認對政策所做的變更是否可以解決問題清單中報告的存取問題,您可以重新掃描問題清單中報告的資源,方法為使用 Findings (問題清單) 詳細資訊頁面中的 Rescan (重新掃描) 連結,或使用 IAM Analyzer API 的 StartResourceScan 操作。如需進一步了解,請參閱 解決 IAM Access Analyzer 調查結果

重要

對於外部存取,IAM Access Analyzer 只會分析套用至啟用該資源之相同 AWS 區域中的資源的政策。若要監控 AWS 環境中的所有資源,您必須建立外部存取分析器,以便在您使用支援 AWS 資源的每個區域中啟用 IAM Access Analyzer。

針對未使用的存取權,分析器的調查結果不會因區域而變更。在擁有資源的每個區域中建立未使用的存取分析器是不必要的。

IAM Access Analyzer 會分析下列資源類型:

識別授予 IAM 使用者和角色的未使用存取權

IAM Access Analyzer 可協助您識別和檢閱 AWS 組織和帳戶中未使用的存取權。IAM Access Analyzer 會持續監控 AWS 組織和帳戶中的所有 IAM 角色和使用者,並針對未使用的存取權產生調查結果。調查結果會反白未使用的角色、IAM 使用者未使用的存取金鑰,以及 IAM 使用者未使用的密碼。調查結果可讓您了解作用中 IAM 角色和使用者未使用的服務和動作。

外部存取權與未使用的存取權分析器調查結果,會在視覺化摘要儀表板中整理歸納。儀表板會反白顯示問題清單最多 AWS 帳戶 的 ,並依類型提供問題清單明細。如需儀表板中的詳細資訊,請參閱檢視 IAM Access Analyzer 調查結果儀表板

IAM Access Analyzer 會檢閱 AWS 組織和帳戶中所有角色的上次存取資訊,以協助您識別未使用的存取。IAM 動作上次存取的資訊可協助識別 AWS 帳戶中的角色未使用的動作。如需詳細資訊,請參閱使用上次存取的資訊精簡 AWS 中的許可

根據 AWS 最佳實務驗證政策

您可以使用 IAM Access Analyzer 政策驗證功能提供的基本政策檢查,根據 IAM 政策文法AWS 最佳實務來驗證您的政策。您可以使用 IAM 主控台中的 AWS CLI、 AWS API 或 JSON 政策編輯器來建立或編輯政策。您可以檢視政策驗證檢查問題清單,包含安全警告、錯誤、一般警告和政策的建議。這些調查結果提供可行的建議,協助您撰寫功能正常且符合 AWS 最佳實務的政策。若要進一步了解如何使用政策驗證來驗證政策,請參閱:使用 IAM Access Analyzer 來驗證政策

根據您指定的安全標準驗證政策

您可以使用 IAM Access Analyzer 自訂政策檢查,根據您指定的安全標準來驗證 IAM 政策。您可以使用 IAM 主控台中的 AWS CLI、 AWS API 或 JSON 政策編輯器來建立或編輯政策。您可以透過主控台檢查與現有版本相比,更新版政策是否授予新的存取權。透過 AWS CLI 和 AWS API,您也可以檢查政策不允許您認為重要的特定 IAM 動作。這些檢查會反白授予新存取權的政策陳述式。您可以更新政策陳述式並重新執行檢查,直到政策符合安全標準為止。若要進一步了解如何使用自訂政策檢查來驗證政策,請參閱:使用 IAM Access Analyzer 自訂政策檢查來驗證政策

產生政策

IAM Access Analyzer 會分析您的 AWS CloudTrail 日誌,以識別 IAM 實體 (使用者或角色) 在指定日期範圍內使用的動作和服務。然後它會產生以該存取活動為基礎的 IAM 政策。您可以使用產生的政策,將其連接至 IAM 使用者或角色,以進一步調整該實體的許可。若要進一步了解如何使用 IAM Access Analyzer 來產生政策,請參閱 產生 IAM Access Analyzer 政策

IAM Access Analyzer 定價

IAM Access Analyzer 會根據每月每個分析器所分析的 IAM 角色和使用者數量,收取未使用的存取權分析費用。

  • 您需為建立的每個未使用的存取權分析器支付費用。

  • 若跨多個區域建立未使用的存取權分析器,您將須為每個分析器支付費用。

  • 系統不會針對未使用的存取活動分析服務連結角色,也不會將這些角色包含在已分析的 IAM 角色總數中。

IAM Access Analyzer 會根據向 IAM Access Analyzer 發出的檢查新存取權 API 請求數量,來收取自訂政策檢查費用。

如需 IAM Access Analyzer 的完整費用與定價清單,請參閱 IAM Access Analyzer 定價

若要查看您的帳單,請前往 AWS Billing and Cost Management 主控台中的帳單與成本管理儀表板。您的帳單內含用量報告的連結,可提供帳單的詳細資訊。若要進一步了解 AWS 帳戶 帳單,請參閱 AWS Billing 使用者指南

如果您對 AWS 帳單、帳戶和事件有任何疑問,請聯絡 支援