存档规则 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

存档规则

存档规则会自动存档符合您在创建规则时所定义条件的新结果。还可以追溯应用存档规则,以存档符合存档规则条件的现有结果。例如,您可以创建一个存档规则,来自动存档您定期向其授予访问权限的特定 S3 存储桶的任何结果。或者,如果您向特定委托人授予对多个资源的访问权限,则可以创建一个规则,来自动存档针对向该委托人授予的访问权限而生成的任何新结果。这可让您仅关注可能指示安全风险的活动结果。

使用结果详细信息中提供的信息来确定在创建或编辑规则时要使用的特定资源和外部实体。在创建存档规则时,仅自动存档与规则条件匹配的新结果。不会自动存档现有结果。在创建规则时,可以在规则中为每个标识包含最多 20 个值。有关可用于创建或更新存档规则的筛选条件键的列表,请参阅 访问 Analyzer 筛选条件键

注意

在创建或编辑存档规则时,访问分析器不会验证规则筛选器中包含的值。例如,如果您添加一个规则来匹配 Amazon 账户,则访问分析器将接受字段中的任何值,即使该值不是有效的 Amazon 账号。

创建存档规则

  1. 打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择 Access analyzer (访问分析器),然后选择 Archive rules (存档规则)

  3. 选择 Create archive rule (创建存档规则)

  4. 如果要更改默认名称,请为规则输入一个名称。

  5. Rule (规则) 部分中的 Criteria (条件) 下,为该规则选择要匹配的属性。

  6. 选择属性值的运算符,例如 contains

    可用的运算符取决于您选择的属性。

  7. (可选)为属性添加其他值,或为规则添加其他条件。为确保规则不会存档新的结果以供公有访问,还可以包含公有访问条件并将其设置为 false

    要为标准添加另一个值,请选择 Add another value (添加另一个值)。要为规则添加另一个标准,请选择 Add (添加) 按钮。

  8. 添加完条件和值后,选择创建规则以仅将规则应用于新结果。选择创建和存档活动的结果,以根据规则条件存档新的和现有的结果。在结果部分中,您可以查看存档规则应用于的活动结果的列表。

例如,要创建自动存档 S3 存储桶的任何结果的规则,请执行以下操作:选择 Resource type (资源类型),然后为运算符选择 is。接下来,从 Select resource type (选择资源类型) 列表中选择 S3 bucket (S3 存储桶),然后选择 Add (添加)

继续定义条件以自定义适用于您环境的规则,然后选择 Create archive rule (创建存档规则)

如果您创建一个新规则并添加多个标准,则可以通过选择 Remove this criterion (删除此标准) 来从规则中删除单个标准。您可以选择 Remove value (删除值) 来删除为标准添加的值。

编辑存档规则

  1. Name (名称) 框中选择要编辑的规则的名称。

    您一次只能编辑一个存档规则。

  2. 为每个标准添加新条件和值或删除现有条件和值。为确保规则不会存档新的结果以供公有访问,还可以包含公有访问条件并将其设置为 false

  3. 选择保存更改以将规则仅应用于新结果。选择保存和存档活动的结果,以根据规则条件存档新的和现有的结果。

删除存档规则

  1. 选中要删除的规则对应的复选框。

    您可以同时删除一个、多个或所有规则。

  2. 选择 Delete

  3. Delete archive rule (删除存档规则) 确认对话框中键入 delete,然后选择 Delete (删除)

这仅会从当前区域的分析器中删除规则。您必须为在其他区域中创建的每个分析器单独删除存档规则。