存档规则 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

存档规则

存档规则会自动存档符合您在创建规则时所定义条件的新结果。还可以追溯应用存档规则,以存档符合存档规则条件的现有结果。例如,您可以创建一个存档规则,来自动存档您定期为其授予访问权限的特定 Amazon S3 存储桶的调查发现。或者,如果您向特定主体授予对多个资源的访问权限,则可以创建一个规则,来自动存档针对向该主体授予的访问权限而生成的任何新结果。这可让您仅关注可能指示安全风险的活动结果。

在创建存档规则时,仅自动存档与规则条件匹配的新结果。不会自动存档现有结果。在创建规则时,可以在规则中为每个标识包含最多 20 个值。有关可用于创建或更新存档规则的筛选条件键的列表,请参阅 IAM Access Analyzer 筛选条件键

注意

在创建或编辑存档规则时,IAM Access Analyzer 不会验证规则筛选器中包含的值。例如,如果您添加一个规则来匹配 Amazon Web Services 账户,则 IAM Access Analyzer 将接受字段中的任何值,即使该值不是有效的 Amazon 账号。

创建存档规则
  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择访问分析器,然后选择分析器设置

  3. 分析器部分,选择要为其创建存档规则的分析器。

  4. 存档规则选项卡上,选择创建存档规则

  5. 如果要更改默认名称,请为规则输入一个名称。

  6. Rule (规则) 部分中的 Criteria (条件) 下,为该规则选择要匹配的属性。

  7. 为属性值选择一个条件,例如 ContainsIsNot Equals

    可用的运算符取决于您选择的属性。

  8. (可选)为属性添加其他值,或为规则添加其他条件。对于外部访问调查发现,为了确保您的规则不会存档新的调查发现以进行公开访问,您还可以包含 Public access 条件并将其设置为 false

    要为标准添加另一个值,请选择 Add another value (添加另一个值)。要为规则添加另一个条件,请选择添加条件

  9. 添加完条件和值后,选择创建规则以仅将规则应用于新结果。选择创建和存档活动的结果,以根据规则条件存档新的和现有的结果。在结果部分中,您可以查看存档规则应用于的活动结果的列表。

例如,要为外部访问调查发现创建一个规则,以自动存档 Amazon S3 存储桶的任何调查发现:选择资源类型,然后选择 Is 作为条件。然后,从列表中选择 S3 存储桶

要为未使用的访问调查发现创建一个规则,以自动归档特定账户的任何调查发现:选择资源所有者账户,然后选择 Equals 作为条件。在文本框中键入 Amazon Web Services 账户 ID。

继续定义条件以根据您的环境自定义规则,然后选择创建规则

如果您创建一个新规则并添加多个标准,则可以通过选择 Remove this criterion (删除此标准) 来从规则中删除单个标准。您可以选择 Remove value (删除值) 来删除为标准添加的值。

编辑存档规则
  1. 名称列中选择要编辑的规则名称。

    您一次只能编辑一个存档规则。

  2. 为每个条件添加新条件或删除现有条件和值。

  3. 选择保存更改以将规则仅应用于新结果。选择保存和存档活动的结果,以根据规则条件存档新的和现有的结果。

删除存档规则
  1. 选中您要删除的规则对应的复选框。

  2. 选择删除

  3. Delete archive rule (删除存档规则) 确认对话框中键入 delete,然后选择 Delete (删除)

这仅会从当前区域的分析器中删除规则。您必须为在其他区域中创建的每个分析器单独删除存档规则。