IAM Access Analyzer 结果的工作原理
本主题介绍了 IAM Access Analyzer 中用于帮助您熟悉访问分析器如何监控对 Amazon 资源的访问的概念和术语。
外部访问
对于外部访问分析器,Amazon Identity and Access Management Access Analyzer 基于 Zelkova
对于外部访问分析器,IAM Access Analyzer 不会检查访问日志,来确定外部实体是否访问了您信任区域内的资源。当基于资源的策略允许访问资源时,会生成一个结果,即使外部实体未访问资源也是如此。IAM Access Analyzer 在做出决定时也不考虑任何外部账户的状态。也就是说,如果其指示账户 111122223333 可以访问您的 Amazon S3 存储桶,那么它对该账户中的用户、角色、服务控制策略(SCP)和其他相关配置的状态一无所知。这是为了保护客户隐私 – IAM Access Analyzer 不考虑其他账户的拥有者。这也是出于安全考虑——如果该账户不由 IAM Access Analyzer 客户拥有,则即使该账户中当前没有主体可以访问外部资源,外部实体也可以获取对其资源的访问权限,了解这一点仍然很重要。
IAM Access Analyzer 仅考虑外部用户不能直接影响的或对授权有影响的某些 IAM 条件键。有关 IAM Access Analyzer 考虑的条件键的示例,请参阅 IAM Access Analyzer 筛选条件键。
IAM Access Analyzer 当前不会报告来自 Amazon 服务主体或内部服务账户的结果。在极少数情况下,IAM Access Analyzer 无法完全确定策略语句是否授予对外部实体的访问权限,它会错误地声明一个假阳性结果。IAM Access Analyzer 旨在提供您账户中资源共享的全面视图,并努力减少假阴性结果。
未使用的访问
即使您已经创建了分析器来为资源生成外部访问调查发现,也必须为角色创建一个未使用的访问调查发现分析器。创建分析器后,IAM Access Analyzer 会查看访问活动,以识别未使用的访问。IAM Access Analyzer 会查看 Amazon 组织和账户中所有角色、用户访问密钥和用户密码的上次访问信息,以帮助您识别未使用的访问。对于活动的 IAM 角色和用户,IAM Access Analyzer 使用 IAM 服务和操作上次访问的信息来识别未使用的权限。您可以使用未使用的访问分析器在 Amazon 组织和账户级别扩展审查过程。您可以使用操作上次访问的信息来深入调查各个角色。
摘要控制面板
对于外部访问和未使用的访问,IAM Access Analyzer 将调查发现整理到摘要控制面板中。对于外部访问,摘要控制面板会突出显示公共和跨账户存取调查发现之间的差异,并按资源类型提供调查发现的明细。对于未使用的访问,控制面板会突出显示调查发现最多的 Amazon Web Services 账户,并按类型提供调查发现明细。为外部或未使用的访问创建分析器后,IAM Access Analyzer 将自动向控制面板添加新的调查发现,突出显示具有未使用权限的角色。