查看 IAM Access Analyzer 的调查发现控制面板
Amazon Identity and Access Management Access Analyzer 将外部访问和未使用的访问调查发现整理到可视化摘要控制面板中。控制面板可帮助您了解大规模权限的有效使用情况,并识别需要关注的账户。您可以使用控制面板按 Amazon 组织、客户和调查发现类型查看调查发现。
对于外部访问调查发现:
-
控制面板突出显示了公共访问和跨账户访问调查发现之间的差异。
-
控制面板按资源类型提供了调查发现的明细。
对于未使用访问调查发现:
-
控制面板突出显示了未使用访问调查发现最多的 Amazon Web Services 账户。
-
控制面板按类型提供了调查发现的明细。
为外部访问或未使用访问创建分析器后,IAM Access Analyzer 会自动将新的调查发现添加到相关控制面板。这使您可以识别最有安全隐患的区域并确定其优先顺序。
摘要控制面板可让您全面了解 IAM Access Analyzer 在您的 Amazon 环境中检测到的访问问题。然后,您可以深入研究各个调查发现以进行进一步调查,并采取适当的措施来解决它们。
要查看外部访问分析器的摘要控制面板
注意
创建或更新分析器后,摘要控制面板可能需要一些时间才能反映出调查发现的更新。
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
选择 Access analyzer (访问分析器)。此时将显示摘要窗口。
-
从外部访问分析器下拉列表中选择一个分析器。分析器的调查发现摘要显示在外部访问调查发现部分。
在上图中,外部访问调查发现控制面板在摘要页面中可见:
-
活动调查发现部分包括可公开访问的活动调查发现数量,以及提供账户或组织外部访问的活动调查发现数量。选择一个数字,列出每种类型的所有活动调查发现。
-
调查发现概述部分包括活动调查发现类型的明细。选择查看所有活动调查发现,以获取分析器账户或组织的活动调查发现完整列表。
-
具有活动调查发现的主要资源类型部分包括具有活动调查发现的主要资源类型的明细。这些信息可帮助您先确定主要资源的调查发现的优先顺序。例如,Amazon S3、DynamoDB 和 Amazon KMS。这并不是每种资源类型的详尽列表。您的分析器可能有未在该部分中列出的资源类型的活动调查发现。
要查看未使用的访问分析器的摘要控制面板
IAM Access Analyzer 根据每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价
注意
创建或更新分析器后,根据用户和角色的数量,摘要控制面板可能需要一些时间才能反映出调查发现的更新。
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
选择 Access analyzer (访问分析器)。此时将显示摘要窗口。
-
从未使用的访问分析器下拉列表中选择一个分析器。分析器的调查发现摘要显示在未使用的访问调查发现部分。
在上图中,外部访问调查发现控制面板在摘要页面中可见:
-
活动调查发现部分包括您的账户或组织中未使用的角色、未使用的凭证和未使用的权限的活动调查发现数量。未使用的凭证包括未使用的访问密钥和未使用的密码调查发现。未使用的权限包括具有未使用权限的用户和角色。选择一个数字,列出每种类型的所有活动调查发现。
-
调查发现概述部分包括活动调查发现类型的明细。选择查看所有活动调查发现,以获取分析器账户或组织的活动调查发现完整列表。
-
调查发现状态部分包括您的账户或组织的调查发现状态(活动、已存档和已解决)的明细。
-
仅当未使用的访问分析器的选定帐户处于组织级别时,才会显示未使用的访问调查发现最多的账户部分。其中包括组织中活动调查发现最多的账户明细。这并不是组织中每个账户的详尽列表。您的分析器可能有未在该部分中列出的其他账户的活动调查发现。