筛选 IAM Access Analyzer 调查发现 - Amazon Identity and Access Management
筛选外部访问调查发现筛选未使用的访问调查发现
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

筛选 IAM Access Analyzer 调查发现

调查发现页面的默认筛选是显示所有调查发现。要查看活动调查发现,请从状态下拉列表中选择活动状态。要查看已存档调查发现,请从状态下拉列表中选择已存档状态。首次开始使用 IAM Access Analyzer 时,没有已存档的结果。

使用筛选条件仅显示符合指定属性条件的调查发现。要创建筛选条件,请选择要筛选的属性,然后选择该属性是否等于或包含一个值,然后输入或选择要筛选的属性值。例如,要创建一个筛选条件,仅显示特定 Amazon Web Services 账户 的调查发现,请为该属性选择 Amazon Account,然后选择 Amazon Account = ,然后输入要查看其调查发现的 Amazon Web Services 账户 的账号。

有关可用于创建或更新存档规则的筛选条件键的列表,请参阅 IAM Access Analyzer 筛选条件键

筛选外部访问调查发现

要筛选外部访问调查发现

  1. 选择外部访问,然后在视图分析器下拉列表中选择分析器。

  2. 选择搜索框以显示可用属性列表。

  3. 请选择要用于筛选所显示结果的属性。

  4. 为该属性选择要匹配的值。仅显示具有该结果中的值的结果。

    例如,选择 Resource(资源)作为属性,然后选择 Resource:,键入存储桶的部分或全部名称,并按 Enter 键。仅显示与筛选条件匹配的存储桶的调查发现。要创建一个筛选条件,仅显示允许公开访问的资源的调查发现,请选择 Public access(公开访问)属性,然后选择 Public access = ,然后选择 Public access = true

您可以添加其他属性来进一步筛选显示的结果。在添加其他属性时,仅显示与筛选器中的所有条件匹配的结果。无法定义筛选器来显示与一个属性或另一个属性匹配的结果。选择清除筛选条件以清除您定义的筛选条件,并显示分析器中具有指定状态的所有调查发现。

仅当您查看将组织作为信任区域的分析器的结果时,某些字段才会显示。

可使用以下属性定义筛选器:

  • Public access(公有访问)- 要按结果筛选允许公有访问的资源,请按公有访问进行筛选,然后选择 Public access: true(公有访问: true)。

  • Resource(资源)- 要按资源进行筛选,请键入资源的完整或部分名称。

  • Resource Type(资源类型)- 要按资源类型进行筛选,请从显示的列表中选择类型。

  • Resource Owner Account(资源所有者账户):使用此属性按组织中拥有调查发现中报告的资源的账户进行筛选。

  • 资源控制策略限制:使用此属性按 Organizations 资源控制策略(RCP)所应用的限制类型进行筛选。要了解更多信息,请参阅《Amazon Organizations 用户指南》中的 Resource control policies (RCPs)

    • 错误:评估 RCP 时出错。

    • 不适用:没有 RCP 限制此资源或主体。其中还包括尚不支持 RCP 的资源。

    • 适用:您的组织管理员已经通过影响资源或资源类型的 RCP 设置了限制。请联系您的组织管理员,以获取更多详细信息。

  • Amazon Account:使用此属性按策略语句的主体部分中被授予访问权限的 Amazon Web Services 账户 进行筛选。要按 Amazon Web Services 账户 进行筛选,请键入完整或部分 12 位 Amazon Web Services 账户 ID,或者键入有权访问当前账户中资源的外部 Amazon 用户或角色的完整或部分账户 ARN。

  • Canonical User(规范用户):要按规范用户进行筛选,请键入为 Amazon S3 存储桶定义的规范用户 ID。要了解更多信息,请参阅 Amazon 账户标识符

  • Federated User(联合身份用户)- 要按联合身份用户进行筛选,请键入联合身份身份的完整或部分 ARN。要了解更多信息,请参阅身份提供商和联合身份验证

  • Finding ID(调查发现 ID):要按调查发现 ID 进行筛选,请键入完整或部分调查发现 ID。

  • 错误:要按错误类型进行筛选,请选择拒绝访问内部错误

  • Principal ARN(主体 ARN)- 使用此属性可筛选 aws:PrincipalArn 条件键中使用的主体(IAM 用户、角色或组)的 ARN。要按主体 ARN 进行筛选,请键入调查发现中报告的外部 Amazon Web Services 账户 的 IAM 用户、角色或组的完整或部分 ARN。

  • Principal OrgID(主体 OrgID)- 要按主体 OrgID 进行筛选,请键入与属于 Amazon 企业(指定为结果中的条件)的外部主体关联的企业 ID 的完整或部分内容。要了解更多信息,请参阅 Amazon 全局条件上下文键

  • 主体组织路径 – 要按主体组织路径进行筛选,请键入 Amazon 组织或组织单位(OU)的完整或部分 ID,该 ID 允许访问属于指定为策略中的条件的组织或 OU 的账户成员的所有外部主体。要了解更多信息,请参阅 Amazon 全局条件上下文键

  • 源账户 – 要按源账户进行筛选,请键入与资源关联的完整或部分 Amazon Web Services 账户 ID,如同 Amazon 中的某些跨服务权限中使用的那样。要了解更多信息,请参阅 Amazon 全局条件上下文键

  • Source ARN(源 ARN)- 要按源 ARN 进行筛选,请键入指定为结果中的条件的完整或部分 ARN。要了解更多信息,请参阅 Amazon 全局条件上下文键

  • Source IP(源 IP)- 要按源 IP 进行筛选,请键入允许外部实体在使用指定 IP 地址时访问当前账户中的资源的完整或部分 IP 地址。要了解更多信息,请参阅 Amazon 全局条件上下文键

  • Source VPC(源 VPC)- 要按源 VPC 进行筛选,请键入允许外部实体在使用指定 VPC 时访问当前账户中的资源的全部或部分 VPC ID。要了解更多信息,请参阅 Amazon 全局条件上下文键

  • 源组织 ID – 要按源组织 ID 进行筛选,请键入与资源关联的完整或部分组织 ID,如同 Amazon 中的某些跨服务权限中使用的那样。要了解更多信息,请参阅 Amazon 全局条件上下文键

  • 源组织路径 – 要按源组织路径进行筛选,请键入与资源关联的完整或部分组织单位(OU),如同 Amazon 中的某些跨服务权限中使用的那样。要了解更多信息,请参阅 Amazon 全局条件上下文键

  • User ID(用户 ID):要按用户 ID 进行筛选,请键入外部 Amazon Web Services 账户 中的完整或部分 IAM 用户的用户 ID,该用户有权访问当前账户中的资源。要了解更多信息,请参阅 Amazon 全局条件上下文键

  • KMS Key ID(KMS 密钥 ID):要按 KMS 密钥 ID 进行筛选,请键入完整或部分 KMS 密钥的密钥 ID,该密钥被指定为您当前账户中 Amazon KMS 加密的 Amazon S3 对象访问的条件。

  • Google Audience(Google 受众)- 要按 Google 受众进行筛选,请键入指定为当前账户中的 IAM 角色访问条件的 Google 应用程序 ID 的完整或部分内容。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键

  • Cognito Audience(Cognito 受众):要按 Amazon Cognito 受众进行筛选,请键入完整或部分 Amazon Cognito 身份池 ID,该身份池被指定为当前账户中 IAM 角色访问的条件。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键

  • Caller Account(调用方账户):拥有或包含调用实体的账户的 Amazon Web Services 账户 ID,例如 IAM 角色、用户或账户根用户。这将由调用 Amazon KMS 的服务使用。要按调用方账户进行筛选,请键入完整或部分 Amazon Web Services 账户 ID。

  • Facebook App ID(Facebook 应用程序 ID)- 要按 Facebook 应用程序 ID 进行筛选,请键入完整或部分 Facebook 应用程序 ID(或站点 ID),此 ID 指定为条件以允许使用 Login with Facebook 联合身份验证访问您当前账户中的 IAM 角色。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键中的 id 部分。

  • Amazon App ID(Amazon 应用程序 ID)- 要按 Amazon 应用程序 ID 进行筛选,请键入完整或部分 Amazon 应用程序 ID(或站点 ID),此 ID 指定为条件以允许使用“以 Amazon 登录”联合身份验证访问您当前账户中的 IAM 角色。要了解更多信息,请参阅 IAM 和 Amazon STS 条件上下文键中的 id 部分。

  • Lambda Event Source Token(Lambda 事件源令牌)- 要按随 Alexa 集成传入的 Lambda 事件源令牌进行筛选,请键入完整或部分令牌字符串。

筛选未使用的访问调查发现

要筛选未使用的访问调查发现

  1. 选择未使用的访问,然后在视图分析器下拉列表中选择分析器。

  2. 选择搜索框以显示可用属性列表。

  3. 请选择要用于筛选所显示结果的属性。

  4. 为该属性选择要匹配的值。仅显示具有该结果中的值的结果。

    例如,选择调查发现类型作为属性,然后选择调查发现类型 =,再选择调查发现类型 = UnusedIAMRole。仅显示类型为 UnusedIAMRole 的调查发现。

您可以添加其他属性来进一步筛选显示的结果。在添加其他属性时,仅显示与筛选器中的所有条件匹配的结果。无法定义筛选器来显示与一个属性或另一个属性匹配的结果。选择清除筛选条件以清除您定义的筛选条件,并显示分析器中具有指定状态的所有调查发现。

只有在查看监控未使用访问的分析器的调查发现时,才会显示下列字段:

  • 调查发现类型 – 要按调查发现类型进行筛选,请按调查发现类型进行筛选,然后选择调查发现类型。

  • Resource(资源)- 要按资源进行筛选,请键入资源的完整或部分名称。

  • Resource Type(资源类型)- 要按资源类型进行筛选,请从显示的列表中选择类型。

  • Resource Owner Account(资源所有者账户):使用此属性按组织中拥有调查发现中报告的资源的账户进行筛选。

  • 调查发现 ID – 要按调查发现 ID 进行筛选,请键入完整或部分调查发现 ID。