解决结果
外部访问调查发现
要解决由您不打算允许的访问生成的外部访问调查发现,请修改策略语句,删除允许访问已标识资源的权限。例如,对于 S3 存储桶上的调查发现,请使用 Amazon S3 控制台配置该存储桶的权限。对于 IAM 角色,请使用 IAM 控制台为列出的 IAM 角色修改信任策略。使用其他受支持资源的控制台修改导致生成结果的策略语句。
在进行更改以解决外部访问调查发现问题后,例如修改应用于 IAM 角色的策略,IAM Access Analyzer 会再次扫描资源。如果资源不再在信任区域之外共享,则结果的状态将变为“Resolved (已解决)”。调查发现不再显示在活动调查发现列表中,而是显示在已解决调查发现列表中。
注意
这不适用于错误调查发现。当 IAM Access Analyzer 无法分析某个资源时,将会生成一个错误调查发现。如果您已解决导致 IAM Access Analyzer 无法分析该资源的问题,则错误调查发现将被完全移除,而不是变为已解决的调查发现。
如果您所做的更改导致资源在信任区域之外通过其他方式进行共享(例如,通过不同的主体或其他权限),则 IAM Access Analyzer 会生成新的活动结果。
注意
在修改策略后,IAM Access Analyzer 可能最多需要 30 分钟来再次分析资源并更新结果。已解决的结果将在上次更新到查找状态后 90 天被删除。
未使用的访问调查发现
要解决未使用的访问调查发现,请使用 IAM 控制台删除未使用的访问密钥、密码、权限或角色。有关更多信息,请参阅以下资源:
-
有关删除访问密钥的更多信息,请参阅管理访问密钥(控制台)。
-
有关删除 IAM 用户密码的更多信息,请参阅创建、更改或删除 IAM 用户密码(控制台)。
-
有关更改 IAM 用户权限的更多信息,请参阅更改用户权限(控制台)。
-
有关删除 IAM 角色的更多信息,请参阅删除 IAM 角色(控制台)。
在进行更改以解决未使用的访问调查发现后,下次运行未使用的访问分析器时,调查发现的状态将变为已解决。调查发现不再显示在活动调查发现列表中,而是显示在已解决调查发现列表中。如果您所做的更改仅部分解决了未使用的访问调查发现,则现有调查发现将变为已解决,但会生成新的调查发现。例如,您只删除调查发现中部分未使用的权限,而不是全部。
IAM Access Analyzer 根据每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价