查看 IAM Access Analyzer 调查发现
启用 IAM Access Analyzer 后,下一步是查看所有结果以确定结果中标识的访问是有意的还是无意的。您还可以查看调查发现,以确定针对预期访问的类似调查发现,然后创建存档规则以自动存档这些调查发现。此外,您还可以查看已存档和已解决的结果。
您应查看账户中的所有调查发现,以确定外部、内部或未使用访问是否是预期的且已批准。如果调查发现中识别的访问是预期的,则可以存档该调查发现。将调查发现存档后,其状态将变为已存档,并且该调查发现将从活动调查发现列表中删除。该结果不会被删除。您随时可以查看已存档的结果。处理您账户中的所有结果,直到不存在活动结果。当调查发现为零时,您就会知道任何新生成的活动调查发现是因为环境近期发生了变化。
查看所有类型的访问分析器的活跃调查发现
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
选择 Access analyzer (访问分析器)。将显示调查发现控制面板。
-
选择选择分析器。
-
在选择分析器窗口中,从资源访问分析器下拉列表中选择最多一个外部访问分析器和一个内部访问分析器。从未使用的访问分析器下拉列表中选择一个未使用的访问分析器。
-
选择更新摘要。控制面板上会显示所选访问分析器的活跃调查发现摘要。在资源访问调查发现或未使用的访问调查发现部分中选择一种调查发现类型,以查看所选类型的所有活跃调查发现。
有关查看调查发现控制面板的更多信息,请参阅 查看 IAM Access Analyzer 的调查发现控制面板。
注意
仅在您有权查看分析器的结果时,才会显示结果。
外部和内部访问调查发现
注意
IAM Access Analyzer 根据每个区域每月监控的资源数量对内部访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价
-
在访问分析器下,选择资源分析。
-
选择选择分析器。
-
在选择分析器窗口中,从资源访问分析器下拉列表中选择最多一个外部访问分析器和一个内部访问分析器。
-
选择更新摘要。
资源分析页面显示有关资源的以下详细信息以及所选访问分析器的活跃调查发现:
- 名称
-
含活跃调查发现的资源的名称。
- 类型
-
资源的类型。
- 所有者账户
-
只有当您使用某个组织作为一个或多个选定分析器的信任区域时,才会显示此列。组织中拥有结果中报告的资源的账户。
- 活跃调查发现
-
资源的活跃调查发现的数量和类型的直观表示。将鼠标悬停在该字段上可显示有关资源调查发现的更多信息。
- 公有访问权限
-
表明资源的任何调查发现是否允许公共访问。
未使用的访问调查发现
注意
IAM Access Analyzer 根据每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价
-
在访问分析器下,选择未使用的访问。
-
选择选择分析器。
-
在选择分析器窗口中,从未使用的访问分析器下拉列表中选择一个未使用的访问分析器。
-
选择更新摘要。
未使用的访问页面显示有关为所选访问分析器生成调查发现的 IAM 实体的以下详细信息:
- 调查发现 ID
-
分配给结果的唯一 ID。选择调查发现 ID 以显示有关生成调查发现的 IAM 实体的其他详细信息。
- 调查发现类型
-
未使用的访问调查发现类型:未使用的访问密钥、未使用的密码、未使用的权限或未使用的角色。
- IAM 实体
-
调查发现中报告的 IAM 实体。这可以是 IAM 用户或角色。
- Amazon Web Services 账户 ID
-
仅当您为组织中的所有 Amazon Web Services 账户 设置分析器时,才会显示此列。拥有调查发现中报告的 IAM 实体的组织中的 Amazon Web Services 账户。
- 上次更新
-
调查发现中报告的 IAM 实体上次更新的时间,或者如果未进行任何更新,则为创建该实体的时间。
- 状态
-
调查发现的状态(活动、已存档或已解决)。