查看结果
启用 Access Analyzer 后,下一步是查看所有结果以确定结果中标识的访问是有意的还是无意的。您还可以查看结果以确定预期访问的常见结果,然后创建存档规则以自动对这些结果进行存档。此外,您还可以查看已存档和已解决的结果。
查看结果
-
打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
选择 Access analyzer (访问分析器)。
仅在您有权查看分析器的结果时,才会显示结果。
将为分析器显示所有活动结果。要查看由分析器生成的其他结果,请选择相应的选项卡:
-
选择 Active (活动) 可查看分析器已生成的所有活动结果。
-
选择 Archived (已存档) 可仅查看已存档的由分析器生成的结果。要了解更多信息,请参阅“对结果进行存档”。
-
选择 Resolved (已解决) 可仅查看已解决的由分析器生成的结果。修复生成结果的问题后,结果状态会变为“Resolved (已解决)”。
重要 已解决的结果将在上次更新后 90 天被删除。除非您删除生成活动结果和已存档结果的分析器,否则不会删除这些结果。
-
选择 All (全部) 可查看分析器生成的具有任何状态的所有结果。
Findings (结果) 页显示有关生成结果的共享资源和策略语句的以下详细信息:
- 结果 ID
-
分配给结果的唯一 ID。选择结果 ID 可显示有关生成结果的资源和策略语句的其他详细信息。
- 资源
-
已应用策略的资源的类型和部分名称,该策略向不在信任区域内的外部实体授予访问权限。
- Resource owner account (资源拥有者账户
-
仅当您使用组织作为信任区域时,才会显示此列。组织中拥有结果中报告的资源的账户。
- External principal (外部委托人
-
分析的策略向其授予访问权限的委托人(不在您的信任区域内)。有效值包括:
-
Amazon 账户 - 列出的 Amazon 账户中拥有该账户管理员权限的所有委托人都可以访问资源。
-
Any principal(任何委托人)- 任何 Amazon 账户中符合 Conditions(条件)列中包含的条件的所有委托人都有权访问资源。例如,如果列出了一个 VPC,则意味着任何账户中有权访问该 VPC 的任何委托人都能访问资源。
-
Canonical user(规范用户)- Amazon 账户中具有列出的规范用户 ID 的所有委托人都有权访问资源。
-
IAM role(IAM 角色)- 列出的 IAM 角色有权访问资源。
-
IAM user(IAM 用户)- 列出的 IAM 用户有权访问资源。
-
- Condition
-
策略语句中用于授予访问权限的条件。例如,如果 Condition (条件) 字段包含 Source VPC (源 VPC),则意味着将与有权访问列出的 VPC 的委托人共享资源。条件可以是全局性的,也可以是服务特定的。全局条件键具有
aws:前缀。 - Shared through (共享方式
-
Shared through (共享方式) 字段指定如何授予生成结果的访问权限。有效值包括:
-
存储桶策略 — 附加到 Amazon S3 存储桶的存储桶策略。
-
Access control list(访问控制列表)- 附加到 Amazon S3 存储桶的访问控制列表 (ACL)。
-
访问点 — 与 Amazon S3 存储桶关联的访问点或多区域访问点。访问点的 ARN 显示在 Findings (结果) 详细信息中。
-
- 访问级别
-
基于资源的策略中的操作向外部实体授予的访问权限的级别。查看结果的详细信息以了解更多信息。访问级别值包括:
-
List(列出)- 列出服务内的资源以确定某个对象是否存在的权限。此访问权限级别的操作可以列出对象,但是看不到资源的内容。
-
Read(读取)- 读取服务中资源的内容和属性但不对其进行编辑的权限。
-
Write(写入)- 在服务中创建、删除或修改资源的权限。
-
Permissions(权限)- 在服务中授予或修改资源权限的权限。
-
Tagging(标记)- 执行仅更改资源标签状态的操作的权限。
-
- Updated
-
结果状态的最近更新的时间戳,或生成结果的日期和时间(如果未进行更新)。
注意 在修改策略后,Access Analyzer 可能最多需要 30 分钟来再次分析资源并更新结果。
- 状态
-
结果的状态为 Active (活动)、Archived (已存档) 或 Resolved (已解决)。