查看 IAM Access Analyzer 调查发现 - Amazon Identity and Access Management
外部访问调查发现未使用的访问调查发现
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

查看 IAM Access Analyzer 调查发现

启用 IAM Access Analyzer 后,下一步是查看所有结果以确定结果中标识的访问是有意的还是无意的。您还可以查看调查发现,以确定针对预期访问的类似调查发现,然后创建存档规则以自动存档这些调查发现。此外,您还可以查看已存档和已解决的结果。

您应查看账户中的所有调查发现,以确定外部或未使用的访问是否是预期的和批准的。如果调查发现中确定的外部或未使用的访问是预期的,则可以将调查发现存档。将调查发现存档后,其状态将变为已存档,并且该调查发现将从活动调查发现列表中删除。该结果不会被删除。您随时可以查看已存档的结果。处理您账户中的所有结果,直到不存在活动结果。当调查发现为零时,您就会知道任何新生成的活动调查发现是因为环境近期发生了变化。

要查看调查发现

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 选择 Access analyzer (访问分析器)

  3. 将显示调查发现控制面板。为外部或未使用的访问分析器选择活动调查发现。

    有关查看调查发现控制面板的更多信息,请参阅 查看 IAM Access Analyzer 的调查发现控制面板

注意

仅在您有权查看分析器的结果时,才会显示结果。

将为分析器显示所有调查发现。要查看分析器生成的其他调查发现,请从状态下拉列表中选择相应的调查发现类型:

  • 选择 Active (活动) 可查看分析器已生成的所有活动结果。

  • 选择 Archived (已存档) 可仅查看已存档的由分析器生成的结果。要了解更多信息,请参阅 存档 IAM Access Analyzer 调查发现

  • 选择 Resolved (已解决) 可仅查看已解决的由分析器生成的结果。修复生成调查发现的问题后,调查发现状态将变为已解决

    重要

    已解决的结果将在上次更新后 90 天被删除。除非您删除生成活动结果和已存档结果的分析器,否则不会删除这些结果。

  • 选择 All (全部) 可查看分析器生成的具有任何状态的所有结果。

外部访问调查发现

选择外部访问,然后从视图分析器下拉列表中选择外部视图分析器。外部访问分析器的调查发现页面显示有关生成调查发现的共享资源和策略语句的以下详细信息:

调查发现 ID

分配给结果的唯一 ID。选择结果 ID 可显示有关生成结果的资源和策略语句的其他详细信息。

资源

已应用策略的资源的类型和部分名称,该策略向不在信任区域内的外部实体授予访问权限。

Resource owner account (资源拥有者账户)

仅当您使用组织作为信任区域时,才会显示此列。组织中拥有结果中报告的资源的账户。

External principal (外部主体

分析的策略向其授予访问权限的主体(不在您的信任区域内)。有效值包括:

  • Amazon Web Services 账户:列出的 Amazon Web Services 账户 中拥有该账户管理员权限的所有主体都可以访问资源。

  • 任何主体:任何 Amazon Web Services 账户 中符合条件列中包含的条件的任何主体都有权访问资源。例如,如果列出了一个 VPC,则意味着任何账户中有权访问该 VPC 的任何主体都能访问资源。

  • 规范用户:Amazon Web Services 账户 中具有列出的规范用户 ID 的所有主体都有权访问资源。

  • IAM role(IAM 角色)- 列出的 IAM 角色有权访问资源。

  • IAM user(IAM 用户)- 列出的 IAM 用户有权访问资源。

Condition

策略语句中用于授予访问权限的条件。例如,如果 Condition (条件) 字段包含 Source VPC (源 VPC),则意味着将与有权访问列出的 VPC 的主体共享资源。条件可以是全局性的,也可以是服务特定的。全局条件键具有 aws: 前缀。

Shared through (共享方式)

Shared through (共享方式) 字段指定如何授予生成结果的访问权限。有效值包括:

  • 存储桶策略 — 附加到 Amazon S3 存储桶的存储桶策略。

  • Access control list(访问控制列表)- 附加到 Amazon S3 存储桶的访问控制列表 (ACL)。

  • 访问点 — 与 Amazon S3 存储桶关联的访问点或多区域访问点。访问点的 ARN 显示在 Findings (结果) 详细信息中。

访问级别

基于资源的策略中的操作向外部实体授予的访问权限的级别。查看结果的详细信息以了解更多信息。访问级别值包括:

  • List(列出)- 列出服务内的资源以确定某个对象是否存在的权限。此访问权限级别的操作可以列出对象,但是看不到资源的内容。

  • Read(读取)- 读取服务中资源的内容和属性但不对其进行编辑的权限。

  • Write(写入)- 在服务中创建、删除或修改资源的权限。

  • Permissions(权限)- 在服务中授予或修改资源权限的权限。

  • Tagging(标记)- 执行仅更改资源标签状态的操作的权限。

资源控制策略(RCP)限制

Organizations 资源控制策略(RCP)对调查发现的影响。资源控制策略限制值包括以下值:

  • 错误:评估 RCP 时出错。

  • 不适用:没有 RCP 限制此资源或主体。其中还包括尚不支持 RCP 的资源。

  • 适用:您的组织管理员已经通过影响资源或资源类型的 RCP 设置了限制。请联系您的组织管理员,以获取更多详细信息。

上次更新

结果状态的最近更新的时间戳,或生成结果的日期和时间(如果未进行更新)。

注意

修改策略后,IAM Access Analyzer 可能需要 30 分钟来分析资源,然后更新外部访问调查发现。资源控制策略(RCP)更改不会触发对调查发现中报告的资源进行重新扫描。IAM Access Analyzer 会在下一个定期扫描期间(24 小时内)分析新策略或更新后的策略。

状态

结果的状态为 Active (活动)Archived (已存档)Resolved (已解决)

未使用的访问调查发现

IAM Access Analyzer 根据每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价

选择未使用的访问,然后从视图分析器下拉列表中选择未使用的访问分析器。未使用的访问分析器的调查发现页面显示有关生成调查发现的 IAM 实体的以下详细信息:

调查发现 ID

分配给结果的唯一 ID。选择调查发现 ID 以显示有关生成调查发现的 IAM 实体的其他详细信息。

调查发现类型

未使用的访问调查发现类型:未使用的访问密钥未使用的密码未使用的权限未使用的角色

IAM 实体

调查发现中报告的 IAM 实体。这可以是 IAM 用户或角色。

Amazon Web Services 账户 ID

仅当您为组织中的所有 Amazon Web Services 账户 设置分析器时,才会显示此列。拥有调查发现中报告的 IAM 实体的组织中的 Amazon Web Services 账户。

上次更新

调查发现中报告的 IAM 实体上次更新的时间,或者如果未进行任何更新,则为创建该实体的时间。

状态

调查发现的状态(活动已存档已解决)。