外部和未使用的访问的调查发现 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

外部和未使用的访问的调查发现

IAM Access Analyzer 会生成 Amazon Web Services 账户 或组织中的外部访问和未使用的访问的调查发现。对于外部访问,IAM Access Analyzer 为基于资源的策略的每个实例生成一个调查发现,该策略可向不在信任区域内的主体授予对信任区域内的资源的访问权限。创建外部访问分析器时,您可以选择组织或 Amazon Web Services 账户 进行分析。您为分析器选择的组织或账户中的任何主体都被视为受信任。由于同一组织或账户中的主体是受信任的,因此组织或账户中的资源和主体构成了分析器的信任区域。信任区域内的任何共享都被视为是安全的,因此 IAM Access Analyzer 不会生成结果。例如,如果选择某个组织作为分析器的信任区域,则该组织中的所有资源和主体都在信任区域内。如果您将某个组织成员账户中的 Amazon S3 存储桶的权限授予其他组织成员账户中的主体,IAM Access Analyzer 不会生成调查发现。但是,如果您向非企业成员账户中的主体授予权限,则 IAM Access Analyzer 会生成结果。

IAM Access Analyzer 还会为 Amazon 组织和账户中授予的未使用的访问生成调查发现。创建未使用的访问分析器时,IAM Access Analyzer 会持续监控 Amazon 组织和账户中的所有 IAM 角色和用户,并生成未使用的访问的调查发现。IAM Access Analyzer 为未使用的访问生成以下类型的调查发现:

  • 未使用的角色:在指定使用窗口内没有访问活动的角色。

  • 未使用的 IAM 用户访问密钥和密码:未用于在指定使用窗口内访问 Amazon Web Services 账户 的属于 IAM 用户的凭证。

  • 未使用的权限:角色在指定使用窗口内未使用的服务级别和操作级别权限。IAM Access Analyzer 使用附加到角色的基于身份的策略来确定这些角色可以访问的服务和操作。IAM Access Analyzer 支持查看所有服务级别权限的未使用权限。有关未使用的访问调查发现支持的操作级别权限的完整列表,请参阅 上次访问 IAM 操作信息的服务和操作

注意

IAM Access Analyzer 免费提供外部访问调查发现,未使用的访问调查发现按每月每个分析器分析的 IAM 角色和用户数量收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价