IAM Access Analyzer 调查发现 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

IAM Access Analyzer 调查发现

IAM Access Analyzer 会生成 Amazon Web Services 账户 或组织中的外部访问、内部访问和未使用访问的调查发现。

对于外部访问,IAM Access Analyzer 为基于资源的策略的每个实例生成一个调查发现,该策略可向不在信任区域内的主体授予对信任区域内的资源的访问权限。创建外部访问分析器时,您可以选择组织或 Amazon Web Services 账户 进行分析。您为分析器选择的组织或账户中的任何主体都被视为受信任。由于同一组织或账户中的主体是受信任的,因此组织或账户中的资源和主体构成了分析器的信任区域。信任区域内的任何共享都被视为是安全的,因此 IAM Access Analyzer 不会生成结果。例如,如果选择某个组织作为分析器的信任区域,则该组织中的所有资源和主体都在信任区域内。如果您将某个组织成员账户中的 Amazon S3 存储桶的权限授予其他组织成员账户中的主体,IAM Access Analyzer 不会生成调查发现。但是,如果您向非企业成员账户中的主体授予权限,则 IAM Access Analyzer 会生成结果。

对于内部访问,当您的组织内的 IAM 角色或用户与您指定的资源之间存在可能的访问路径时,IAM Access Analyzer 会生成调查发现。与外部访问分析类似,您选择的范围(组织或账户)决定了什么被视为内部。如果选择一个组织作为范围,IAM Access Analyzer 将生成组织内主体和资源之间的访问路径的调查发现。如果您选择一个账户,则将为该特定账户内的访问路径生成调查发现。IAM Access Analyzer 使用自动推理来评估所有 IAM 策略,以监控谁有权访问您的资源。

将外部和内部访问调查发现与相同的信任区域相结合,可以对来自定义的信任边界内部和外部的特定资源所有可能访问进行全面分析。

对于未使用访问,IAM Access Analyzer 会为 Amazon 组织和账户中授予的未使用访问生成调查发现。创建未使用的访问分析器时,IAM Access Analyzer 会持续监控 Amazon 组织和账户中的所有 IAM 角色和用户,并生成未使用的访问的调查发现。IAM Access Analyzer 为未使用的访问生成以下类型的调查发现:

  • 未使用的角色:在指定使用窗口内没有访问活动的角色。

  • 未使用的 IAM 用户访问密钥和密码:未用于在指定使用窗口内访问 Amazon Web Services 账户 的属于 IAM 用户的凭证。

  • 未使用的权限:角色在指定使用窗口内未使用的服务级别和操作级别权限。IAM Access Analyzer 使用附加到角色的基于身份的策略来确定这些角色可以访问的服务和操作。IAM Access Analyzer 支持查看所有服务级别权限的未使用权限。有关未使用的访问调查发现支持的操作级别权限的完整列表,请参阅 上次访问 IAM 操作信息的服务和操作

注意

IAM Access Analyzer 免费提供外部访问调查发现。根据每个分析器每月分析的 IAM 角色和用户数量,对未使用访问调查发现收取费用。根据每个分析器每月监控的 Amazon 资源数量,还会对内部访问调查发现收取费用。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价

主题