处理调查发现 - Amazon Identity and Access Management
外部访问调查发现未使用的访问调查发现
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

处理调查发现

外部访问调查发现

对于在信任区域之外共享的每个资源实例,仅生成一次外部访问调查发现。每当修改基于资源的策略时,IAM Access Analyzer 都会分析策略。如果更新的策略共享结果中已标识的资源,但具有不同的权限或条件,则会为该资源共享实例生成新结果。如果第一个调查发现中的访问被删除,则该调查发现的状态将更新为已解决

所有调查发现保持活动状态,直到您将其存档或删除生成调查发现的访问。在删除访问时,调查发现状态将更新为已解决

注意

修改策略后,IAM Access Analyzer 可能需要 30 分钟来分析资源,然后更新外部访问调查发现。

未使用的访问调查发现

根据创建分析器时指定的天数,为选定账户或组织内的 IAM 实体生成未使用的访问调查发现。如果满足以下条件之一,则分析器下次扫描实体时会生成新的调查发现:

  • 角色在指定的天数内处于非活动状态。

  • 未使用的权限、未使用的用户密码或未使用的用户访问密钥超过指定的天数。

您应查看账户中的所有调查发现,以确定外部或未使用的访问是否是预期的和批准的。如果调查发现中确定的外部或未使用的访问是预期的,则可以将调查发现存档。将调查发现存档后,其状态将变为已存档,并且该调查发现将从活动调查发现列表中删除。该结果不会被删除。您随时可以查看已存档的结果。处理您账户中的所有结果,直到不存在活动结果。当调查发现为零时,您就会知道任何新生成的活动调查发现是因为环境近期发生了变化。

注意

未使用的访问调查发现只能通过 ListFindingsV2 API 操作获得。