AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

查看 组织 上次访问的服务数据

您可以使用 IAM 控制台、AWS CLI 或 AWS API 查看 AWS Organizations 的上次访问的服务数据。有关数据、所需的权限、故障排除和支持的区域的重要信息,请参阅使用上次访问的服务数据优化权限

在使用 AWS Organizations 主账户凭证登录到 IAM 控制台时,您可以查看组织中的任何实体的数据。组织 实体包括组织根、组织单位 (OU) 和账户。您也可以使用 IAM 控制台查看组织中的任何服务控制策略 (SCP) 的数据。IAM 显示适用于该实体的任何 SCP 允许的服务列表。对于每个服务,您可以查看所选的 组织 实体或其子实体的最新账户活动数据。

在将 AWS CLI 或 AWS API 与主账户凭证一起使用时,您可以为组织中的任何实体或策略生成数据报告。实体的编程报告包括适用于该实体的任何 SCP 允许的服务列表。对于每个服务,该报告包括指定的 组织 实体或其子树中的账户的最新活动。

在为策略生成编程数据报告时,您必须指定一个 组织 实体。该报告包括指定的 SCP 允许的服务列表。对于每个服务,它包括通过该策略授予权限的实体或其子实体中的最新账户活动。有关更多信息,请参阅 aws iam generate-organizations-access-reportGenerateOrganizationsAccessReport

在查看报告之前,请确保您了解主账户要求和数据、报告周期、报告的实体和评估的策略类型。有关更多信息,请参阅需知信息

查看 组织 的数据(控制台)

您可以使用 IAM 控制台查看根、OU、账户或策略的上次访问的服务数据。

查看根的数据(控制台)

  1. 使用 组织 主账户凭证登录到 AWS 管理控制台,然后打开 IAM 控制台 (https://console.amazonaws.cn/iam/)。

  2. 在导航窗格中,展开 AWS Organizations,然后选择 Organization activity (组织活动)

  3. Organization activity (组织活动) 页面上,选择 Root (根)

  4. Details and activity (详细信息和活动) 选项卡上,查看 Service access report (服务访问报告) 部分。该数据包括直接附加到根的策略允许的服务列表。该数据显示您上次从中访问服务的账户以及访问时间。有关访问服务的委托人的更多详细信息,请以该账户中的管理员身份登录并查看 IAM 的上次访问的服务数据

  5. 选择 Attached SCPs (附加的 SCP) 选项卡以查看附加到根的服务控制策略 (SCP) 列表。IAM 显示每个策略附加到的目标实体数量。您可以使用该信息确定要检查的 SCP。

  6. 选择一个 SCP 名称以查看该策略允许的所有服务。对于每个服务,查看上次从中访问该服务的账户以及访问时间。

  7. 在 组织 控制台中选择 Edit in AWS Organizations (在 AWS Organizations 中编辑) 以查看其他详细信息和编辑 SCP。有关更多信息,请参阅 AWS Organizations 用户指南 中的更新 SCP

查看 OU 或账户的数据(控制台)

  1. 使用 组织 主账户凭证登录到 AWS 管理控制台,然后打开 IAM 控制台 (https://console.amazonaws.cn/iam/)。

  2. 在导航窗格中,展开 AWS Organizations,然后选择 Organization activity (组织活动)

  3. Organization activity (组织活动) 页面上,展开您的组织的结构。接下来,选择要查看的 OU 或任何账户的名称,但主账户除外。

  4. Details and activity (详细信息和活动) 选项卡上,查看 Service access report (服务访问报告) 部分。该数据包括附加到 OU 或账户及其 所有父项的 SCP 允许的服务列表。该数据显示您上次从中访问服务的账户以及访问时间。有关访问服务的委托人的更多详细信息,请以该账户中的管理员身份登录并查看 IAM 上次访问的服务数据

  5. 选择 Attached SCPs (附加的 SCP) 选项卡以查看直接附加到 OU 或账户的服务控制策略 (SCP) 列表。IAM 显示每个策略附加到的目标实体数量。您可以使用该信息确定要检查的 SCP。

  6. 选择一个 SCP 名称以查看该策略允许的所有服务。对于每个服务,查看上次从中访问该服务的账户以及访问时间。

  7. 在 组织 控制台中选择 Edit in AWS Organizations (在 AWS Organizations 中编辑) 以查看其他详细信息和编辑 SCP。有关更多信息,请参阅 AWS Organizations 用户指南 中的更新 SCP

查看主账户的数据(控制台)

  1. 使用 组织 主账户凭证登录到 AWS 管理控制台,然后打开 IAM 控制台 (https://console.amazonaws.cn/iam/)。

  2. 在导航窗格中,展开 AWS Organizations,然后选择 Organization activity (组织活动)

  3. Organization activity (组织活动) 页面上,展开您的组织的结构,然后选择主账户的名称。

  4. Details and activity (详细信息和活动) 选项卡上,查看 Service access report (服务访问报告) 部分。该数据包括所有 AWS 服务的列表。主账户不受 SCP 限制。该数据显示账户上次是否访问服务以及访问时间。有关访问服务的委托人的更多详细信息,请以该账户中的管理员身份登录并查看 IAM 上次访问的服务数据

  5. 选择 Attached SCPs (附加的 SCP) 选项卡以确认没有附加的 SCP,因为该账户是主账户。

查看策略的数据(控制台)

  1. 使用 组织 主账户凭证登录到 AWS 管理控制台,然后打开 IAM 控制台 (https://console.amazonaws.cn/iam/)。

  2. 在导航窗格中,展开 AWS Organizations,然后选择 Service control policies (SCPs) (服务控制策略 (SCP))

  3. Service control policies (SCPs) (服务控制策略 (SCP)) 页面上,查看您组织中的策略列表。您可以查看每个策略附加到的目标实体数量。

  4. 选择一个 SCP 名称以查看该策略允许的所有服务。对于每个服务,查看上次从中访问该服务的账户以及访问时间。

  5. 在 组织 控制台中选择 Edit in AWS Organizations (在 AWS Organizations 中编辑) 以查看其他详细信息和编辑 SCP。有关更多信息,请参阅 AWS Organizations 用户指南 中的更新 SCP

查看 组织 的数据 (AWS CLI)

您可以使用 AWS CLI 检索 组织 根、OU、账户或策略上次访问的服务数据。

查看 组织 上次访问的服务数据 (AWS CLI)

  1. 使用具有所需的 IAM 和 组织 权限的 组织 主账户凭证,并确认为根启用了 SCP。有关更多信息,请参阅 需知信息

  2. 生成报告。请求必须包含要生成报告的 组织 实体(根、OU 或账户)的路径。您可以选择包含 organization-policy-id 参数以查看特定策略的报告。该命令返回 job-id,您可以随后在 get-organizations-access-report 命令中使用该内容以监控 job-status,直到作业完成。

  3. 检索有关使用上一步中的 job-id 参数的报告的详细信息。

    该命令返回实体成员可以访问的服务列表。对于每个服务,该命令返回账户成员的上次尝试日期和时间以及账户的实体路径。它还返回可访问的服务总数以及未访问的服务数。如果指定了可选的 organizations-policy-id 参数,则可访问的服务是指定策略允许的那些服务。

查看 组织 的数据 (AWS API)

您可以使用 AWS API 检索 组织 根、OU、账户或策略的上次访问的服务数据。

查看 组织 的上次访问的服务数据 (AWS API)

  1. 使用具有所需的 IAM 和 组织 权限的 组织 主账户凭证,并确认为根启用了 SCP。有关更多信息,请参阅 需知信息

  2. 生成报告。请求必须包含要生成报告的 组织 实体(根、OU 或账户)的路径。您可以选择包含 OrganizationsPolicyId 参数以查看特定策略的报告。该操作返回 JobId,您可以随后在 GetOrganizationsAccessReport 操作中使用该内容以监控 JobStatus,直到作业完成。

  3. 检索有关使用上一步中的 JobId 参数的报告的详细信息。

    该操作返回实体成员可以访问的服务列表。对于每个服务,该操作返回账户成员的上次尝试日期和时间以及账户的实体路径。它还返回可访问的服务总数以及未访问的服务数。如果指定了可选的 OrganizationsPolicyId 参数,则可访问的服务是指定策略允许的那些服务。