AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

查看服务上次访问数据

您可以使用 AWS 管理控制台、AWS CLI 或 AWS API 查看上次访问的服务相关数据。有关上次访问的服务相关数据的更多信息,请参阅使用上次访问的服务相关数据减少权限

注意

在 IAM 中查看资源的访问数据之前,请确保您了解数据的报告周期、报告的实体和已评估的策略类型。有关更多详细信息,请参阅需知信息

查看实体活动(控制台)

在 IAM 控制台中,您可以在 Access Advisor (访问顾问) 选项卡上查看用户、组、角色或策略的上次访问的服务相关数据。

查看上次访问的服务相关数据(控制台)

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,选择 Groups (组)Users (用户)Roles (角色)Policies (策略)

  3. 选择任意用户、组、角色或策略名称以打开其 Summary (摘要) 页面并选择 Access Advisor (访问顾问) 选项卡。根据您选择的资源查看以下信息:

    • – 查看组成员(用户)可以访问的服务的列表、成员上次访问服务的时间,成员使用的组策略以及发出请求的组成员。选择策略的名称以了解它是托管策略还是内联组策略。选择组成员的名称以查看该组的所有成员以及他们上次访问服务的时间。

    • 用户 – 查看用户可以访问的服务的列表、用户上次访问服务的时间以及用户使用的策略。选择策略名称以了解策略是托管策略、内联用户策略还是用户所属组的内联策略。

    • 角色 – 查看角色可以访问的服务的列表、角色上次访问服务的时间以及所使用的策略。选择策略的名称以了解它是托管策略还是内联角色策略。

    • 策略 – 查看具有策略中允许的操作的服务的列表、策略上次用于访问服务的时间以及使用了策略的实体(用户或角色)。选择实体的名称以了解哪些实体已附加此策略以及实体上次访问服务的时间。

查看实体活动 (AWS CLI)

您可以使用 AWS CLI 检索有关 IAM 资源(用户、组、角色或策略)上次用于尝试访问 AWS 服务的数据。

查看上次访问的服务相关数据 (AWS CLI)

  1. 生成报告。请求必须包括要报告的 IAM 资源(用户、组、角色或策略)的 ARN。它返回一个 job-id,您之后可在 get-service-last-accessed-detailsget-service-last-accessed-details-with-entities 操作中使用它来监控 job-status,直到作业完成。

  2. 检索有关使用上一步中的 job-id 参数的报告的详细信息。

    此操作根据 generate-service-last-accessed-details 操作中请求的资源类型返回以下信息:

    • 用户 – 返回指定用户可访问的服务的列表。对于每个服务,此操作返回用户上次尝试的日期和时间以及用户的 ARN。

    • – 返回指定组的成员可使用附加到组的策略访问的服务的列表。对于每个服务,此操作返回任何组成员(用户)上次尝试的日期和时间。它还返回该用户的 ARN 以及已尝试访问服务的组成员的总数。使用 GetServiceLastAccessedDetailsWithEntities 操作可检索所有成员的列表。

    • 角色 – 返回指定角色可访问的服务的列表。对于每个服务,此操作返回角色上次尝试的日期和时间以及角色的 ARN。

    • 策略 – 返回指定策略允许访问的服务的列表。对于每个服务,此操作返回实体(用户或角色)上次尝试使用策略访问服务的日期和时间。它还返回实体的 ARN 以及已尝试访问的实体的总数。

  3. 了解有关在尝试访问特定服务时使用组或策略权限的实体的更多信息。此操作返回具有每个实体的 ARN、ID、名称、路径、类型(用户或角色)的实体列表以及实体上次尝试访问服务的时间。您还可以对用户和角色使用此操作,但它仅返回有关该实体的信息。

  4. 了解有关在尝试访问特定服务时身份(用户、组或角色)使用的基于身份的策略的更多信息。在指定身份和服务时,此操作返回身份可用于访问指定服务的权限策略的列表。此操作提供策略的当前状态,而不依赖于生成的报告。它也不返回其他策略类型,例如基于资源的策略、访问控制列表、AWS Organizations 策略、IAM 权限边界或会话策略。有关更多信息,请参阅 策略类型评估单个账户中的策略

查看实体活动 (AWS API)

您可以使用 AWS API 检索有关 IAM 资源(用户、组、角色或策略)上次用于尝试访问 AWS 服务的数据。

查看上次访问的服务相关数据 (AWS API)

  1. 生成报告。请求必须包括要报告的 IAM 资源(用户、组、角色或策略)的 ARN。它返回一个 JobId,您之后可在 GetServiceLastAccessedDetailsGetServiceLastAccessedDetailsWithEntities 操作中使用它来监控 JobStatus,直到作业完成。

  2. 检索有关使用上一步中的 JobId 参数的报告的详细信息。

    此操作根据 GenerateServiceLastAccessedDetails 操作中请求的资源类型返回以下信息:

    • 用户 – 返回指定用户可访问的服务的列表。对于每个服务,此操作返回用户上次尝试的日期和时间以及用户的 ARN。

    • – 返回指定组的成员可使用附加到组的策略访问的服务的列表。对于每个服务,此操作返回任何组成员(用户)上次尝试的日期和时间。它还返回该用户的 ARN 以及已尝试访问服务的组成员的总数。使用 GetServiceLastAccessedDetailsWithEntities 操作可检索所有成员的列表。

    • 角色 – 返回指定角色可访问的服务的列表。对于每个服务,此操作返回角色上次尝试的日期和时间以及角色的 ARN。

    • 策略 – 返回指定策略允许访问的服务的列表。对于每个服务,此操作返回实体(用户或角色)上次尝试使用策略访问服务的日期和时间。它还返回实体的 ARN 以及已尝试访问的实体的总数。

  3. 了解有关在尝试访问特定服务时使用组或策略权限的实体的更多信息。此操作返回具有每个实体的 ARN、ID、名称、路径、类型(用户或角色)的实体列表以及实体上次尝试访问服务的时间。您还可以对用户和角色使用此操作,但它仅返回有关该实体的信息。

  4. 了解有关在尝试访问特定服务时身份(用户、组或角色)使用的基于身份的策略的更多信息。在指定身份和服务时,此操作返回身份可用于访问指定服务的权限策略的列表。此操作提供策略的当前状态,而不依赖于生成的报告。它也不返回其他策略类型,例如基于资源的策略、访问控制列表、AWS Organizations 策略、IAM 权限边界或会话策略。有关更多信息,请参阅 策略类型评估单个账户中的策略