AWS Identity and Access Management
用户指南
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

获取您 AWS 账户的证书报告

您可以生成和下载列出您账户中所有用户及其各个证书状态(包括密码、访问密钥和 MFA 设备)的证书报告。您可以从 AWS 管理控制台、AWS 软件开发工具包命令行工具或 IAM API 获取凭证报告。

您可以使用证书报告帮助您进行审核和合规性工作。您可以使用报告审核证书生命周期要求的效果,如密码和访问密钥轮换。您可以向外部审核员提供报告,或向审核员授予权限,以便他或她可以直接下载报告。

您可以按每四小时一次的频率生成证书报告。请求报告时,IAM 先检查在过去四小时内是否生成了 AWS 账户的报告。如果是,则下载最新的报告。如果账户的最新报告是四小时前生成的,或者如果账户以前没有报告,则 IAM 生成并下载新报告。

所需权限

  • 创建凭证报告:GenerateCredentialReport

  • 下载报告:GetCredentialReport

了解报告格式

凭证报告采用逗号分隔值 (CSV) 文件格式。您可以使用常用电子表格软件打开 CSV 文件以执行分析,也可以构建应用程序以编程方式使用 CSV 文件并执行自定义分析。

CSV 文件包含以下列:

用户

用户的友好名称。

arn

用户的 Amazon 资源名称 (ARN)。有关 ARN 的更多信息,请参阅IAM ARN

user_creation_time

创建用户的日期和时间,ISO 8601 日期时间格式

password_enabled

如果用户有密码,则此值为 TRUE。否则为 FALSE。AWS 账户根用户 的值始终为 not_supported

password_last_used

AWS 账户根用户 或 IAM 用户的密码上次用于登录 AWS 网站的日期和时间,采用 ISO 8601 日期时间格式。捕获用户上次登录时间的 AWS 网站是 AWS 管理控制台、AWS 开发论坛和 AWS Marketplace。如果密码在 5 分钟的时间范围内多次使用,则仅在此字段中记录第一次使用。

  • 此字段的值在以下情况下为 no_information

    • 用户的密码从未使用过。

    • 没有与密码关联的登录数据,例如,当用户的密码在 IAM 于 2014 年 10 月 20 日开始跟踪此信息后尚未使用时。

  • 如果用户没有密码,此字段中的值为 N/A (不适用)。

password_last_changed

上次设置用户密码的日期和时间,ISO 8601 日期时间格式。如果用户没有密码,则此字段中的值为 N/A (不适用)。AWS 账户 (根) 的值始终是 not_supported

password_next_rotation

如果账户的密码策略要求密码轮换,则此字段包含用户需要设置新密码的日期和时间,ISO 8601 日期时间格式。AWS 账户 (根) 的值始终是 not_supported

mfa_active

如果对用户启用了多重验证 (MFA) 设备,则此值为 TRUE。否则为 FALSE

access_key_1_active

如果用户有访问密钥且访问密钥状态为 Active,则此值为 TRUE。否则为 FALSE

access_key_1_last_rotated

创建或上次更改用户访问密钥的日期和时间,ISO 8601 日期时间格式。如果用户没有活动的访问密钥,则此字段中的值为 N/A (不适用)。

access_key_1_last_used_date

最近使用用户的访问密钥签署 AWS API 请求的日期和时间 (采用 ISO 8601 日期时间格式)。如果访问密钥在 15 分钟的时间范围内多次使用,则仅在此字段中记录第一次使用。

此字段的值在这些情况下为 N/A (不适用):

  • 用户没有访问密钥。

  • 访问密钥从未使用过。

  • 访问密钥在 IAM 于 2015 年 4 月 22 日开始跟踪此信息后尚未使用。

access_key_1_last_used_region

最近使用访问密钥的 AWS 区域。如果访问密钥在 15 分钟的时间范围内多次使用,则仅在此字段中记录第一次使用。

此字段的值在这些情况下为 N/A (不适用):

  • 用户没有访问密钥。

  • 访问密钥从未使用过。

  • 上次使用访问密钥是在 IAM 于 2015 年 4 月 22 日开始跟踪此信息之前。

  • 上次使用的服务不是特定于区域的服务,如 Amazon Simple Storage Service (Amazon S3)。

access_key_1_last_used_service

最近使用访问密钥访问的 AWS 服务。此字段的值使用服务的 namespace,例如,s3 表示 Amazon S3,ec2 表示 Amazon Elastic Compute Cloud (Amazon EC2)。如果访问密钥在 15 分钟的时间范围内多次使用,则仅在此字段中记录第一次使用。

此字段的值在这些情况下为 N/A (不适用):

  • 用户没有访问密钥。

  • 访问密钥从未使用过。

  • 上次使用访问密钥是在 IAM 于 2015 年 4 月 22 日开始跟踪此信息之前。

access_key_2_active

如果用户有第二个访问密钥且第二个键的状态为 Active,则此值为 TRUE。否则为 FALSE

注意

用户最多可以有两个访问密钥,以便于进行轮换。有关轮换访问密钥的更多信息,请参阅轮换访问密钥

access_key_2_last_rotated

创建或上次更改用户第二个访问密钥的日期和时间,ISO 8601 日期时间格式。如果用户没有第二个活动的访问密钥,则此字段中的值为 N/A (不适用)。

access_key_2_last_used_date

最近使用用户的第二个访问密钥签署 AWS API 请求的日期和时间 (采用 ISO 8601 日期时间格式)。如果访问密钥在 15 分钟的时间范围内多次使用,则仅在此字段中记录第一次使用。

此字段的值在这些情况下为 N/A (不适用):

  • 用户没有第二个访问密钥。

  • 用户的第二个访问密钥从未使用过。

  • 上次使用用户的第二个访问密钥是在 IAM 于 2015 年 4 月 22 日开始跟踪此信息之前。

access_key_2_last_used_region

最近使用用户的第二个访问密钥的 AWS 区域。如果访问密钥在 15 分钟的时间范围内多次使用,则仅在此字段中记录第一次使用。此字段的值在这些情况下为 N/A (不适用):

  • 用户没有第二个访问密钥。

  • 用户的第二个访问密钥从未使用过。

  • 上次使用用户的第二个访问密钥是在 IAM 于 2015 年 4 月 22 日开始跟踪此信息之前。

  • 上次使用的服务不是特定于区域的服务,如 Amazon S3。

access_key_2_last_used_service

最近使用用户的第二个访问密钥访问的 AWS 服务。此字段的值使用服务的 namespace,例如,s3 表示 Amazon S3,ec2 表示 Amazon Elastic Compute Cloud (Amazon EC2)。如果访问密钥在 15 分钟的时间范围内多次使用,则仅在此字段中记录第一次使用。此字段的值在这些情况下为 N/A (不适用):

  • 用户没有第二个访问密钥。

  • 用户的第二个访问密钥从未使用过。

  • 上次使用用户的第二个访问密钥是在 IAM 于 2015 年 4 月 22 日开始跟踪此信息之前。

cert_1_active

如果用户有 X.509 签名证书且证书状态为 Active,则此值为 TRUE。否则为 FALSE

cert_1_last_rotated

创建或上次更改用户签名证书的日期和时间,ISO 8601 日期时间格式。如果用户没有活动的签名证书,则此字段中的值为 N/A (不适用)。

cert_2_active

如果用户有第二个 X.509 签名证书且证书状态为 Active,则此值为 TRUE。否则为 FALSE

注意

用户最多可以有两个 X.509 签名证书,以便于进行证书轮换。

cert_2_last_rotated

创建或上次更改用户第二个签名证书的日期和时间,ISO 8601 日期时间格式。如果用户没有第二个活动的签名证书,则此字段中的值为 N/A (不适用)。

获取证书报告 (AWS 管理控制台)

您可以使用 AWS 管理控制台下载逗号分隔值 (CSV) 文件形式的证书报告。

使用 AWS 管理控制台下载证书报告

  1. 登录 AWS 管理控制台 并通过以下网址打开 IAM 控制台 https://console.amazonaws.cn/iam/

  2. 在导航窗格中,单击 Credential Report

  3. 单击 Download Report

获取凭证报告 (AWS CLI、Windows PowerShell 工具 或 IAM API)

生成凭证报告

您可以使用以下命令创建凭证报告:

检索凭证报告

您可以使用以下命令检索生成的凭证报告: