Temuan kesalahan IAM Access Analyzer - AWS Identity and Access Management
Temuan kesalahan akses eksternalTemuan kesalahan akses internalMenyelesaikan temuan kesalahan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Temuan kesalahan IAM Access Analyzer

Ketika IAM Access Analyzer menganalisis sumber daya, biasanya menghasilkan temuan yang menunjukkan siapa yang memiliki akses ke sumber daya Anda. Namun, dalam beberapa kasus, penganalisis mungkin mengalami masalah yang mencegahnya menyelesaikan analisis. Dalam situasi ini, IAM Access Analyzer menghasilkan temuan kesalahan sebagai gantinya.

Temuan kesalahan menunjukkan bahwa IAM Access Analyzer tidak dapat menyelesaikan analisis untuk sumber daya tertentu atau untuk pasangan sumber daya utama tertentu. Temuan ini membantu Anda mengidentifikasi sumber daya yang mungkin perlu diperhatikan untuk memastikan analisis yang tepat.

Temuan kesalahan akses eksternal

Penganalisis akses eksternal, yang mengidentifikasi sumber daya yang dibagikan di luar akun atau organisasi Anda, dapat menghasilkan dua jenis temuan kesalahan:

  • INTERNAL_ERROR — Menunjukkan bahwa IAM Access Analyzer mengalami masalah internal saat menganalisis sumber daya. Ini bisa disebabkan oleh keterbatasan layanan atau masalah sementara.

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR",
	"createdAt": "2022-07-14T01:31:43.085000+00:00",
	"resourceType": "AWS::IAM::Role",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
}

  • ACCESS_DENIED — Menunjukkan bahwa IAM Access Analyzer tidak memiliki izin yang diperlukan untuk menganalisis sumber daya. Ini biasanya terjadi ketika peran terkait layanan (SLR) untuk IAM Access Analyzer ditolak akses ke sumber daya.

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
	"status": "ACTIVE",
	"error": "ACCESS_DENIED",
	"createdAt": "2022-07-14T01:31:43.104000+00:00",
	"resourceType": "AWS::KMS::Key",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
}

Temuan kesalahan akses internal

Penganalisis akses internal, yang mengidentifikasi akses dalam akun atau organisasi Anda, dapat menghasilkan empat jenis temuan kesalahan:

  • PRINCIPAL_LIMIT_EXCEEDED — Dihasilkan ketika lebih dari 3.000 kepala sekolah memiliki akses ke sumber daya penting. Kesalahan ini membantu Anda mengidentifikasi sumber daya dengan akses yang terlalu luas yang mungkin perlu dibatasi.

    Jika Anda membuat perubahan pada sumber daya atau prinsip di lingkungan Anda yang membawa jumlah prinsipal di bawah batas, penganalisis akan menghasilkan temuan normal selama pemindaian berikutnya, dan temuan kesalahan akan ditandai sebagai diselesaikan.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • Kesalahan tingkat sumber daya (INTERNAL_ERROR atau ACCESS_DENIED) — Mirip dengan kesalahan akses eksternal, ini menunjukkan bahwa penganalisis tidak dapat menganalisis sumber daya tertentu karena masalah internal atau masalah izin. Ketika kesalahan tingkat sumber daya terjadi, penganalisis menghasilkan satu temuan kesalahan untuk sumber daya alih-alih temuan normal.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • Kesalahan tingkat utama (INTERNAL_ERROR atau ACCESS_DENIED) - Menunjukkan bahwa penganalisis tidak dapat menganalisis akses untuk prinsipal tertentu ke sumber daya tertentu. Tidak seperti kesalahan tingkat sumber daya, sumber daya dapat memiliki temuan normal untuk beberapa prinsip dan temuan kesalahan untuk prinsip lainnya.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess", 
	"findingDetails": [
		{
			"internalAccessDetails": {
				"principal": {
					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
				},
				"principalOwnerAccount": "111122223333",
				"principalType": "IAM_ROLE",
				"accessType": "INTRA_ACCOUNT"
			}
		}
	]
}

  • PRINCIPAL_ERRORS_LIMIT_EXCEEDED — Dihasilkan ketika ada terlalu banyak temuan kesalahan tingkat utama untuk satu sumber daya. Ini adalah temuan kesalahan tingkat sumber daya yang mungkin muncul di samping temuan normal untuk sumber daya yang sama.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Menyelesaikan temuan kesalahan

Jika Anda menyelesaikan masalah yang mencegah IAM Access Analyzer menganalisis sumber daya, temuan kesalahan akan dihapus sepenuhnya alih-alih mengubah ke temuan yang diselesaikan.

Untuk mengatasi temuan kesalahan, pertimbangkan pendekatan berikut berdasarkan jenis kesalahan:

  • Untuk kesalahan ACCESS_DENIED, verifikasi bahwa peran terkait layanan IAM Access Analyzer memiliki izin yang diperlukan untuk mengakses sumber daya.

  • Untuk kesalahan PRINCIPAL_LIMIT_EXCEEDED, tinjau kebijakan akses sumber daya dan pertimbangkan untuk membatasi akses ke lebih sedikit prinsipal.

  • Untuk temuan INTERNAL_ERROR, Anda mungkin perlu menunggu siklus analisis berikutnya atau menghubungi AWS dukungan jika masalah berlanjut.

  • Untuk PRINCIPAL_ERRORS_LIMIT_EXCEEDED, tinjau dan sederhanakan pola akses untuk sumber daya yang terpengaruh.

Setelah membuat perubahan untuk mengatasi masalah mendasar, IAM Access Analyzer akan mencoba menganalisis sumber daya lagi selama siklus pemindaian berikutnya.