# 解决 IAM Access Analyzer 调查发现
<a name="access-analyzer-findings-remediate"></a>

## 解决资源调查发现
<a name="access-analyzer-findings-remediate-external"></a>

为了解决从意外访问生成的外部和内部访问调查发现，您应该修改策略语句以删除允许访问已识别资源的权限。

对于与 Amazon S3 存储桶相关的调查发现，请使用 Amazon S3 控制台配置该存储桶的权限。

对于 IAM 角色，请使用 IAM 控制台为列出的 IAM 角色[修改信任策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html#roles-managingrole_edit-trust-policy)。

对于其他受支持的资源，请使用控制台修改导致生成的调查发现的策略语句。

在进行更改以解决资源调查发现后，例如修改应用于 IAM 角色的策略，IAM Access Analyzer 将再次扫描资源。如果删除了对资源的访问，则调查发现的状态将更改为**已解决**。调查发现随后将显示在已解决的调查发现列表中，而不是活动调查发现列表中。

**注意**  
这不适用于**错误**调查发现。当 IAM Access Analyzer 无法分析某个资源时，它将生成一个错误调查发现。如果已解决导致 IAM Access Analyzer 无法分析该资源的问题，则错误调查发现将被完全移除，而不是变为已解决的调查发现。有关更多信息，请参阅 [IAM Access Analyzer 错误调查发现](access-analyzer-error-findings.md)。

如果所做的更改导致通过其他方式对资源进行外部或内部访问（例如，通过不同的主体或其他权限），则 IAM Access Analyzer 将解决原始调查发现并生成新的**活动**调查发现。如果您所做的更改导致内部错误或“访问被拒绝”错误，则所有与资源特定访问相关的活动“非错误”调查发现都将得到解决，并生成新的错误调查发现。

**注意**  
对于外部访问分析器，修改策略后，IAM Access Analyzer 可能需要最多 30 分钟才能再次分析资源，然后更新调查发现。  
对于内部访问分析器，IAM Access Analyzer 可能需要几分钟或几小时才能再次分析资源，然后更新调查发现。IAM Access Analyzer 每 24 小时自动重新扫描所有策略。  
已解决的结果将在上次更新到查找状态后 90 天被删除。

## 解决未使用访问调查发现
<a name="access-analyzer-findings-remediate-unused"></a>

IAM Access Analyzer 会根据调查发现的类型提供解决未使用访问分析器调查发现的建议步骤。

在进行更改以解决未使用的访问调查发现后，下次运行未使用的访问分析器时，调查发现的状态将变为**已解决**。调查发现不再显示在活动调查发现列表中，而是显示在已解决的调查发现列表中。如果您所做的更改仅部分解决了未使用的访问调查发现，则现有调查发现将变为**已解决**，但会生成新的调查发现。例如，如果仅删除调查发现中部分未使用的权限，而不是全部。

IAM Access Analyzer 根据每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息，请参阅 [IAM Access Analyzer 定价](https://aws.amazon.com/iam/access-analyzer/pricing)。

### 解决未使用的权限调查发现问题
<a name="access-analyzer-findings-remediate-unused-permission"></a>

对于未使用的权限调查发现，IAM Access Analyzer 可以建议要从 IAM 用户或角色中移除的策略，并提供新的策略来替换现有权限策略。以下情况不支持策略建议：
+ 未使用的权限调查发现适用于用户组中的 IAM 用户。
+ 未使用的权限调查发现适用于 IAM Identity Center 的 IAM 角色。
+ 未使用的权限调查发现具有包含 `notAction` 元素的现有权限策略。

1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 选择**未使用的访问**。

1. 选择**调查发现类型**为**未使用的权限**的调查发现。

1. 在**建议**部分，如果**建议的策略**列中列出了策略，请选择**预览策略**以查看现有策略，并使用建议的策略来替换现有策略。如果有多个建议的策略，则可以选择**下一个策略**和**上一个策略**来查看每个现有策略和建议的策略。

1. 选择**下载 JSON**下载一个 .zip 文件，其中包含所有建议策略的 JSON 文件。

1. 创建建议的策略并将其附加到 IAM 用户或角色。有关更多信息，请参阅[更改用户的权限（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-change-console)和[修改角色权限策略（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy)。

1. 从 IAM 用户或角色中移除**现有权限策略**列中列出的策略。有关更多信息，请参阅[从用户删除权限（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-remove-policy-console)和[修改角色权限策略（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy)。

### 解决未使用的角色调查发现问题
<a name="access-analyzer-findings-remediate-unused-role"></a>

对于未使用的角色调查发现，IAM Access Analyzer 建议删除未使用的 IAM 角色。

1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 选择**未使用的访问**。

1. 选择**调查发现类型**为**未使用的角色**的调查发现。

1. 在**建议**部分，查看 IAM 角色的详细信息。

1. 删除 IAM 角色。有关更多信息，请参阅[删除 IAM 角色（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-managingrole-deleting-console)。

### 解决未使用的访问密钥调查发现问题
<a name="access-analyzer-findings-remediate-unused-access-key"></a>

对于未使用的访问密钥调查发现，IAM Access Analyzer 建议停用或删除未使用的访问密钥。

1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 选择**未使用的访问**。

1. 选择**调查发现类型**为**未使用的访问密钥**的调查发现。

1. 在**建议**部分，查看访问密钥的详细信息。

1. 停用或删除访问密钥。有关更多信息，请参阅[管理访问密钥（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。

### 解决未使用的密码调查发现问题
<a name="access-analyzer-findings-remediate-unused-password"></a>

对于未使用的密码调查发现，IAM Access Analyzer 建议删除 IAM 用户未使用的密码。

1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 选择**未使用的访问**。

1. 选择**调查发现类型**为**未使用的密码**的调查发现。

1. 在**建议**部分，查看 IAM 用户的详细信息。

1. 删除 IAM 用户的密码。有关更多信息，请参阅[创建、更改或删除 IAM 用户密码（控制台）](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)。