本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

了解 Security Hub 中未使用的访问发现结果

Security Hub 使用 IAM 访问分析器来识别您账户中未使用的 IAM 权限、角色、访问密钥和密码。这些发现通过突出显示未被积极使用的 IAM 委托人和权限，帮助您实施最低权限访问的安全最佳实践。向所有 Security Hub 客户提供此功能，无需支付额外费用。

未使用的访问分析的工作原理

当您启用 Security Hub 时，该服务会自动在您的账户中创建与服务关联的 IAM 访问分析器。此分析器根据 AWS CloudTrail 活动数据评估所有 IAM 委托人（角色和用户），以确定哪些委托人和权限在 90 天回顾期内未被使用。回顾期不可配置。

IAM Access Analyzer 每 24 小时重新评估所有活跃的调查结果。当以前未使用的委托人或权限变为活动状态时，相应的发现会自动得到解决。

未使用的访问分析器在美国东部（弗吉尼亚北部）运行，因为 IAM 是一项全球服务。Security Hub 会将发现结果复制到您已启用 Security Hub 的所有区域。您无需在美国东部（弗吉尼亚北部）启用 Security Hub 即可运行分析器。

未使用的访问权限查找类型

Security Hub 会生成四种类型的未使用访问发现结果：

Service-linked 分析器

Security Hub 创建的 IAM 访问分析器是一个与服务相关的分析器。您可以在 IAM Access Analyzer 控制台中查看它，但在启用 Security Hub 后，您无法对其进行修改或删除。

当您在所有区域禁用 Security Hub 时，服务关联分析器将自动删除。如果自动删除失败，您可以通过调用 IAM Access Analyzer DeleteServiceLinkedAnalyzer API 操作来删除分析器。只有在您的账户完全禁用 Security Hub 之后，此操作才会成功。

服务关联分析器与您可能在 IAM Access Analyzer 中独立创建的任何客户管理的分析器是分开的。创建或删除客户管理的分析器不会影响与服务相关的分析器，反之亦然。

查看未使用的访问发现结果

未使用的访问发现与其他 Security Hub 发现一起显示在 Security Hub 控制台中。您可以按类型筛选查找结果，以便仅查看未使用的访问结果。未使用的访问结果采用开放网络安全架构框架 (OCSF) 的格式，与所有 Security Hub 调查结果使用的格式相同。

对于 UnusedPermission 发现，如果您从过于宽松的策略中移除一些未使用的权限，但不是全部权限，Security Hub 将关闭现有发现结果，并在修订后的策略仍然过于宽松的情况下为其创建新的发现。

也可以从 IAM Access Analyzer 控制台访问未使用的访问发现结果。IAM Access Analyzer 控制台中未使用的访问发现是只读的，并且仅在美国东部（弗吉尼亚北部）区域可见。

暴露结果中未使用的访问权限

未使用的访问信息可以作为上下文特征显示在 Security Hub 暴露结果中。当附加到资源的 IAM 角色具有未使用的权限时，曝光结果会将其作为补充上下文包括在内。这可以帮助您了解漏洞的潜在爆炸半径——具有过高权限的 IAM 角色的资源比权限最低的资源面临更高的风险。

以下资源类型可以在其曝光结果中显示未使用的访问上下文特征：

有关暴露结果的更多信息，请参阅Security Hub 中的暴露调查发现。

针对未使用权限的策略建议

对于 UnusedPermission 调查结果，Security Hub 可以生成最低权限策略建议。这些建议向您展示了范围缩小的替换策略，该策略仅保留您的委托人实际使用的权限。有关更多信息，请参阅 为未使用的访问发现生成策略建议。

定价

与服务相关的 IAM 访问分析器免费提供给所有 Security Hub 客户。您无需为分析器或未使用的访问发现单独付费。