本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 了解 Security Hub 中未使用的访问发现结果
<a name="unused-access-findings"></a>

 Security Hub 使用 IAM 访问分析器来识别您账户中未使用的 IAM 权限、角色、访问密钥和密码。这些发现通过突出显示未被积极使用的 IAM 委托人和权限，帮助您实施最低权限访问的安全最佳实践。向所有 Security Hub 客户提供此功能，无需支付额外费用。

## 未使用的访问分析的工作原理
<a name="unused-access-how-it-works"></a>

 当您启用 Security Hub 时，该服务会自动在您的账户中创建与服务关联的 IAM 访问分析器。此分析器根据 AWS CloudTrail 活动数据评估所有 IAM 委托人（角色和用户），以确定哪些委托人和权限在 90 天回顾期内未被使用。回顾期不可配置。

 IAM Access Analyzer 每 24 小时重新评估所有活跃的调查结果。当以前未使用的委托人或权限变为活动状态时，相应的发现会自动得到解决。

 未使用的访问分析器在美国东部（弗吉尼亚北部）运行，因为 IAM 是一项全球服务。Security Hub 会将发现结果复制到您已启用 Security Hub 的所有区域。您无需在美国东部（弗吉尼亚北部）启用 Security Hub 即可运行分析器。

## 未使用的访问权限查找类型
<a name="unused-access-finding-types"></a>

 Security Hub 会生成四种类型的未使用访问发现结果：


| 调查发现类型 | 说明 | 资源已评估 | 
| --- | --- | --- | 
| unuseDiamRole | 在 90 天回顾期内未担任的 IAM 角色。 | IAM 角色 | 
| UnusedIAMUserAccessKey | 在 90 天回顾期内未用于签署 API 请求的 IAM 用户访问密钥。 | IAM 用户 | 
| UnusedIAMUserPassword | 在 90 天回顾期内未用于控制台登录的 IAM 用户密码。 | IAM 用户 | 
| UnusedPermission | 授予角色或用户但在 90 天回顾期内未被调用的特定 IAM 操作。 | IAM 角色或 IAM 用户 | 

## Service-linked 分析器
<a name="unused-access-service-linked-analyzer"></a>

 Security Hub 创建的 IAM 访问分析器是一个与服务相关的分析器。您可以在 IAM Access Analyzer 控制台中查看它，但在启用 Security Hub 后，您无法对其进行修改或删除。

 当您在所有区域禁用 Security Hub 时，服务关联分析器将自动删除。如果自动删除失败，您可以通过调用 IAM Access Analyzer `DeleteServiceLinkedAnalyzer` API 操作来删除分析器。只有在您的账户完全禁用 Security Hub 之后，此操作才会成功。

 服务关联分析器与您可能在 IAM Access Analyzer 中独立创建的任何客户管理的分析器是分开的。创建或删除客户管理的分析器不会影响与服务相关的分析器，反之亦然。

## 查看未使用的访问发现结果
<a name="unused-access-viewing"></a>

 未使用的访问发现与其他 Security Hub 发现一起显示在 Security Hub 控制台中。您可以按类型筛选查找结果，以便仅查看未使用的访问结果。未使用的访问结果采用开放网络安全架构框架 (OCSF) 的格式，与所有 Security Hub 调查结果使用的格式相同。

 对于 UnusedPermission 发现，如果您从过于宽松的策略中移除一些未使用的权限，但不是全部权限，Security Hub 将关闭现有发现结果，并在修订后的策略仍然过于宽松的情况下为其创建新的发现。

 也可以从 IAM Access Analyzer 控制台访问未使用的访问发现结果。IAM Access Analyzer 控制台中未使用的访问发现是只读的，并且仅在美国东部（弗吉尼亚北部）区域可见。

## 暴露结果中未使用的访问权限
<a name="unused-access-in-exposure-findings"></a>

 未使用的访问信息可以作为上下文特征显示在 Security Hub 暴露结果中。当附加到资源的 IAM 角色具有未使用的权限时，曝光结果会将其作为补充上下文包括在内。这可以帮助您了解漏洞的潜在爆炸半径——具有过高权限的 IAM 角色的资源比权限最低的资源面临更高的风险。

 以下资源类型可以在其曝光结果中显示未使用的访问上下文特征：
+ Amazon 弹性计算云实例
+ AWS Lambda 函数
+ Amazon 弹性容器服务服务
+ 亚马逊 Elastic Kubernetes Service 集群
+ IAM 用户（直接）

 有关暴露结果的更多信息，请参阅[Security Hub 中的暴露调查发现](exposure-findings.md)。

## 针对未使用权限的策略建议
<a name="unused-access-policy-recommendations"></a>

 对于 UnusedPermission 调查结果，Security Hub 可以生成最低权限策略建议。这些建议向您展示了范围缩小的替换策略，该策略仅保留您的委托人实际使用的权限。有关更多信息，请参阅 [为未使用的访问发现生成策略建议](unused-access-recommendations.md)。

## 定价
<a name="unused-access-pricing"></a>

 与服务相关的 IAM 访问分析器免费提供给所有 Security Hub 客户。您无需为分析器或未使用的访问发现单独付费。