本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为未使用的访问发现生成策略建议
对于未使用的权限发现,Security Hub 可以生成最低权限策略建议,向您显示缩小范围的替换策略。该建议会评估附加到 IAM 委托人的每个策略,并生成一个仅保留委托人实际使用的权限的替代策略。向所有 Security Hub 客户提供此功能,无需支付额外费用。
政策建议如何运作
策略建议生成是一种异步操作。要生成和检索推荐,请执行以下操作:
-
使用
GetFindingsV2API 操作从 Security Hub 中检索未使用的权限。请注意调查结果中的metadata.uid字段。 -
致
GenerateRecommendedPolicyV2电了解调查结果metadata.uid。这将启动建议生成,该生成通常在 20 秒内完成。 -
GetRecommendedPolicyV2用同样的方法进行轮询,metadata.uid直到status字段返回SUCCEEDED。 -
响应包含一个或多个建议步骤。每个步骤都指定一个
recommendedActionCREATE_POLICY(创建并附加范围缩小范围的替换策略)或DETACH_POLICY(分离超权限的原始策略)。对于CREATE_POLICY步骤,响应中同时包含existingPolicyJSON 和 JSrecommendedPolicyON,因此您可以对它们进行比较。
GetRecommendedPolicyV2如果GenerateRecommendedPolicyV2之前没有针对该发现生成建议,则必须在致电之前致电。
谁可以生成推荐
账户所有者和委托管理员都可以调用以下 API 操作:
-
账户所有者可以在自己的账户中生成和查看针对未使用权限发现的建议。
-
授权管理员可以针对任何成员账户在其组织内发现的未使用权限生成和查看建议。
如果您不是委派管理员并且发现的结果属于不同的账户,则 API 操作会返回AccessDeniedException错误。
推荐生命周期
-
推荐将缓存 90 天,只要搜索结果处于活动状态(未关闭),推荐就会一直可用。但是,
GenerateRecommendedPolicyV2多次调用会使缓存失效,并启动一个新的作业,该任务将取代缓存的策略。建议您在每次发现时只致电GenerateRecommendedPolicyV2一次。 -
该建议遵循拆卸和连接模式。它不会修改您现有的 IAM 策略。您可以查看推荐的策略,然后在 IAM 控制台或通过 IAM API 手动应用该策略。
-
如果发现得到解决(例如,因为现在正在使用以前未使用的权限),则该建议将不再可用。
错误案例
在以下情况下,API 操作会返回错误:
-
该发现已得到解决 —
InvalidInputException(HTTP 400)。 -
该发现不是未使用的权限调查结果——
InvalidInputException(HTTP 400)。 -
IAM 委托人是通过 IAM 身份中心权限集创建的。无法直接修改权限集主体的策略。该建议返回带有解释的
FAILED状态。 -
来电者不是委派的管理员,结果属于不同的账户——
AccessDeniedException(HTTP 403)。 -
尚未生成任何建议,您
GetRecommendedPolicyV2无需先致电即可拨打电话GenerateRecommendedPolicyV2—ResourceNotFoundException(HTTP 404)。
使用控制台
在 Security Hub 控制台中,您可以通过查看未使用的权限查找结果并选择 “修复” 选项卡来生成策略建议。创建推荐时,控制台会显示一个正在加载的微调器。建议准备就绪后,您可以选择 “预览”,查看当前策略和推荐的最低权限替代策略的并排比较。您可以以 JSON 格式复制推荐的策略。
API 参考
-
GenerateRecommendedPolicyV2— 针对未使用的权限查找启动异步生成最低权限策略建议。将调查结果
metadata.uid作为输入。成功时返回 HTTP 200,主体为空。 -
GetRecommendedPolicyV2— 检索生成的策略建议。将调查结果
metadata.uid作为输入。支持使用maxResults(1—100) 和参数进行分页。nextToken返回建议状态(IN_PROGRESSSUCCEEDED、或FAILED)、推荐步骤、资源 ARN 和任何错误。
如需详细的 API 文档,请参阅 S ecurity Hub API 参考。