了解 IAM Access Analyzer 調查結果的運作方式 - AWS Identity and Access Management
外部存取權調查結果如何產生外部存取調查結果內部存取調查結果如何產生內部存取調查結果未使用的存取權調查結果如何產生未使用的存取調查結果

了解 IAM Access Analyzer 調查結果的運作方式

本主題描述 IAM Access Analyzer 中所用的概念和術語,來協助您熟悉 IAM Access Analyzer 如何監控 AWS 資源的存取權。

外部存取權調查結果

若某資源在您的信任區域之外共用,其每個執行個體都會產生一份外部存取權調查結果。每次修改資源型政策後,IAM Access Analyzer 都會分析該政策。若更新後政策所共用的資源已被問題清單辨識,但具備不同許可或條件,則該資源共用的執行個體會產生新的問題清單。對影響資源控制政策 (RCP) 限制的資源控制政策的變更,也會產生新的調查結果。IAM Access Analyzer 還會評估由宣告式政策建立的存取控制組態。若第一份調查結果的存取權已移除,該調查結果的狀態會更新為已解決

所有調查結果的狀態會保持為作用中,直到您將其封存,或者移除產生該調查結果的存取權。移除存取權時,調查結果狀態會更新為已解決

注意

修改政策後,IAM Access Analyzer 最多可能需要 30 分鐘才能分析資源並更新外部存取權調查結果。資源控制政策 (RCP) 的變更不會觸發調查結果中所回報資源的重新掃描。IAM Access Analyzer 會在下次定期掃描 (24 小時內) 期間分析該新增或更新的政策。

IAM Access Analyzer 產生外部存取調查結果的運作方式

AWS Identity and Access Management Access Analyzer 會使用名為 Zelkova 的技術來分析 IAM 政策,並識別資源的外部存取。

Zelkova 會將 IAM 政策轉換為等效的邏輯陳述式,並針對它們執行一套通用和專用的邏輯求解器 (可滿足性模數理論)。IAM Access Analyzer 會將 Zelkova 重複套用至政策,使用越來越具體的查詢來表徵政策根據其內容允許的訪問權類型。如需可滿足性模數理論的詳細資訊,請參閱可滿足性模數理論

針對外部存取權分析器,IAM Access Analyzer 不會檢查存取日誌,來判斷外部實體是否實際存取過您信任區域內的資源。相反,當資源型政策允許存取某資源時,不論外部實體是否存取了該資源,都會產生調查結果。

此外,IAM Access Analyzer 在作出判斷時也不考慮任何外部帳戶的狀態。如果它指出帳戶 111122223333 可以存取您的 Amazon S3 儲存貯體,表示它對該帳戶中的使用者、角色、服務控制政策 (SCP) 或其他相關組態的資訊一無所知。這是考量到客戶的隱私權,因為 IAM Access Analyzer 不知道誰擁有另一個帳戶。這也是為了安全起見,即使目前沒有可以使用該存取的作用中主體,了解潛在的外部存取至關重要。

IAM Access Analyzer 僅考慮外部使用者無法直接影響或對授權具有影響力的某些 IAM 條件索引鍵。如需條件金鑰 IAM Access Analyzer 考慮的範例,請參閱 IAM Access Analyzer 篩選金鑰

IAM Access Analyzer 目前未報告 AWS 服務主體或內部服務帳戶中的調查結果。在其無法完全判斷政策陳述式是否會將存取權授予外部實體的極少數情況下,則會在宣告誤報調查結果時發生錯誤。這是因為 IAM Access Analyzer 旨在提供在您帳戶中共享的全方位資源檢視,並將漏報降到最低。

內部存取調查結果

若要使用內部存取分析,必須先選取要監控的特定資源來設定分析器。設定完成後,當組織或帳戶內的主體 (IAM 使用者或角色) 可以存取您選取的資源時,就會產生內部存取調查結果。當分析器下次掃描指定的資源並識別出可存取這些資源的主體時,就會產生新的調查結果。若更新後的政策允許已在調查結果中識別出的主體,但該主體具備不同的許可或條件,則會針對該主體和資源的執行個體產生新的調查結果。此更新後的政策可以是資源型政策、身分型政策、服務控制政策 (SCP) 或資源控制政策 (RCP)。IAM Access Analyzer 還會評估由宣告式政策建立的存取控制組態。

注意

內部存取調查結果只能透過 ListFindingsV2 API 動作來取得。

IAM Access Analyzer 如何產生內部存取調查結果

若要分析內部存取,即使您已經建立分析器來產生外部存取調查結果或未使用的存取調查結果,還是須建立單獨的分析器來取得資源的內部存取調查結果。

建立內部存取分析器之後,IAM Access Analyzer 會評估指定帳戶或組織內的所有資源型政策、身分型政策、服務控制政策 (SCP)、資源控制政策 RCP) 和許可界限。

透過建立專用於內部存取所選資源的分析器,您可以識別:

  • 組織或帳戶中的主體何時可以存取您選取的資源

  • 根據所有適用政策的交集,授予主體的所有有效許可

  • 複雜存取路徑,主體在其中根據身分政策和資源政策組合取得存取權

注意

IAM Access Analyzer 無法為包含超過 7 萬個主體 (IAM 使用者和角色合計) 的組織產生內部存取調查結果。

未使用的存取權調查結果

系統會根據建立分析器時指定的天數,針對選定帳戶或組織內的 IAM 實體 (主體) 產生未使用的存取調查結果。如果符合下列其中一個條件,分析器下次掃描實體時就會產生新的調查結果:

  • 角色在指定天數內處於非作用狀態。

  • 未使用的許可、未使用的使用者密碼或未使用的使用者存取金鑰超過指定天數。

注意

未使用的存取權調查結果只能透過 ListFindingsV2 API 動作來使用。

IAM Access Analyzer 如何產生未使用的存取權調查結果

若要分析未使用的存取,即使您已經建立分析器來為資源產生外部或內部存取調查結果,還是須建立單獨的分析器來取得角色的未使用存取調查結果。

建立未使用的存取權分析器之後,IAM Access Analyzer 會檢閱存取權活動,以識別未使用的存取權。IAM Access Analyzer 會檢查 AWS 組織和帳戶中所有 IAM 使用者、IAM 角色 (包括服務角色)、使用者存取金鑰和使用者密碼的上次存取資訊。這可協助您識別未使用的存取權。

注意

服務連結角色是一種特殊類型的服務角色,其連結至一項 AWS 服務且由該服務擁有。未使用的存取分析器不會分析服務連結角色。

對於有效 IAM 角色和使用者,IAM Access Analyzer 會使用 IAM 服務和動作的上次存取資訊來識別未使用的許可。這樣您就可以在 AWS 組織和帳戶層級擴展檢閱程序。您也可以使用動作上次存取資訊,對個別角色進行更深入的調查。這可提供更精細的洞察,了解哪些特定的許可未被使用。

透過建立專用於未使用的存取權的分析器,您可以全面檢閱和識別整個 AWS 環境內未使用的存取權,補充現有外部存取權分析器所產生的調查結果。