IAM Access Analyzer 錯誤調查結果 - AWS Identity and Access Management
外部存取錯誤調查結果內部存取錯誤調查結果解決錯誤問題清單

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM Access Analyzer 錯誤調查結果

當 IAM Access Analyzer 分析資源時,通常會產生調查結果,顯示誰可以存取您的資源。不過,在某些情況下,分析器可能會遇到無法完成分析的問題。在這些情況下,IAM Access Analyzer 會改為產生錯誤調查結果。

錯誤清單指出 IAM Access Analyzer 無法完成特定資源或特定委託人資源對的分析。這些調查結果可協助您識別可能需要注意的資源,以確保適當的分析。

外部存取錯誤調查結果

外部存取分析器可識別帳戶或組織外部共用的資源,可能會產生兩種類型的錯誤調查結果:

  • INTERNAL_ERROR – 表示 IAM Access Analyzer 在分析資源時遇到內部問題。這可能是由於服務限制或暫時問題。

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR",
	"createdAt": "2022-07-14T01:31:43.085000+00:00",
	"resourceType": "AWS::IAM::Role",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
}

  • ACCESS_DENIED – 表示 IAM Access Analyzer 沒有分析資源所需的許可。這通常發生在拒絕 IAM Access Analyzer 的服務連結角色 (SLR) 存取資源時。

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
	"status": "ACTIVE",
	"error": "ACCESS_DENIED",
	"createdAt": "2022-07-14T01:31:43.104000+00:00",
	"resourceType": "AWS::KMS::Key",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
}

內部存取錯誤調查結果

識別您帳戶或組織內存取的內部存取分析器可以產生四種類型的錯誤調查結果:

  • PRINCIPAL_LIMIT_EXCEEDED – 當超過 3,000 個主體有權存取關鍵資源時產生。此錯誤可協助您識別存取過於廣泛的資源,這些資源可能需要受到限制。

    如果您變更環境中的資源或主體,使主體數量低於限制,分析器將在下次掃描期間產生正常問題清單,且錯誤問題清單將標記為已解決。

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • 資源層級錯誤 (INTERNAL_ERROR 或 ACCESS_DENIED) – 與外部存取錯誤類似,這表示分析器因為內部問題或許可問題而無法分析特定資源。發生資源層級錯誤時,分析器會為資源產生單一錯誤調查結果,而非正常調查結果。

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • 委託人層級錯誤 (INTERNAL_ERROR 或 ACCESS_DENIED) – 表示分析器無法分析特定委託人的存取特定資源。與資源層級錯誤不同,資源可以同時具有某些主體的正常調查結果,以及其他主體的錯誤調查結果。

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess", 
	"findingDetails": [
		{
			"internalAccessDetails": {
				"principal": {
					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
				},
				"principalOwnerAccount": "111122223333",
				"principalType": "IAM_ROLE",
				"accessType": "INTRA_ACCOUNT"
			}
		}
	]
}

  • PRINCIPAL_ERRORS_LIMIT_EXCEEDED – 當單一資源有太多委託人層級錯誤調查結果時產生。這是資源層級的錯誤問題清單,可能會與相同資源的一般問題清單一起顯示。

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

解決錯誤問題清單

如果您解決了導致 IAM Access Analyzer 無法分析資源的問題,錯誤調查結果就會完全移除,而不是變更為已解決的調查結果。

若要解決錯誤調查結果,請根據錯誤類型考慮下列方法:

  • 對於 ACCESS_DENIED 錯誤,請確認 IAM Access Analyzer 服務連結角色具有存取資源的必要許可。

  • 對於 PRINCIPAL_LIMIT_EXCEEDED 錯誤,請檢閱資源的存取政策,並考慮限制存取較少的主體。

  • 對於 INTERNAL_ERROR 調查結果,您可能需要等待後續分析週期,如果問題仍然存在,請聯絡 AWS 支援。

  • 對於 PRINCIPAL_ERRORS_LIMIT_EXCEEDED,請檢閱並可能簡化受影響資源的存取模式。

進行變更以解決基礎問題之後,IAM Access Analyzer 會在下次掃描週期嘗試再次分析資源。