篩選 IAM Access Analyzer 調查結果 - AWS Identity and Access Management
篩選具有作用中問題清單的資源篩選外部存取權調查結果篩選內部存取問題清單篩選未使用的存取權

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

篩選 IAM Access Analyzer 調查結果

問題清單頁面的預設篩選是顯示所有作用中的問題清單。若要檢視所有問題清單,請從狀態下拉式清單中選擇全部。若要檢視封存的問題清單,請選擇封存。若要檢視已解決的問題清單,請選擇已解決。首次使用 IAM Access Analyzer 不會有已存檔的問題清單。

使用篩選器只顯示符合指定屬性條件的調查結果。若要建立篩選條件,請選取要篩選的屬性,然後選擇屬性是等於還是包含值,然後輸入或選擇要篩選的屬性值。

如需可用來建立或更新存檔規則的篩選鍵清單,請參閱 IAM Access Analyzer 篩選鍵

篩選具有作用中問題清單的資源

您可以依資源檢視和篩選作用中的問題清單,最多一個外部存取分析器,最多一個內部存取分析器。

篩選具有作用中問題清單的資源

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇資源分析

  3. 若要依資源名稱篩選,請在搜尋方塊中輸入全部或部分資源名稱。

  4. 篩選存取類型下拉式清單中,選擇存取類型:

    • 所有類型 – 顯示具有所有類型存取問題清單的資源。

    • 公開存取 – 僅顯示具有公開存取調查結果的資源。

    • 外部存取 – 僅顯示具有外部存取調查結果的資源。

    • 組織內的內部存取 – 僅顯示具有內部存取調查結果的資源。

  5. 篩選資源類型下拉式清單中,選擇資源類型以僅顯示所選類型的資源。

篩選外部存取權調查結果

篩選外部存取權調查結果

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇分析器設定,然後在分析器區段中選擇外部存取分析器。

  3. 選擇檢視問題清單

  4. 選擇搜尋方塊以顯示可用屬性清單。

  5. 選擇要用來篩選所顯示之問題清單的屬性。

  6. 選擇該屬性須符合的值。將會顯示具備該值的問題清單。

    例如,選擇資源做為 屬性,然後選擇資源:,然後輸入儲存貯體的部分或所有名稱,然後按 Enter 鍵。僅顯示符合篩選條件的儲存貯體相關調查結果。若要建立僅顯示允許公開存取權之資源的調查結果,您可以選擇公開存取權屬性,選擇公開存取權 =,然後選擇公開存取權 = true

您可新增其他屬性,進一步篩選所顯示的問題清單。新增其他屬性時,只會顯示符合所有篩選條件的問題清單。問題清單的篩選條件,不支援符合單一屬性「或」另一屬性的這類定義。選擇清除篩選條件以清除已定義的任何篩選條件,並顯示具有指定分析器狀態的所有調查結果。

只有在您檢視以組織做為信任區域的分析器問題清單時,某些欄位才會顯示。

下列屬性可用於定義外部存取的篩選條件:

  • Public access (公有存取) – 若要依允許公有存取之資源的問題清單篩選,請依 Public access (公有存取) 篩選,然後選擇 Public access: true (公有存取:true)

  • Resource (資源) – 輸入資源的完整或部分名稱,即可依資源篩選。

  • Resource Type (資源類型) – 從所顯示的清單內選擇類型,即可依資源類型篩選。

  • 資源擁有者帳戶:使用此屬性可篩選組織中擁有調查結果所報告資源的帳戶。

  • 資源控制政策限制:使用此屬性依組織資源控制政策 (RCP) 所套用的限制類型進行篩選。若要進一步了解,請參閱 AWS Organizations 《 使用者指南》中的資源控制政策 (RCPs)

    • 無法評估 RCP:評估 RCP 時發生錯誤。

    • 不適用:沒有 RCP 會限制此資源或主體。這也包括尚未支援 RCP 的資源。

    • 適用:您的組織管理員已透過會影響資源或資源類型的 RCP 設定限制。如需更多詳細資訊,請聯絡您的組織管理員。

  • AWS 帳戶 – 使用此屬性來篩選政策陳述式的主體區段中 AWS 帳戶 授予存取權的 。若要依 篩選 AWS 帳戶,請輸入 12 位數 AWS 帳戶 ID 的全部或部分,或可存取目前帳戶中資源之外部 AWS 使用者或角色的全部或部分完整帳戶 ARN。

  • 正式使用者:輸入為 Amazon S3 儲存貯體定義的正式使用者 ID,即可依正式使用者篩選。若要進一步了解,請參閱 AWS 帳戶識別碼

  • Federated User (聯合身分使用者) – 輸入聯合身分的完整或部分 ARN,即可依聯合身分使用者篩選。若要進一步了解,請參閱身分提供者與聯合

  • 調查結果 ID:請輸入全部或部分調查結果 ID,即可依調查結果 ID 篩選。

  • 錯誤:若要依錯誤類型篩選,請選擇存取遭拒內部錯誤

  • Principal ARN (主體 ARN) – 可使用此屬性來依 aws:PrincipalArn 條件索引鍵中使用的主體 (IAM 使用者、角色或群組) ARN 篩選。若要依主體 ARN 篩選,請從調查結果中 AWS 帳戶 報告的外部輸入 IAM 使用者、角色或群組的全部或部分 ARN。

  • 委託人OrgID – 若要依委託人OrgID 篩選,請輸入與屬於調查結果中指定為條件之組織的外部委託人相關聯的全部或部分 AWS 組織 ID。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • Principal OrgPaths – 若要依 Principal OrgPaths 篩選,請輸入 AWS 組織或組織單位 (OU) 的全部或部分 ID,以允許存取屬於指定組織或 OU 帳戶成員的所有外部主體,作為政策中的條件。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 來源帳戶 – 若要篩選來源帳戶,請輸入與資源相關聯的全部或部分 AWS 帳戶 ID,如 中的某些跨服務許可中所使用 AWS。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • Source ARN (來源 ARN) – 輸入問題清單內列為條件的完整或部分 ARN,即可依來源 ARN 篩選。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • Source IP (來源 IP) – 輸入允許外部實體在使用特定 IP 地址時即可存取目前帳戶內資源的完整或部分 IP 地址,即可依來源 IP 篩選。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • Source VPC (來源 VPC) – 輸入允許外部實體在使用特定 VPC 時即可存取目前帳戶內資源的完整或部分 VPC ID,即可依來源 VPC 篩選。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 來源 VPCE – 若要依來源 VPCE 篩選,請輸入 VPC 端點 ID 的全部或部分,允許外部實體在使用指定的 VPC 端點時存取目前帳戶中的資源。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 來源組織 ID:輸入與資源相關聯的組織完整或部分 ID,即可依來源組織 ID 篩選,如同 AWS中部分跨服務許可所使用。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 來源組織路徑:輸入與資源相關聯的完整或部分組織單位 (OU),即可依來源組織路徑篩選,如同 AWS中部分跨服務許可所使用。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 使用者 ID – 若要依使用者 ID 篩選,請從 AWS 帳戶 允許存取目前帳戶中資源的外部 輸入 IAM 使用者的全部或部分使用者 ID。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • KMS 金鑰 ID:輸入目前帳戶內 AWS KMS加密 Amazon S3 物件存取指定為條件的 KMS 金鑰完整或部分金鑰 ID,即可依 KMS 金鑰 ID 篩選。

  • 工作階段模式 – 若要依 Amazon S3 目錄儲存貯體 (ReadOnly 或 ) 的工作階段模式進行篩選ReadWrite,請輸入全部或部分工作階段模式。若要進一步了解,請參閱《Amazon Simple Storage Service API 參考》中的 CreateSession

  • Google Audience (Google 對象) – 輸入目前帳戶內 IAM 角色存取指定為條件的完整或部分 Google 應用程式 ID,即可依 Google 對象篩選。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容索引鍵

  • Cognito 對象:輸入目前帳戶內 IAM 角色存取指定為條件的完整或部分 Amazon Cognito 身分池 ID,即可依 Cognito 對象篩選。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容索引鍵

  • 來電者帳戶 – 擁有或包含呼叫實體的帳戶 AWS 帳戶 ID,例如 IAM 角色、使用者或帳戶根使用者。這是供 服務呼叫使用 AWS KMS。若要依來電者帳戶篩選,請輸入全部或部分 AWS 帳戶 ID。

  • Facebook App ID (Facebook 應用程式 ID) – 關於允許存取目前帳戶內 IAM 角色的 Login with Facebook (使用 Facebook 登入) 聯合身分,輸入列為其條件的完整或部分 Facebook 應用程式 ID (或網站 ID),即可依 Facebook 應用程式 ID 篩選。若要進一步了解,請參閱 IAM 中的 ID 區段和條件內容索引鍵。 AWS STS

  • Amazon App ID (Amazon 應用程式 ID) – 關於允許存取目前帳戶內 IAM 角色的 Login with Amazon 聯合身分,輸入列為其條件的完整或部分 Amazon 應用程式 ID (或網站 ID),即可依 Amazon 應用程式 ID 篩選。若要進一步了解,請參閱 IAM 中的 ID 區段和條件內容索引鍵。 AWS STS

  • Lambda Event Source Token (Lambda 事件來源字符) – 輸入完整或部分字符字串,即可依使用 Alexa 整合傳入的 Lambda 事件來源字符篩選。

篩選內部存取問題清單

篩選內部存取問題清單

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇分析器設定,然後在分析器區段中選擇內部存取分析器。

  3. 選擇檢視問題清單

  4. 選擇搜尋方塊以顯示可用屬性清單。

  5. 選擇要用來篩選所顯示之問題清單的屬性。

  6. 選擇該屬性須符合的值。將會顯示具備該值的問題清單。

    例如,選擇資源做為 屬性,然後選擇資源:,然後輸入儲存貯體的部分或所有名稱,然後按 Enter 鍵。僅顯示符合篩選條件的儲存貯體相關調查結果。

您可新增其他屬性,進一步篩選所顯示的問題清單。新增其他屬性時,只會顯示符合所有篩選條件的問題清單。問題清單的篩選條件,不支援符合單一屬性「或」另一屬性的這類定義。選擇清除篩選條件以清除已定義的任何篩選條件,並顯示具有指定分析器狀態的所有調查結果。

只有在您檢視以組織做為信任區域的分析器問題清單時,某些欄位才會顯示。

只有當您檢視監控內部存取權之分析器的問題清單時,才會顯示下列欄位:

  • Resource (資源) – 輸入資源的完整或部分名稱,即可依資源篩選。

  • Resource Type (資源類型) – 從所顯示的清單內選擇類型,即可依資源類型篩選。

  • 資源擁有者帳戶:使用此屬性可篩選組織中擁有調查結果所報告資源的帳戶。

  • 調查結果 ID:輸入完整或部分調查結果 ID,即可依調查結果 ID 篩選。

篩選未使用的存取權

篩選未使用的存取權調查結果

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取權,然後從檢視分析器下拉式清單中選擇分析器。

  3. 選擇搜尋方塊以顯示可用屬性清單。

  4. 選擇要用來篩選所顯示之問題清單的屬性。

  5. 選擇該屬性須符合的值。將會顯示具備該值的問題清單。

    例如,選擇調查結果類型做為 屬性,然後選擇調查結果類型 =,然後選擇調查結果類型 = 未使用的角色。只會顯示具有未使用角色類型的問題清單。

您可新增其他屬性,進一步篩選所顯示的問題清單。新增其他屬性時,只會顯示符合所有篩選條件的問題清單。問題清單的篩選條件,不支援符合單一屬性「或」另一屬性的這類定義。選擇清除篩選條件以清除已定義的任何篩選條件,並顯示具有指定分析器狀態的所有調查結果。

只有在您檢視的調查結果來自監控未使用的存取權之分析器時,下列欄位才會顯示:

  • 調查結果類型:依調查結果類型篩選,然後選擇調查結果類型,即可依調查結果類型篩選。

  • Resource (資源) – 輸入資源的完整或部分名稱,即可依資源篩選。

  • Resource Type (資源類型) – 從所顯示的清單內選擇類型,即可依資源類型篩選。

  • 資源擁有者帳戶:使用此屬性可篩選組織中擁有調查結果所報告資源的帳戶。

  • 調查結果 ID:輸入完整或部分調查結果 ID,即可依調查結果 ID 篩選。