解決 IAM Access Analyzer 調查結果 - AWS Identity and Access Management
解決資源調查結果解決未使用的存取調查結果

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

解決 IAM Access Analyzer 調查結果

解決資源調查結果

若要解決意外存取產生的外部和內部存取調查結果,您應該修改政策陳述式,以移除允許存取所識別資源的許可。

關於與 Amazon S3 儲存貯體有關的調查結果,請使用 Amazon S3 主控台來設定該儲存貯體的許可。

若是 IAM 角色,請使用 IAM 主控台來修改所列出之 IAM 角色的信任政策

關於其他支援的資源,請使用主控台來修改產生調查結果的政策陳述式。

進行變更以解決資源調查結果後 (例如修改套用至 IAM 角色的政策),IAM Access Analyzer 會再次掃描資源。如果移除資源的存取權,該調查結果的狀態會變更為已解決。然後,系統會在已解決的調查結果清單,而不是作用中的調查結果清單中顯示調查結果。

注意

上述內容不適用於錯誤調查結果。當 IAM Access Analyzer 無法分析資源時,就會產生錯誤調查結果。如果您解決了導致 IAM Access Analyzer 無法分析資源的問題,錯誤調查結果就會完全移除,而不是變更為已解決的調查結果。如需詳細資訊,請參閱IAM Access Analyzer 錯誤調查結果

如果所作的變更導致以另一種方式對資源進行外部或內部存取 (例如使用不同的主體或以不同的許可),則 IAM Access Analyzer 會解決原始調查結果並產生新的作用中調查結果。如果所作的變更導致內部錯誤或存取遭拒錯誤,則會解決與資源特定存取連結的所有作用中非錯誤調查結果,並產生新的錯誤調查結果。

注意

對於外部存取分析器,在修改政策後,IAM Access Analyzer 最多可能需要 30 分鐘才能再次分析資源並更新調查結果。

對於內部存取分析器,IAM Access Analyzer 可能需要幾分鐘或幾小時才能再次分析資源並更新調查結果。IAM Access Analyzer 會每 24 小時自動重新掃描所有政策。

已解決的問題清單會在最後更新至問題清單狀態的 90 天後刪除。

解決未使用的存取調查結果

IAM Access Analyzer 會提供建議的步驟,根據調查結果類型來解決未使用的存取分析器調查結果。

在您進行變更以解決未使用的存取權調查結果之後,下次執行未使用的存取權分析器時,調查結果的狀態會變更為已解決。該調查結果不會再出現於作用中調查結果清單中,而是會顯示在已解決調查結果清單內。如果您進行的變更僅部分解決未使用的存取權調查結果,現有的調查結果會變更為已解決,但會產生新的調查結果。例如,如果您只移除調查結果中部分未使用的許可,而非所有未使用的許可。

IAM Access Analyzer 會根據每月分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價

解決未使用的許可調查結果

對於未使用的許可調查結果,IAM Access Analyzer 可以建議從 IAM 使用者或角色中移除的政策,並提供新政策來取代現有的許可政策。下列案例不支援政策建議:

  • 未使用的許可調查結果適用於在使用者群組中的 IAM 使用者。

  • 未使用的許可調查結果適用於 IAM Identity Center 的 IAM 角色。

  • 未使用的許可調查結果具有包含 notAction 元素的現有許可政策。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 選擇調查結果類型未使用的許可的調查結果。

  4. 建議區段中,如果有在建議的政策資料欄中列出的政策,請選擇預覽政策以檢視具有建議政策的現有政策,以取代現有政策。如果有多個建議的政策,您可以選擇下一個政策上一個政策來檢視每個現有的和建議的政策。

  5. 選擇下載 JSON 以下載 .zip 檔案,其中包含所有建議政策的 JSON 檔案。

  6. 建立建議的政策並將其連接至 IAM 使用者或角色。如需詳細資訊,請參閱變更使用者的許可 (主控台)修改角色許可政策 (主控台)

  7. 從 IAM 使用者或角色移除現有的許可政策資料欄中列出的政策。如需詳細資訊,請參閱移除使用者的許可 (主控台)修改角色許可政策 (主控台)

解決未使用的角色調查結果

對於未使用的角色調查結果,IAM Access Analyzer 建議刪除未使用的 IAM 角色。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 選擇一個調查結果類型未使用的角色的調查結果。

  4. 建議區段中,檢閱 IAM 角色的詳細資訊。

  5. 刪除 IAM 角色。如需詳細資訊,請參閱刪除 IAM 角色 (主控台)

解決未使用的存取金鑰調查結果

對於未使用的存取金鑰調查結果,IAM Access Analyzer 建議停用或刪除未使用的存取金鑰。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 選擇一個調查結果類型未使用的存取金鑰的調查結果。

  4. 建議區段中,檢閱存取金鑰的詳細資訊。

  5. 停用或刪除存取金鑰 如需詳細資訊,請參閱管理存取金鑰 (控制台)

解決未使用的密碼調查結果

對於未使用的密碼調查結果,IAM Access Analyzer 建議刪除 IAM 使用者的未使用密碼。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 選擇一個調查結果類型未使用的密碼的調查結果。

  4. 建議區段中,檢閱 IAM 使用者的詳細資訊。

  5. 刪除 IAM 使用者的密碼。如需詳細資訊,請參閱建立、變更或刪除 IAM 使用者密碼 (主控台)