解決 IAM Access Analyzer 調查結果 - AWS Identity and Access Management
解決資源問題清單解決未使用的存取調查結果

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

解決 IAM Access Analyzer 調查結果

解決資源問題清單

若要解決從意外存取產生的外部和內部存取問題清單,您應該修改政策陳述式,以移除允許存取已識別資源的許可。

關於與 Amazon S3 儲存貯體有關的調查結果,請使用 Amazon S3 主控台來設定該儲存貯體的許可。

若是 IAM 角色,請使用 IAM 主控台來修改所列出之 IAM 角色的信任政策

關於其他支援的資源,請使用主控台來修改產生調查結果的政策陳述式。

進行變更以解決資源問題清單後,例如修改套用至 IAM 角色的政策,IAM Access Analyzer 會再次掃描資源。如果移除對資源的存取,問題清單的狀態會變更為已解決。然後,系統會在已解決的調查結果清單,而不是作用中的調查結果清單中顯示調查結果。

注意

上述內容不適用於錯誤調查結果。當 IAM Access Analyzer 無法分析資源時,就會產生錯誤調查結果。如果您解決了導致 IAM Access Analyzer 無法分析資源的問題,錯誤調查結果就會完全移除,而不是變更為已解決的調查結果。如需詳細資訊,請參閱IAM Access Analyzer 錯誤調查結果

如果您所做的變更導致對資源的外部或內部存取,但使用不同的方式,例如使用不同的主體或不同的許可,IAM Access Analyzer 將產生新的作用中問題清單。

注意

對於外部存取分析器,修改政策後,IAM Access Analyzer 最多可能需要 30 分鐘才能再次分析資源,然後更新調查結果。

對於內部存取分析器,IAM Access Analyzer 可能需要幾分鐘或幾小時才能再次分析資源,然後更新調查結果。IAM Access Analyzer 每 24 小時自動重新掃描所有政策。

已解決的問題清單會在最後更新至問題清單狀態的 90 天後刪除。

解決未使用的存取調查結果

IAM Access Analyzer 會提供建議的步驟,根據調查結果類型來解決未使用的存取分析器調查結果。

在您進行變更以解決未使用的存取權調查結果之後,下次執行未使用的存取權分析器時,調查結果的狀態會變更為已解決。該調查結果不會再出現於作用中調查結果清單中,而是會顯示在已解決調查結果清單內。如果您進行的變更僅部分解決未使用的存取權調查結果,現有的調查結果會變更為已解決,但會產生新的調查結果。例如,如果您只移除調查結果中部分未使用的許可,而非所有未使用的許可。

IAM Access Analyzer 會根據每月分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價

解決未使用的許可調查結果

對於未使用的許可調查結果,IAM Access Analyzer 可以建議從 IAM 使用者或角色中移除的政策,並提供新政策來取代現有的許可政策。下列案例不支援政策建議:

  • 未使用的許可調查結果適用於在使用者群組中的 IAM 使用者。

  • 未使用的許可調查結果適用於 IAM Identity Center 的 IAM 角色。

  • 未使用的許可調查結果具有包含 notAction 元素的現有許可政策。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 選擇調查結果類型未使用的許可的調查結果。

  4. 建議區段中,如果有在建議的政策資料欄中列出的政策,請選擇預覽政策以檢視具有建議政策的現有政策,以取代現有政策。如果有多個建議的政策,您可以選擇下一個政策上一個政策來檢視每個現有的和建議的政策。

  5. 選擇下載 JSON 以下載 .zip 檔案,其中包含所有建議政策的 JSON 檔案。

  6. 建立建議的政策並將其連接至 IAM 使用者或角色。如需詳細資訊,請參閱變更使用者的許可 (主控台)修改角色許可政策 (主控台)

  7. 從 IAM 使用者或角色移除現有的許可政策資料欄中列出的政策。如需詳細資訊,請參閱移除使用者的許可 (主控台)修改角色許可政策 (主控台)

解決未使用的角色調查結果

對於未使用的角色調查結果,IAM Access Analyzer 建議刪除未使用的 IAM 角色。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 選擇一個調查結果類型未使用的角色的調查結果。

  4. 建議區段中,檢閱 IAM 角色的詳細資訊。

  5. 刪除 IAM 角色。如需詳細資訊,請參閱刪除 IAM 角色 (主控台)

解決未使用的存取金鑰調查結果

對於未使用的存取金鑰調查結果,IAM Access Analyzer 建議停用或刪除未使用的存取金鑰。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 選擇一個調查結果類型未使用的存取金鑰的調查結果。

  4. 建議區段中,檢閱存取金鑰的詳細資訊。

  5. 停用或刪除存取金鑰 如需詳細資訊,請參閱管理存取金鑰 (控制台)

解決未使用的密碼調查結果

對於未使用的密碼調查結果,IAM Access Analyzer 建議刪除 IAM 使用者的未使用密碼。

  1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇未使用的存取

  3. 選擇一個調查結果類型未使用的密碼的調查結果。

  4. 建議區段中,檢閱 IAM 使用者的詳細資訊。

  5. 刪除 IAM 使用者的密碼。如需詳細資訊,請參閱建立、變更或刪除 IAM 使用者密碼 (主控台)