本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 解決 IAM Access Analyzer 調查結果
<a name="access-analyzer-findings-remediate"></a>

## 解決資源調查結果
<a name="access-analyzer-findings-remediate-external"></a>

若要解決意外存取產生的外部和內部存取調查結果，您應該修改政策陳述式，以移除允許存取所識別資源的許可。

關於與 Amazon S3 儲存貯體有關的調查結果，請使用 Amazon S3 主控台來設定該儲存貯體的許可。

若是 IAM 角色，請使用 IAM 主控台來[修改所列出之 IAM 角色的信任政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_modify.html#roles-managingrole_edit-trust-policy)。

關於其他支援的資源，請使用主控台來修改產生調查結果的政策陳述式。

進行變更以解決資源調查結果後 (例如修改套用至 IAM 角色的政策)，IAM Access Analyzer 會再次掃描資源。如果移除資源的存取權，該調查結果的狀態會變更為**已解決**。然後，系統會在已解決的調查結果清單，而不是作用中的調查結果清單中顯示調查結果。

**注意**  
上述內容不適用於**錯誤**調查結果。當 IAM Access Analyzer 無法分析資源時，就會產生錯誤調查結果。如果您解決了導致 IAM Access Analyzer 無法分析資源的問題，錯誤調查結果就會完全移除，而不是變更為已解決的調查結果。如需詳細資訊，請參閱[IAM Access Analyzer 錯誤調查結果](access-analyzer-error-findings.md)。

如果所作的變更導致以另一種方式對資源進行外部或內部存取 (例如使用不同的主體或以不同的許可)，則 IAM Access Analyzer 會解決原始調查結果並產生新的**作用中**調查結果。如果所作的變更導致內部錯誤或存取遭拒錯誤，則會解決與資源特定存取連結的所有作用中非錯誤調查結果，並產生新的錯誤調查結果。

**注意**  
對於外部存取分析器，在修改政策後，IAM Access Analyzer 最多可能需要 30 分鐘才能再次分析資源並更新調查結果。  
對於內部存取分析器，IAM Access Analyzer 可能需要幾分鐘或幾小時才能再次分析資源並更新調查結果。IAM Access Analyzer 會每 24 小時自動重新掃描所有政策。  
已解決的問題清單會在最後更新至問題清單狀態的 90 天後刪除。

## 解決未使用的存取調查結果
<a name="access-analyzer-findings-remediate-unused"></a>

IAM Access Analyzer 會提供建議的步驟，根據調查結果類型來解決未使用的存取分析器調查結果。

在您進行變更以解決未使用的存取權調查結果之後，下次執行未使用的存取權分析器時，調查結果的狀態會變更為**已解決**。該調查結果不會再出現於作用中調查結果清單中，而是會顯示在已解決調查結果清單內。如果您進行的變更僅部分解決未使用的存取權調查結果，現有的調查結果會變更為**已解決**，但會產生新的調查結果。例如，如果您只移除調查結果中部分未使用的許可，而非所有未使用的許可。

IAM Access Analyzer 會根據每月分析的 IAM 角色和使用者數量，針對未使用的存取權分析收費。如需定價的詳細資訊，請參閱 [IAM Access Analyzer 定價](https://aws.amazon.com/iam/access-analyzer/pricing)。

### 解決未使用的許可調查結果
<a name="access-analyzer-findings-remediate-unused-permission"></a>

對於未使用的許可調查結果，IAM Access Analyzer 可以建議從 IAM 使用者或角色中移除的政策，並提供新政策來取代現有的許可政策。下列案例不支援政策建議：
+ 未使用的許可調查結果適用於在使用者群組中的 IAM 使用者。
+ 未使用的許可調查結果適用於 IAM Identity Center 的 IAM 角色。
+ 未使用的許可調查結果具有包含 `notAction` 元素的現有許可政策。

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 選擇**未使用的存取**。

1. 選擇**調查結果類型**為**未使用的許可**的調查結果。

1. 在**建議**區段中，如果有在**建議的政策**資料欄中列出的政策，請選擇**預覽政策**以檢視具有建議政策的現有政策，以取代現有政策。如果有多個建議的政策，您可以選擇**下一個政策**和**上一個政策**來檢視每個現有的和建議的政策。

1. 選擇**下載 JSON** 以下載 .zip 檔案，其中包含所有建議政策的 JSON 檔案。

1. 建立建議的政策並將其連接至 IAM 使用者或角色。如需詳細資訊，請參閱[變更使用者的許可 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-change-console) 和[修改角色許可政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy)。

1. 從 IAM 使用者或角色移除**現有的許可政策**資料欄中列出的政策。如需詳細資訊，請參閱[移除使用者的許可 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-remove-policy-console) 和[修改角色許可政策 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/roles-managingrole-editing-console.html#roles-modify_permissions-policy)。

### 解決未使用的角色調查結果
<a name="access-analyzer-findings-remediate-unused-role"></a>

對於未使用的角色調查結果，IAM Access Analyzer 建議刪除未使用的 IAM 角色。

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 選擇**未使用的存取**。

1. 選擇一個**調查結果類型**為**未使用的角色**的調查結果。

1. 在**建議**區段中，檢閱 IAM 角色的詳細資訊。

1. 刪除 IAM 角色。如需詳細資訊，請參閱[刪除 IAM 角色 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#roles-managingrole-deleting-console)。

### 解決未使用的存取金鑰調查結果
<a name="access-analyzer-findings-remediate-unused-access-key"></a>

對於未使用的存取金鑰調查結果，IAM Access Analyzer 建議停用或刪除未使用的存取金鑰。

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 選擇**未使用的存取**。

1. 選擇一個**調查結果類型**為**未使用的存取金鑰**的調查結果。

1. 在**建議**區段中，檢閱存取金鑰的詳細資訊。

1. 停用或刪除存取金鑰 如需詳細資訊，請參閱[管理存取金鑰 (控制台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_access-keys.html#Using_CreateAccessKey)。

### 解決未使用的密碼調查結果
<a name="access-analyzer-findings-remediate-unused-password"></a>

對於未使用的密碼調查結果，IAM Access Analyzer 建議刪除 IAM 使用者的未使用密碼。

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 選擇**未使用的存取**。

1. 選擇一個**調查結果類型**為**未使用的密碼**的調查結果。

1. 在**建議**區段中，檢閱 IAM 使用者的詳細資訊。

1. 刪除 IAM 使用者的密碼。如需詳細資訊，請參閱[建立、變更或刪除 IAM 使用者密碼 (主控台)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_passwords_admin-change-user.html#id_credentials_passwords_admin-change-user_console)。