IAM Access Analyzer 調查結果
IAM Access Analyzer 會針對 AWS 帳戶或組織中的外部存取、內部存取和未使用的存取產生調查結果。
針對外部存取權,若執行個體採用的資源類型政策會將信任區域內的資源存取權授予信任區域以外的主體,則 IAM Access Analyzer 會為每個執行個體產生調查結果。建立外部存取權分析器時,您必須選擇要分析的組織或 AWS 帳戶。該分析器會將所選組織或帳戶中的任何主體認定為可信任的。由於相同組織或帳戶中的主體是可信任的,分析器的信任區域就會包含該組織或帳戶內的資源和主體。在信任區域內共享的任何項目都是安全的,因此 IAM Access Analyzer 不會產生問題清單。例如,如果您選擇組織做為分析器的信任區域,則該組織中的所有資源和主體都會在信任區域內。若您將其中一個組織成員帳戶中的 Amazon S3 儲存貯體許可授予另一個組織成員帳戶中的主體,IAM Access Analyzer 並不會產生調查結果。但若將許可授與非組織成員帳戶中的主體,IAM Access Analyzer 就會產生問題清單。
對於內部存取,IAM Access Analyzer 會在您組織內的 IAM 角色或使用者與指定資源之間存在可能的存取路徑時,產生調查結果。與外部存取分析類似,您選擇的範圍 (組織或帳戶) 會決定哪些存取是內部存取。如果您選擇組織作為分析範圍,IAM Access Analyzer 將會針對組織內的主體與資源之間的存取路徑產生調查結果。如果您選擇帳戶作為分析範圍,則會針對該特定帳戶內的存取路徑產生調查結果。IAM Access Analyzer 使用自動推理來評估所有 IAM 政策,以監控誰有權存取您的資源。
將外部和內部存取調查結果與相同信任區域相結合,可以對特定資源的所有可能存取進行全面分析,包括來自於定義的信任界限內外的存取。
對於未使用的存取,IAM Access Analyzer 會針對 AWS 組織和帳戶中授予的未使用存取產生調查結果。建立未使用的存取權分析器時,IAM Access Analyzer 會持續監控 AWS 組織和帳戶中的所有 IAM 角色和使用者,並針對未使用的存取權產生調查結果。IAM Access Analyzer 會針對未使用的存取權產生下列類型的調查結果:
-
未使用的角色:在指定使用期間內沒有存取活動的角色。
-
未使用的 IAM 使用者存取金鑰和密碼:屬於 IAM 使用者的憑證,這些憑證尚未用於在指定的使用時段存取您的 AWS 帳戶。
-
未使用的許可:指定使用期間內角色未使用的服務層級和動作層級許可。IAM Access Analyzer 會使用連接至角色的身分型政策,來判斷這些角色可存取的服務和動作。IAM Access Analyzer 支援檢閱所有服務層級許可的未使用許可。如需未使用的存取權調查結果支援的動作層級許可完整清單,請參閱:IAM 動作最近存取的資訊服務和動作。
注意
IAM Access Analyzer 免費提供外部存取調查結果。對於未使用的存取調查結果,會根據每個分析器每月所分析的 IAM 角色和使用者數量收取費用。此外,對於內部存取調查結果,會根據每個分析器每個月所監控的 AWS 資源數量收取費用。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價
主題
