本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
IAM Access Analyzer 調查結果
IAM Access Analyzer 會在您的 AWS 帳戶 或組織中產生外部存取、內部存取和未使用存取的問題清單。
針對外部存取權,若執行個體採用的資源類型政策會將信任區域內的資源存取權授予信任區域以外的主體,則 IAM Access Analyzer 會為每個執行個體產生調查結果。當您建立外部存取分析器時,您可以選擇要分析的組織或 AWS 帳戶 。該分析器會將所選組織或帳戶中的任何主體認定為可信任的。由於相同組織或帳戶中的主體是可信任的,分析器的信任區域就會包含該組織或帳戶內的資源和主體。在信任區域內共享的任何項目都是安全的,因此 IAM Access Analyzer 不會產生問題清單。例如,如果您選擇組織做為分析器的信任區域,則該組織中的所有資源和主體都會在信任區域內。若您將其中一個組織成員帳戶中的 Amazon S3 儲存貯體許可授予另一個組織成員帳戶中的主體,IAM Access Analyzer 並不會產生調查結果。但若將許可授與非組織成員帳戶中的主體,IAM Access Analyzer 就會產生問題清單。
對於內部存取,當組織內的 IAM 角色或使用者與您指定的資源之間有可能的存取路徑時,IAM Access Analyzer 會產生調查結果。與外部存取分析類似,您選擇的範圍 (組織或帳戶) 會決定什麼是內部的。如果您選取組織做為範圍,IAM Access Analyzer 將針對組織中的主體和資源之間的存取路徑產生調查結果。如果您選取帳戶,則會針對該特定帳戶中的存取路徑產生問題清單。IAM Access Analyzer 使用自動推理來評估所有 IAM 政策,以監控誰可以存取您的 資源。
將外部和內部存取問題清單與相同信任區域的結合,可提供對特定資源所有可能存取的完整分析,無論是從定義的信任界限內外。
對於未使用的存取權,IAM Access Analyzer 會針對組織 AWS 和帳戶中授予的未使用存取權產生調查結果。當您建立未使用的存取分析器時,IAM Access Analyzer 會持續監控 AWS 組織和帳戶中的所有 IAM 角色和使用者,並產生未使用的存取問題清單。IAM Access Analyzer 會針對未使用的存取權產生下列類型的調查結果:
-
未使用的角色:在指定使用期間內沒有存取活動的角色。
-
未使用的 IAM 使用者存取金鑰和密碼 – 屬於 IAM 使用者的登入資料,該登入資料尚未用於在指定的使用時段 AWS 帳戶 中存取您的 。
-
未使用的許可:指定使用期間內角色未使用的服務層級和動作層級許可。IAM Access Analyzer 會使用連接至角色的身分型政策,來判斷這些角色可存取的服務和動作。IAM Access Analyzer 支援檢閱所有服務層級許可的未使用許可。如需未使用的存取權調查結果支援的動作層級許可完整清單,請參閱:IAM 動作最近存取的資訊服務和動作。
注意
IAM Access Analyzer 免費提供外部存取調查結果。根據每月每個分析器分析的 IAM 角色和使用者數量,未使用的存取調查結果會收取費用。根據每個分析器每月監控 AWS 的資源數量,內部存取調查結果也會產生費用。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價
主題
