本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 為您的 產生登入資料報告 AWS 帳戶
您可以產生並下載*憑證報告*,其中會列出帳戶中的所有使用者,及其各種憑證的狀態,包括密碼、存取金鑰和 MFA 裝置。您可以從 AWS 管理主控台、 [AWS SDKs](https://aws.amazon.com/tools)和[命令列工具](https://aws.amazon.com/tools/#Command_Line_Tools)或 IAM API 取得登入資料報告。
**注意**
IAM 登入資料報告僅包含下列 IAM 受管登入資料:密碼、每個使用者的前兩個存取金鑰、MFA 裝置和 X.509 簽署憑證。報告不包含服務特定的登入資料 (例如 CodeCommit 密碼、Amazon Bedrock 長期 API 金鑰或 Amazon CloudWatch Logs 長期 API 金鑰) 或任何其他超過前兩個的使用者存取金鑰。如需完整的登入資料可見性,請使用 [ListServiceSpecificCredentials](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListServiceSpecificCredentials.html) 和 [ListAccessKeys](https://docs.aws.amazon.com/IAM/latest/APIReference/API_ListAccessKeys.html) APIs。
您可以使用憑證報告協助您進行稽核和合規性工作。您可以使用報告來稽核憑證生命週期要求的效果,如密碼和存取金鑰更新。您可以向外部稽核員提供報告,或向稽核員授予許可,以便該人員直接下載報告。
您可以依照每四小時一次的頻率來產生憑證報告。當您請求報告時,IAM 會先檢查是否已在過去四小時內 AWS 帳戶 產生 的報告。若是如此,便會下載最新的報告。如果帳戶的最新報告是四小時前產生的,或者如果帳戶無先前報告,則 IAM 會產生並下載新報告。
**Topics**
+ [必要許可](#id_credentials_required_permissions)
+ [了解報告格式](#id_credentials_understanding_the_report_format)
+ [取得憑證報告 (主控台)](#getting-credential-reports-console)
+ [取得憑證報告 (AWS CLI)](#getting-credential-reports-cliapi)
+ [取得登入資料報告 (AWS API)](#getting-credential-reports-api)
## 必要許可
建立和下載報告必須要有以下許可:
+ 建立憑證報告:`iam:GenerateCredentialReport`
+ 下載報告:`iam:GetCredentialReport`
## 了解報告格式
憑證報告採取逗號分隔值 (CSV) 檔案為格式。您可以使用常用試算表軟體打開 CSV 檔以執行分析,也可以建構應用程式來以程式設計方式使用 CSV 檔並執行自訂分析。
CSV 檔案內含下列欄位:
**使用者**
易讀的使用者名稱。
**arn**
使用者的 Amazon Resource Name (ARN)。如需有關 ARN 的詳細資訊,請參閱 [IAM ARN](reference_identifiers.md#identifiers-arns)。
**user\$1creation\$1time**
使用者建立的日期和時間,採用 [ISO 8601 日期時間格式](https://en.wikipedia.org/wiki/ISO_8601)。
**password\$1enabled**
當使用者有密碼時,此值為 `TRUE`,否則為 `FALSE`。對於作為組織的一部分建立的新成員帳戶,此值為 `FALSE`,因為這些帳戶預設不具備根使用者憑證。
**password\$1last\$1used**
上次使用 AWS 帳戶根使用者 或 使用者密碼登入 AWS 網站的日期和時間,採用 [ISO 8601 日期時間格式](http://www.iso.org/iso/iso8601)。擷取使用者上次登入時間 AWS 的網站為 AWS 管理主控台、 AWS 開發論壇和 AWS Marketplace。如果密碼在 5 分鐘的時間範圍內多次使用,則僅在此欄位中記錄此期間內的第一次使用。
+ 在以下情況中,此欄位的值為 `no_information`:
+ 從未使用使用者密碼。
+ 沒有與密碼關聯的登入資料,例如,在 IAM 於 2014 年 10 月 20 日開始追蹤此資訊後,使用者密碼未曾使用。
+ 當使用者沒有密碼時,此欄位中的值是 `N/A` (不適用)。
**重要**
由於服務問題,上次使用密碼的資料不包含從 2018 年 5 月 3 日 22:50 (太平洋日光時間) 到 2018 年 5 月 23 日 14:08 (太平洋日光時間) 使用的密碼。這會影響顯示於 IAM 主控台中的[前次登入](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_finding-unused.html)日期,以及在 [IAM 憑證報告](https://docs.aws.amazon.com/IAM/latest/UserGuide/SupportedTypes.xmlid_credentials_getting-report.html)中的最後使用密碼日期,並由 [GetUser API 操作](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetUser.html)傳回。如果使用者在受影響的時間登入,傳回的上次使用密碼的日期會是使用者最後一次在 2018 年 5 月 3 日之前登入的日期。對於在 2018 年 5 月 23 日 14:08 (太平洋日光時間) 之後登入的使用者,傳回的上次使用密碼日期會是準確的。
如果您使用密碼上次使用的資訊來識別未使用的登入資料以供刪除,例如刪除 AWS 過去 90 天內未登入 的使用者,建議您調整評估時段以包含 2018 年 5 月 23 日之後的日期。或者,如果您的使用者使用存取金鑰以 AWS 程式設計方式存取 ,您可以參考存取金鑰上次使用的資訊,因為它在所有日期都是準確的。
**password\$1last\$1changed**
使用者密碼上次設定的日期和時間,採用 [ISO 8601 日期時間格式](https://en.wikipedia.org/wiki/ISO_8601)。若使用者沒有密碼,此欄位中的值是 `N/A` (不適用)。
**password\$1next\$1rotation**
如果帳戶的[密碼政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_ManagingPasswordPolicies.html)要求密碼輪換,則此欄位包含使用者需要設定新密碼的日期和時間,採用 [ISO 8601 日期時間格式](https://en.wikipedia.org/wiki/ISO_8601)。 AWS 帳戶 (根) 的值一律為 `not_supported`。
**mfa\$1active**
當使用者啟用[多重要素驗證 (MFA)](id_credentials_mfa.md) 裝置時,此值為 `TRUE`,否則為 `FALSE`。
**access\$1key\$11\$1active**
當使用者有存取金鑰且存取金鑰狀態為 `Active` 時,此值為 `TRUE`,否則為 `FALSE`。同時適用於帳戶根使用者和 IAM 使用者。
**access\$1key\$11\$1last\$1rotated**
使用者的存取金鑰建立或前次變更的時間與日期,採用 [ISO 8601 日期時間格式](https://en.wikipedia.org/wiki/ISO_8601)。若使用者沒有主動式存取金鑰,此欄位中的值是 `N/A` (不適用)。同時適用於帳戶根使用者和 IAM 使用者。
**access\$1key\$11\$1last\$1used\$1date**
使用者存取金鑰最近用於登入 AWS API 請求的日期與時間,採用 [ISO 8601 日期時間格式](https://en.wikipedia.org/wiki/ISO_8601)。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。
在以下情況中,此欄位的值為 `N/A` (不適用):
+ 使用者無存取金鑰。
+ 從未使用存取金鑰。
+ 自 IAM 於 2015 年 4 月 22 日開始追蹤此資訊後,存取金鑰未曾使用。
**access\$1key\$11\$1last\$1used\$1region**
最近使用過存取金鑰的 [AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande.html)。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。
在以下情況中,此欄位的值為 `N/A` (不適用):
+ 使用者無存取金鑰。
+ 從未使用存取金鑰。
+ 存取金鑰最後一次使用的時間為 IAM 於 2015 年 4 月 22 日開始追蹤此資訊之前。
+ 上次使用的服務沒有區域限制,如 Amazon S3。
**access\$1key\$11\$1last\$1used\$1service**
最近使用 存取金鑰存取 AWS 的服務。此欄位中的值會使用服務的命名空間 — 舉例來說,Amazon S3 為 `s3`、而 Amazon EC2 為 `ec2`。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。
在以下情況中,此欄位的值為 `N/A` (不適用):
+ 使用者無存取金鑰。
+ 從未使用存取金鑰。
+ 存取金鑰最後一次使用的時間為 IAM 於 2015 年 4 月 22 日開始追蹤此資訊之前。
**access\$1key\$12\$1active**
當使用者有第二個存取金鑰且第二個存取金鑰狀態為 `Active` 時,此值為 `TRUE`。否則為 `FALSE`。同時適用於帳戶根使用者和 IAM 使用者。
使用者最多可有兩個存取金鑰,首先更新金鑰,然後刪除先前的金鑰,從而使輪換變得更簡單。如需有關更新存取金鑰的詳細資訊,請參閱 [更新存取金鑰](id-credentials-access-keys-update.md)。
**access\$1key\$12\$1last\$1rotated**
使用者的第二個存取金鑰建立或前次更新的時間與日期,採用 [ISO 8601 日期時間格式](https://en.wikipedia.org/wiki/ISO_8601)。若使用者沒有第二個主動式存取金鑰,此欄位中的值是 `N/A` (不適用)。同時適用於帳戶根使用者和 IAM 使用者。
**access\$1key\$12\$1last\$1used\$1date**
使用者第二個存取金鑰最近用於簽署 AWS API 請求的日期和時間,採用 [ISO 8601 日期時間格式](https://en.wikipedia.org/wiki/ISO_8601)。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。
在以下情況中,此欄位的值為 `N/A` (不適用):
+ 使用者沒有第二個存取金鑰。
+ 從未使用第二個存取金鑰。
+ 使用者的第二個存取金鑰最後一次使用的時間為 IAM 於 2015 年 4 月 22 日開始追蹤此資訊之前。
**access\$1key\$12\$1last\$1used\$1region**
使用者的第二個最近使用過存取金鑰的 [AWS 區域](https://docs.aws.amazon.com/general/latest/gr/rande.html)。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。在以下情況中,此欄位的值為 `N/A` (不適用):
+ 使用者沒有第二個存取金鑰。
+ 從未使用第二個存取金鑰。
+ 使用者的第二個存取金鑰最後一次使用的時間為 IAM 於 2015 年 4 月 22 日開始追蹤此資訊之前。
+ 上次使用的服務沒有區域限制,如 Amazon S3。
**access\$1key\$12\$1last\$1used\$1service**
最近使用使用者的第二個存取金鑰存取 AWS 的服務。此欄位中的值會使用服務的命名空間 — 舉例來說,Amazon S3 為 `s3`、而 Amazon EC2 為 `ec2`。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。在以下情況中,此欄位的值為 `N/A` (不適用):
+ 使用者沒有第二個存取金鑰。
+ 從未使用第二個存取金鑰。
+ 使用者的第二個存取金鑰最後一次使用的時間為 IAM 於 2015 年 4 月 22 日開始追蹤此資訊之前。
**cert\$11\$1active**
當使用者有 X.509 簽署的憑證且該憑證的狀態為 `Active` 時,此值為 `TRUE`,否則為 `FALSE`。
**cert\$11\$1last\$1rotated**
使用者的簽署憑證建立或前次變更的時間與日期,採用 [ISO 8601 日期時間格式](https://en.wikipedia.org/wiki/ISO_8601)。若使用者沒有主動式簽署憑證,此欄位中的值是 `N/A` (不適用)。
**cert\$12\$1active**
當使用者有第二個 X.509 簽署的憑證且該憑證的狀態為 `Active` 時,此值為 `TRUE`,否則為 `FALSE`。
使用者最多可有兩個 X.509 簽署憑證,讓輪換更容易。
**cert\$12\$1last\$1rotated**
使用者的第二個簽署憑證建立或前次變更的時間與日期,採用 [ISO 8601 日期時間格式](https://en.wikipedia.org/wiki/ISO_8601)。若使用者沒有第二個主動式簽署憑證,此欄位中的值是 `N/A` (不適用)。
**additional\$1credentials\$1info**
當使用者有兩個以上的存取金鑰或憑證時,此值是其他存取金鑰或憑證的數量,以及可用來列出與使用者相關聯之存取金鑰或憑證的動作。
## 取得憑證報告 (主控台)
您可以使用 AWS 管理主控台 將登入資料報告下載為逗號分隔值 (CSV) 檔案。
**下載憑證報告 (主控台)**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在導覽窗格中,選擇 **Credential report (憑證報告)**。
1. 選擇 **Download Report (下載報告)**。
## 取得憑證報告 (AWS CLI)
**下載憑證報告 (AWS CLI)**
1. 產生登入資料報告。 會 AWS 儲存單一報告。如果報告存在,產生憑證報告會覆寫先前的報告。[https://docs.aws.amazon.com/cli/latest/reference/iam/generate-credential-report.html](https://docs.aws.amazon.com/cli/latest/reference/iam/generate-credential-report.html)
1. 檢視上次產生的報告:[https://docs.aws.amazon.com/cli/latest/reference/iam/get-credential-report.html](https://docs.aws.amazon.com/cli/latest/reference/iam/get-credential-report.html)
## 取得登入資料報告 (AWS API)
**下載登入資料報告 (AWS API)**
1. 產生登入資料報告。 會 AWS 儲存單一報告。如果報告存在,產生憑證報告會覆寫先前的報告。[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GenerateCredentialReport.html)
1. 檢視上次產生的報告:[https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetCredentialReport.html)