本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 AWS Identity and Access Management Access Analyzer
AWS Identity and Access Management Access Analyzer 提供下列功能:
+ IAM Access Analyzer 外部存取權分析器可協助您識別組織與帳戶中[與外部實體共用的資源](#what-is-access-analyzer-resource-identification)。
+ IAM Access Analyzer 內部存取分析器可協助在組織與帳戶中[識別所選資源的內部存取權](#what-is-access-analyzer-internal-access-analysis)。
+ IAM Access Analyzer 未使用的存取權分析器可協助您在組織與帳戶中識別[未使用的存取權](#what-is-access-analyzer-unused-access-analysis)。
+ IAM Access Analyzer [會根據政策文法和最佳實務來驗證 IAM](#what-is-access-analyzer-policy-validation) 政策。 AWS
+ IAM Access Analyzer 自訂政策檢查可協助[根據您指定的安全標準驗證 IAM 政策](#what-is-access-analyzer-policy-checks)。
+ IAM Access Analyzer [會根據日誌中的存取活動產生 IAM 政策](#what-is-access-analyzer-policy-generation)。 AWS CloudTrail
## 識別與外部實體共用的資源
IAM Access Analyzer 可協助您識別與外部實體共用的組織和帳戶中資源,例如 Amazon S3 儲存貯體或 IAM 角色。這有助於您識別非預期存取資源和資料的情況,避免產生安全性風險。IAM Access Analyzer 會使用邏輯式推理來分析 AWS 環境中以資源為基礎的政策,藉此識別與外部主體共用的資源。針對帳戶外部共用資源的每一個執行個體,IAM Access Analyzer 都會產生一份問題清單。調查結果包括存取權及其被授與存取的外部主體的資訊。您可以檢閱問題清單,判斷此為有意為之且安全的存取,還是非預期且有安全風險的存取。除了協助您識別與外部實體共用的資源外,IAM Access Analyzer 也可讓您使用 IAM Access Analyzer 的問題清單,在部署資源使用權限之前預覽您的政策對您資源的公有和跨帳戶存取權的影響。系統會在視覺化摘要儀表板中整理歸納調查結果。儀表板會反白公有與跨帳户存取權調查結果之間的分隔線,並提供依資源類型分類的調查結果明細。若要深入了解儀表板,請參閱:[檢視 IAM Access Analyzer 調查結果儀表板](access-analyzer-dashboard.md)。
**注意**
外部實體可以是另一個 AWS 帳戶、根使用者、IAM 使用者或角色、聯合身分使用者、匿名使用者或可用來建立篩選條件的另一個實體。如需詳細資訊,請參閱 [AWS JSON 政策元素:主體](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_principal.html)。
啟用 IAM Access Analyzer 後,您可以為整個組織或帳戶建立分析器。您選擇的組織或帳戶也稱為分析器的信任區域。分析器會監控您信任區域內所有[支援的資源](access-analyzer-resources.md)。在信任區域內主體對資源的任何存取權都會被視為受信任。啟用後,IAM Access Analyzer 會分析在您信任區域中套用至所有支援之資源的政策。在第一次分析後,IAM Access Analyzer 會定期分析這些政策。如果新增政策或變更現有政策,則 IAM Access Analyzer 會在大約 30 分鐘內分析新的或更新後的政策。
分析政策時,如果 IAM Access Analyzer 識別到會將存取權授與不在信任區域內的外部主體的政策,就會產生問題清單。每個問題清單都包含資源、具有該資源存取權的外部實體,以及授與之許可的詳細資訊,以便您可以採取適當的動作。您可以檢視問題清單中包含的詳細資訊,以判斷資源存取權是有意為之的,還是您應解決的潛在風險。當您將政策新增至資源或更新現有政策時,IAM Access Analyzer 會分析該政策。IAM Access Analyzer 也會定期分析所有以資源為基礎的政策。
在符合某些條件的極少數情況下,IAM Access Analyzer 不會接收可能會導致生成的調查結果延遲的新增或更新政策的通知。若您建立或刪除與 Amazon S3 儲存貯體相關聯的多區域存取點,或更新多區域存取點的政策,IAM Access Analyzer 最多可能需要 6 小時才能產生或解決問題清單。此外,如果 AWS CloudTrail 日誌交付或資源控制政策 (RCP) 限制變更發生交付問題,政策變更不會觸發重新掃描調查結果中報告的資源。發生這種情況時,IAM Access Analyzer 會在下次定期掃描 (24 小時內) 期間分析該新增或更新的政策。若要確認對政策所做的變更是否可以解決調查結果中報告的存取問題,可以重新掃描調查結果中報告的資源,方法為使用**調查結果**詳細資訊頁面中的**重新掃描**連結,或使用 IAM Analyzer API 的 [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_StartResourceScan.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_StartResourceScan.html) 操作。如需詳細資訊,請參閱 [解決 IAM Access Analyzer 調查結果](access-analyzer-findings-remediate.md)。
**重要**
對於外部存取,IAM Access Analyzer 只會分析套用至相同 AWS 區域 (已在其中啟用) 中資源的政策。若要監控 AWS 環境中的所有資源,您必須建立外部存取分析器,以便在您使用支援 AWS 資源的每個區域中啟用 IAM Access Analyzer。
針對未使用的存取權,分析器的調查結果不會因區域而變更。不需要在每個擁有資源的區域中都建立未使用的存取分析器。
IAM Access Analyzer 會針對外部存取分析下列資源類型:
+ [Amazon Simple Storage Service 儲存貯體](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service 目錄儲存貯體](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [AWS Identity and Access Management 角色](access-analyzer-resources.md#access-analyzer-iam-role)
+ [AWS Key Management Service 金鑰](access-analyzer-resources.md#access-analyzer-kms-key)
+ [AWS Lambda 函數和圖層](access-analyzer-resources.md#access-analyzer-lambda)
+ [Amazon Simple Queue Service 佇列](access-analyzer-resources.md#access-analyzer-sqs)
+ [AWS Secrets Manager 秘密](access-analyzer-resources.md#access-analyzer-secrets-manager)
+ [Amazon Simple Notification Service 主題](access-analyzer-resources.md#access-analyzer-sns)
+ [Amazon Elastic Block Store 磁碟區快照](access-analyzer-resources.md#access-analyzer-ebs)
+ [Amazon Relational Service 資料庫快照](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service 資料庫叢集快照](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon Elastic Container Registry 儲存庫](access-analyzer-resources.md#access-analyzer-ecr)
+ [Amazon Elastic File System 檔案系統](access-analyzer-resources.md#access-analyzer-efs)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 資料表](access-analyzer-resources.md#access-analyzer-ddb-table)
## 識別對業務關鍵型資源的內部存取
對於所選的業務關鍵型資源,IAM Access Analyzer 可協助您識別組織或帳戶中的哪些主體可以存取這些資源。此分析透過確保您指定的資源僅可由組織內的預期主體存取,來支援實作最低權限原則。
內部存取權分析可協助您:
+ 決定帳戶或組織內的哪些 IAM 使用者或角色可以存取指定的資源
+ 了解 AWS 環境內主體與資源之間的存取路徑
+ 確認存取控制是否如預期運作
+ 檢閱調查結果,判斷此為有意為之且安全的存取,還是非預期且構成安全風險的存取
+ 識別並修復組織內的非預期存取
IAM Access Analyzer 會針對內部存取分析下列資源類型:
+ [Amazon Simple Storage Service 儲存貯體](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service 目錄儲存貯體](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Service 資料庫快照](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service 資料庫叢集快照](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 資料表](access-analyzer-resources.md#access-analyzer-ddb-table)
## 識別授予 IAM 使用者和角色的未使用存取權
IAM Access Analyzer 可協助您識別和檢閱 AWS 組織和帳戶中未使用的存取權。IAM Access Analyzer 會持續監控 AWS 組織和帳戶中的所有 IAM 角色和使用者,並針對未使用的存取權產生調查結果。調查結果會反白未使用的角色、IAM 使用者未使用的存取金鑰,以及 IAM 使用者未使用的密碼。調查結果可讓您了解作用中 IAM 角色和使用者未使用的服務和動作。
IAM Access Analyzer 會檢閱 AWS 組織和帳戶中所有角色的上次存取資訊,以協助您識別未使用的存取。IAM 動作上次存取的資訊可協助識別 AWS 帳戶中的角色未使用的動作。如需詳細資訊,請參閱[AWS 使用上次存取的資訊在 中精簡許可](access_policies_last-accessed.md)。
外部、內部及未使用的存取分析器調查結果,會在視覺化摘要儀表板中整理歸納。儀表板會反白您的 AWS 資源和調查結果最多 AWS 帳戶 的資源,並依類型提供調查結果明細。如需儀表板中的詳細資訊,請參閱[檢視 IAM Access Analyzer 調查結果儀表板](access-analyzer-dashboard.md)。
## 根據 AWS 最佳實務驗證政策
您可以使用 IAM Access Analyzer 政策驗證功能提供的基本政策檢查,根據 IAM [政策文法](reference_policies_grammar.md)和 [AWS 最佳實務](best-practices.md)來驗證您的政策。您可以使用 IAM 主控台中的 AWS CLI、 AWS API 或 JSON 政策編輯器來建立或編輯政策。您可以檢視政策驗證檢查問題清單,包含安全警告、錯誤、一般警告和政策的建議。這些調查結果提供可行的建議,協助您撰寫功能正常且符合 AWS 最佳實務的政策。若要進一步了解如何使用政策驗證來驗證政策,請參閱:[使用 IAM Access Analyzer 來驗證政策](access-analyzer-policy-validation.md)。
## 根據您指定的安全標準驗證政策
您可以使用 IAM Access Analyzer 自訂政策檢查,根據您指定的安全標準來驗證 IAM 政策。您可以使用 IAM 主控台中的 AWS CLI、 AWS API 或 JSON 政策編輯器來建立或編輯政策。您可以透過主控台檢查與現有版本相比,更新版政策是否授予新的存取權。透過 AWS CLI 和 AWS API,您也可以檢查政策不允許您認為重要的特定 IAM 動作。這些檢查會反白授予新存取權的政策陳述式。您可以更新政策陳述式並重新執行檢查,直到政策符合安全標準為止。若要進一步了解如何使用自訂政策檢查來驗證政策,請參閱:[使用 IAM Access Analyzer 自訂政策檢查來驗證政策](access-analyzer-custom-policy-checks.md)。
## 產生政策
IAM Access Analyzer 會分析您的 AWS CloudTrail 日誌,以識別 IAM 實體 (使用者或角色) 在指定日期範圍內使用的動作和服務。然後它會產生以該存取活動為基礎的 IAM 政策。您可以使用產生的政策,將其連接至 IAM 使用者或角色,以進一步調整該實體的許可。若要進一步了解如何使用 IAM Access Analyzer 來產生政策,請參閱 [產生 IAM Access Analyzer 政策](access-analyzer-policy-generation.md)。
## IAM Access Analyzer 定價
IAM Access Analyzer 會根據每月每個分析器所分析的 IAM 角色和使用者數量,收取未使用的存取權分析費用。
+ 您需為建立的每個未使用的存取權分析器支付費用。
+ 若跨多個區域建立未使用的存取權分析器,您將須為每個分析器支付費用。
+ 系統不會針對未使用的存取活動分析服務連結角色,也不會將這些角色包含在已分析的 IAM 角色總數中。
IAM Access Analyzer 會根據每個內部存取分析器每個月監控的資源數量,收取內部存取分析費用。
IAM Access Analyzer 會根據向 IAM Access Analyzer 發出的檢查新存取權 API 請求數量,來收取自訂政策檢查費用。
如需 IAM Access Analyzer 的完整費用與定價清單,請參閱 [IAM Access Analyzer 定價](https://aws.amazon.com/iam/access-analyzer/pricing)。
若要查看您的帳單,請前往 [AWS 帳單與成本管理 主控台](https://console.aws.amazon.com/billing/)中的**帳單與成本管理儀表板**。您的帳單內含用量報告的連結,可提供帳單的詳細資訊。若要進一步了解 AWS 帳戶 帳單,請參閱 [AWS Billing 使用者指南](https://docs.aws.amazon.com/awsaccountbilling/latest/aboutv2/)
如果您對 AWS 帳單、帳戶和事件有任何疑問,[請聯絡 支援](https://aws.amazon.com/contact-us/) 。