本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

了解 Security Hub 中未使用的存取調查結果

Security Hub 使用 IAM Access Analyzer 來識別您帳戶中未使用的 IAM 許可、角色、存取金鑰和密碼。這些調查結果透過強調未主動使用的 IAM 主體和許可，協助您實作最低權限存取的安全性最佳實務。此功能會提供給所有 Security Hub 客戶，無需額外費用。

未使用的存取分析如何運作

當您啟用 Security Hub 時，服務會自動在您的帳戶中建立服務連結 IAM Access Analyzer。此分析器會根據 AWS CloudTrail 活動資料評估所有 IAM 主體 （角色和使用者），以判斷哪些主體和許可未在 90 天的回顧期間內使用。回顧期間無法設定。

IAM Access Analyzer 每 24 小時會重新評估所有作用中的問題清單。當先前未使用的委託人或許可變為作用中時，會自動解析對應的調查結果。

未使用的存取分析器會在美國東部 （維吉尼亞北部） 執行，因為 IAM 是全球服務。Security Hub 會將問題清單複寫到您已啟用 Security Hub 的所有區域。您不需要在美國東部 （維吉尼亞北部） 啟用 Security Hub，分析器才能執行。

未使用的存取問題清單類型

Security Hub 會產生四種未使用的存取調查結果：

服務連結分析器

Security Hub 建立的 IAM Access Analyzer 是服務連結分析器。您可以在 IAM Access Analyzer 主控台中檢視它，但在 Security Hub 啟用時無法修改或刪除它。

當您在所有區域中停用 Security Hub 時，服務連結分析器會自動刪除。如果自動刪除失敗，您可以呼叫 IAM Access Analyzer DeleteServiceLinkedAnalyzer API 操作來刪除分析器。只有在您帳戶的 Security Hub 完全停用之後，此操作才會成功。

服務連結分析器與您可能在 IAM Access Analyzer 中獨立建立的任何客戶受管分析器是分開的。建立或刪除客戶受管分析器不會影響服務連結分析器，反之亦然。

檢視未使用的存取調查結果

未使用的存取調查結果與其他 Security Hub 調查結果一起顯示在 Security Hub 主控台中。您可以依類型篩選問題清單，僅檢視未使用的存取問題清單。未使用的存取問題清單格式採用開放式網路安全結構描述架構 (OCSF)，與所有 Security Hub 問題清單所使用的格式相同。

對於 UnusedPermission 調查結果，如果您從過度寬鬆政策中移除一些未使用的許可，但並非所有許可，則 Security Hub 會關閉現有的調查結果，並在仍然過度寬鬆的情況下為修訂的政策建立新的調查結果。

您也可以從 IAM Access Analyzer 主控台存取未使用的存取調查結果。IAM Access Analyzer 主控台中未使用的存取問題清單是唯讀的，並且僅在美國東部 （維吉尼亞北部） 區域可見。

公開調查結果中未使用的存取權

未使用的存取資訊可以在 Security Hub 公開調查結果中顯示為內容特徵。當連接至資源的 IAM 角色具有未使用的許可時，公開調查結果會包含此作為補充內容。這可協助您了解漏洞的潛在爆量半徑 — 具有高權限 IAM 角色的資源比具有最低權限許可的資源具有更高的風險。

下列資源類型可以在其公開調查結果中顯示未使用的存取內容特徵：

如需公開調查結果的詳細資訊，請參閱 Security Hub 中的暴露問題清單。

未使用許可的政策建議

對於 UnusedPermission 調查結果，Security Hub 可以產生最低權限政策建議。這些建議會顯示縮小範圍的替換政策，只保留委託人實際使用的許可。如需詳細資訊，請參閱針對未使用的存取問題清單產生政策建議。

定價

服務連結的 IAM Access Analyzer 會提供給所有 Security Hub 客戶，無需額外費用。您不需要另外支付分析器或未使用的存取問題清單的費用。