View a markdown version of this page

針對未使用的存取問題清單產生政策建議 - AWS Security Hub

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對未使用的存取問題清單產生政策建議

對於未使用的許可調查結果,Security Hub 可以產生最低權限政策建議,以顯示縮小範圍的取代政策。建議會評估連接至 IAM 主體的每個政策,並產生取代,只保留主體實際使用的許可。此功能會提供給所有 Security Hub 客戶,無需額外費用。

政策建議的運作方式

政策建議產生是非同步操作。若要產生和擷取建議:

  1. 使用 GetFindingsV2 API 操作從 Security Hub 擷取未使用的許可調查結果。記下調查結果中的 metadata.uid 欄位。

  2. GenerateRecommendedPolicyV2 使用問題清單的 呼叫 metadata.uid。這會啟動建議產生,這通常會在 20 秒內完成。

  3. GetRecommendedPolicyV2 輪詢相同的 ,metadata.uid直到 status 欄位傳回 SUCCEEDED

  4. 回應包含一或多個建議步驟。每個步驟都會指定 CREATE_POLICY(建立和連接縮小範圍的取代政策) 或 DETACH_POLICY(刪除過度特權原始政策) recommendedAction的 。對於CREATE_POLICY步驟,回應同時包含 existingPolicy JSON 和 recommendedPolicy JSON,因此您可以比較它們。

GetRecommendedPolicyV2 如果先前尚未針對該調查結果產生建議,您必須在呼叫 GenerateRecommendedPolicyV2之前呼叫 。

誰可以產生建議

帳戶擁有者和委派管理員都可以呼叫這些 API 操作:

  • 帳戶擁有者可以在自己的帳戶中產生和檢視未使用的許可調查結果的建議。

  • 委派管理員可以針對其組織內任何成員帳戶未使用的許可調查結果產生和檢視建議。

如果您不是委派管理員,且調查結果屬於不同的帳戶,則 API 操作會傳回AccessDeniedException錯誤。

建議生命週期

  • 建議會快取 90 天,只要問題清單處於作用中狀態 (非關閉),就會保持可用狀態。不過,GenerateRecommendedPolicyV2多次呼叫 會使快取失效,並啟動新的任務,以取代快取的政策。建議您每個問題清單只呼叫GenerateRecommendedPolicyV2一次。

  • 建議遵循detach-and-attach模式。它不會修改您現有的 IAM 政策。您可以檢閱建議的政策,並透過 IAM API 在 IAM 主控台中手動套用。

  • 如果問題清單已解決 (例如,因為先前未使用的許可現在正在使用中),則不再提供建議。

錯誤案例

API 操作會在下列情況下傳回錯誤:

  • 問題清單已解決 — InvalidInputException(HTTP 400)。

  • 調查結果不是未使用的許可調查結果 — InvalidInputException(HTTP 400)。

  • IAM 主體是透過 IAM Identity Center 許可集建立的。許可集主體的政策無法直接修改。建議會傳回具有說明FAILED的狀態。

  • 發起人不是委派管理員,問題清單屬於不同的帳戶 — AccessDeniedException(HTTP 403)。

  • 尚未產生建議,而且您GetRecommendedPolicyV2未先呼叫 即呼叫 GenerateRecommendedPolicyV2 - ResourceNotFoundException(HTTP 404)。

使用主控台

在 Security Hub 主控台中,您可以透過檢視未使用的許可調查結果並選擇修復索引標籤來產生政策建議。建立建議時,主控台會顯示載入旋轉器。當建議準備就緒時,您可以選擇預覽來查看目前政策和建議的最低權限取代的side-by-side比較。您可以複製 JSON 格式的建議政策。

API 參考

  • GenerateRecommendedPolicyV2 — 針對未使用的許可調查結果啟動非同步產生最低權限政策建議。將調查結果metadata.uid做為輸入。傳回成功時具有空白內文的 HTTP 200。

  • GetRecommendedPolicyV2 — 擷取產生的政策建議。將調查結果metadata.uid做為輸入。支援使用 maxResults(1–100) 和 nextToken 參數進行分頁。傳回建議狀態 (IN_PROGRESS、 或 FAILED)SUCCEEDED、建議步驟、資源 ARN 和任何錯誤。

如需詳細的 API 文件,請參閱 Security Hub API 參考