存档规则
存档规则会自动存档符合您在创建规则时所定义条件的新结果。还可以追溯应用存档规则,以存档符合存档规则条件的现有结果。例如,您可以创建一个存档规则,来自动存档您定期为其授予访问权限的特定 Amazon S3 存储桶的调查发现。或者,如果您向特定主体授予对多个资源的访问权限,则可以创建一个规则,来自动存档针对向该主体授予的访问权限而生成的任何新结果。这可让您仅关注可能指示安全风险的活动结果。
在创建存档规则时,仅自动存档与规则条件匹配的新结果。不会自动存档现有结果。在创建规则时,可以在规则中为每个标识包含最多 20 个值。有关可用于创建或更新存档规则的筛选条件键的列表,请参阅 IAM Access Analyzer 筛选条件键。
注意
在创建或编辑存档规则时,IAM Access Analyzer 不会验证规则筛选器中包含的值。例如,如果您添加一个规则来匹配 AWS 账户,则 IAM Access Analyzer 将接受字段中的任何值,即使该值不是有效的 AWS 账号。
创建存档规则
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
选择访问分析器,然后选择分析器设置。
-
在分析器部分,选择要为其创建存档规则的分析器。
-
在存档规则选项卡上,选择创建存档规则。
-
如果要更改默认名称,请为规则输入一个名称。
-
在 Rule (规则) 部分中的 Criteria (条件) 下,为该规则选择要匹配的属性。
-
为属性值选择一个条件,例如 Contains、Is 或 Not Equals。
可用的运算符取决于您选择的属性。
-
(可选)为属性添加其他值,或为规则添加其他条件。对于外部访问调查发现,为了确保您的规则不会存档新的调查发现以进行公开访问,您还可以包含 Public access 条件并将其设置为 false。
要为标准添加另一个值,请选择 Add another value (添加另一个值)。要为规则添加另一个条件,请选择添加条件。
-
添加完条件和值后,选择创建规则以仅将规则应用于新结果。选择创建和存档活动的结果,以根据规则条件存档新的和现有的结果。在结果部分中,您可以查看存档规则应用于的活动结果的列表。
例如,要为外部访问调查发现创建一个规则,以自动存档 Amazon S3 存储桶的任何调查发现:选择资源类型,然后选择 Is 作为条件。然后,从值列表中选择 S3 存储桶。
要为未使用的访问调查发现创建一个规则,以自动归档特定账户的任何调查发现:选择资源所有者账户,然后选择 Equals 作为条件。在值文本框中键入 AWS 账户 ID。
继续定义条件以根据您的环境自定义规则,然后选择创建规则。
如果您创建一个新规则并添加多个标准,则可以通过选择 Remove this criterion (删除此标准) 来从规则中删除单个标准。您可以选择 Remove value (删除值) 来删除为标准添加的值。
编辑存档规则
-
在名称列中选择要编辑的规则名称。
您一次只能编辑一个存档规则。
-
为每个条件添加新条件或删除现有条件和值。
-
选择保存更改以将规则仅应用于新结果。选择保存和存档活动的结果,以根据规则条件存档新的和现有的结果。
删除存档规则
-
选中您要删除的规则对应的复选框。
-
选择删除。
-
在 Delete archive rule (删除存档规则) 确认对话框中键入
delete,然后选择 Delete (删除)。
这仅会从当前区域的分析器中删除规则。您必须为在其他区域中创建的每个分析器单独删除存档规则。
