IAM Access Analyzer 错误调查发现 - AWS Identity and Access Management
外部访问错误调查发现内部访问错误调查发现解决错误调查发现

IAM Access Analyzer 错误调查发现

当 IAM Access Analyzer 分析资源时,它通常会生成显示谁有权访问您的资源的调查发现。然而,在某些情况下,分析器可能会遇到阻止其完成分析的问题。在这些情况下,IAM Access Analyzer 会生成错误调查发现。

错误调查发现表明 IAM Access Analyzer 无法完成对特定资源或特定主体资源对的分析。这些调查发现可帮助您识别可能需要关注的资源,以确保进行正确的分析。

外部访问错误调查发现

识别您的账户或组织外部共享的资源的外部访问分析器可生成两种类型的错误调查发现:

  • INTERNAL_ERROR – 表示 IAM Access Analyzer 在分析资源时遇到内部问题。这可能是由于服务限制或临时问题造成的。

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR",
	"createdAt": "2022-07-14T01:31:43.085000+00:00",
	"resourceType": "AWS::IAM::Role",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
}

  • ACCESS_DENIED – 表示 IAM Access Analyzer 没有分析资源所需的权限。这通常发生在 IAM Access Analyzer 的服务相关角色 (SLR) 被拒绝访问资源时。

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
	"status": "ACTIVE",
	"error": "ACCESS_DENIED",
	"createdAt": "2022-07-14T01:31:43.104000+00:00",
	"resourceType": "AWS::KMS::Key",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
}

内部访问错误调查发现

识别您的账户或组织内的访问的内部访问分析器可生成四种类型的错误调查发现:

  • PRINCIPAL_LIMIT_EXCEEDED – 当超过 3,000 个主体有权访问关键资源时生成。此错误可帮助您识别可能需要限制的访问范围过广的资源。

    如果您对环境中的资源或主体进行更改,使主体数量低于限制,则分析器将在下一次扫描期间生成正常调查发现,并且错误调查发现将被标记为已解决。

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • 资源级别错误(INTERNAL_ERROR 或 ACCESS_DENIED)– 与外部访问错误类似,这些错误表明分析器由于内部问题或权限问题而无法分析特定资源。当发生资源级别错误时,分析器会为该资源生成单个错误调查发现,而不是正常调查发现。

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • 主体级别错误(INTERNAL_ERROR 或 ACCESS_DENIED)– 表示分析器无法分析特定主体对特定资源的访问。与资源级别错误不同,资源可以同时对某些主体有正常调查发现,而对其他主体有错误调查发现。

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess", 
	"findingDetails": [
		{
			"internalAccessDetails": {
				"principal": {
					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
				},
				"principalOwnerAccount": "111122223333",
				"principalType": "IAM_ROLE",
				"accessType": "INTRA_ACCOUNT"
			}
		}
	]
}

  • PRINCIPAL_ERRORS_LIMIT_EXCEEDED – 当单个资源的主体级别错误调查发现过多时生成。这是一个资源级别错误调查发现,可能与同一资源的正常调查发现同时出现。

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

解决错误调查发现

如果已解决导致 IAM Access Analyzer 无法分析该资源的问题,则错误调查发现将被完全移除,而不是变为已解决的调查发现。

要解决错误调查发现,请根据错误类型考虑以下方法:

  • 对于 ACCESS_DENIED 错误,请验证 IAM Access Analyzer 服务相关角色是否具有访问资源所需的权限。

  • 对于 PRINCIPAL_LIMIT_EXCHERED 错误,请查看资源的访问策略,并考虑将访问限制为更少的主体。

  • 对于 INTERNAL_ERROR 调查发现,您可能需要等待后续分析周期,或者如果问题仍然存在,请联系 AWS 支持人员。

  • 对于 PRINCIPAL_ERRORS_LIMIT_EXCEEDED,请查看并尽可能简化受影响资源的访问模式。

在进行更改以解决根本问题后,IAM Access Analyzer 将在下一个扫描周期内再次尝试分析资源。