外部和未使用的访问的调查发现 - AWS Identity and Access Management

外部和未使用的访问的调查发现

IAM Access Analyzer 会生成 AWS 账户 或组织中的外部访问和未使用的访问的调查发现。对于外部访问,IAM Access Analyzer 为基于资源的策略的每个实例生成一个调查发现,该策略可向不在信任区域内的主体授予对信任区域内的资源的访问权限。创建外部访问分析器时,您可以选择组织或 AWS 账户 进行分析。您为分析器选择的组织或账户中的任何主体都被视为受信任。由于同一组织或账户中的主体是受信任的,因此组织或账户中的资源和主体构成了分析器的信任区域。信任区域内的任何共享都被视为是安全的,因此 IAM Access Analyzer 不会生成结果。例如,如果选择某个组织作为分析器的信任区域,则该组织中的所有资源和主体都在信任区域内。如果您将某个组织成员账户中的 Amazon S3 存储桶的权限授予其他组织成员账户中的主体,IAM Access Analyzer 不会生成调查发现。但是,如果您向非企业成员账户中的主体授予权限,则 IAM Access Analyzer 会生成结果。

IAM Access Analyzer 还会为 AWS 组织和账户中授予的未使用的访问生成调查发现。创建未使用的访问分析器时,IAM Access Analyzer 会持续监控 AWS 组织和账户中的所有 IAM 角色和用户,并生成未使用的访问的调查发现。IAM Access Analyzer 为未使用的访问生成以下类型的调查发现:

  • 未使用的角色:在指定使用窗口内没有访问活动的角色。

  • 未使用的 IAM 用户访问密钥和密码:属于 IAM 用户的凭证,使其能够访问您的 AWS 账户。

  • 未使用的权限:角色在指定使用窗口内未使用的服务级别和操作级别权限。IAM Access Analyzer 使用附加到角色的基于身份的策略来确定这些角色可以访问的服务和操作。IAM Access Analyzer 支持查看所有服务级别权限的未使用权限。有关未使用的访问调查发现支持的操作级别权限的完整列表,请参阅 上次访问 IAM 操作信息的服务和操作

注意

IAM Access Analyzer 免费提供外部访问调查发现,未使用的访问调查发现按每月每个分析器分析的 IAM 角色和用户数量收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价