封存規則 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

封存規則

存檔規則會自動存檔新的問題清單,這些問題清單都符合您建立規則時所定義的條件。您也可以追溯套用封存規則,以封存符合封存規則條件的現有問題清單。例如,您可以建立封存規則,以針對您定期授予存取權的特定 Amazon S3 儲存貯體,自動封存任何調查結果。或者,如果您將多個資源的存取權授與特定主體,則可以建立規則,自動存檔任何新問題清單,這些問題清單都是為授與該主體的存取權而產生。這可讓您只專注於可能表示安全性風險的作用中問題清單。

建立存檔規則時,系統只會自動存檔符合規則條件的新問題清單。系統不會自動存檔現有的問題清單。建立規則時,您最多可以為規則中的每個條件加入 20 個值。如需可用來建立或更新存檔規則的篩選鍵清單,請參閱 IAM Access Analyzer 篩選鍵

注意

建立或編輯封存規則時,IAM Access Analyzer 不會驗證您在規則篩選條件中包含的值。例如,如果您新增規則以比對 AWS 帳戶,即使該值不是有效的 AWS 帳戶號碼,IAM Access Analyzer 仍會接受欄位中的任何值。

建立存檔規則

  1. 前往網址 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇 Access Analyzer,然後選擇分析器設定

  3. 分析器區段中,選擇您要建立封存規則的分析器。

  4. 封存規則索引標籤上,選擇建立封存規則

  5. 如果要變更預設名稱,請輸入規則的名稱。

  6. Rule (規則) 區段中 Criteria (條件) 下,選取要與規則比對的屬性。

  7. 選擇屬性值的條件,例如包含不等於

    可用的運算子取決於您選擇的屬性。

  8. 為屬性新增其他值,或為規則新增其他條件 (非必要)。針對外部存取權調查結果,若要確保規則不會封存公開存取權的新調查結果,您也可以包含公開存取權條件並設為 false

    若要為條件新增另一個值,請選擇 Add another value (新增另一個值)。若要為規則新增其他條件,請選擇新增

  9. 當您完成新增條件和值時,請選擇 Create rule (建立規則),以將規則僅套用至新的問題清單。選擇 Create and archive active findings (建立並封存作用中的問題清單),以根據規則條件來封存新的和現有的問題清單。在 Results (結果) 區段中,您可以檢閱封存規則所套用之作用中問題清單的清單。

例如,若要建立為 Amazon S3 儲存貯體自動封存所有調查結果的規則:選擇資源類型,然後選擇 條件。接下來,從清單中選擇 S3 儲存貯體

若要針對未使用的存取權調查結果建立規則,以自動封存特定帳戶的所有調查結果,請選擇資源擁有者帳戶,然後選擇等於條件。在 [] 文字方塊中輸入 AWS 帳戶 ID。

繼續定義條件以自訂適合您環境的規則,然後選擇建立規則

如果您要建立新規則並新增多個條件,您可以透過選擇 Remove this criterion (移除此條件) 來從規則中移除單一條件。您可以透過選擇 Remove value (移除值) 來移除為條件新增的值。

編輯存檔規則

  1. 名稱欄中選擇要編輯的規則之名稱。

    您一次只能編輯一個存檔規則。

  2. 為每個條件新增準則或移除現有準則和值。

  3. 選擇 Save changes (儲存變更),將規則僅套用至新的問題清單。選擇 Save and archive active findings (儲存並封存作用中的問題清單),以根據規則條件來封存新的和現有的問題清單。

刪除存檔規則

  1. 選擇您要刪除的規則之核取方塊。

  2. 選擇刪除

  3. Delete archive rule (刪除存檔規則) 確認對話方塊中輸入 delete,然後選擇 Delete (刪除)

系統僅會在目前區域中將這些規則從分析器中刪除。您必須為您在其他區域中建立的每個分析器分別刪除存檔規則。