封存規則 - AWS Identity and Access Management

封存規則

存檔規則會自動存檔新的問題清單,這些問題清單都符合您建立規則時所定義的條件。您也可以追溯套用封存規則,以封存符合封存規則條件的現有問題清單。例如,您可以建立存檔規則,以針對您定期授與存取權之特定 S3 儲存貯體,自動存檔任何問題清單。或者,如果您將多個資源的存取權授與特定委託人,則可以建立規則,自動存檔任何新問題清單,這些問題清單都是為授與該委託人的存取權而產生。這可讓您只專注於可能表示安全性風險的作用中問題清單。

使用在問題清單詳細資訊中提供的資訊,來在建立或編輯規則時,識別要使用的特定資源和外部實體。建立存檔規則時,系統只會自動存檔符合規則條件的新問題清單。系統不會自動存檔現有的問題清單。建立規則時,您最多可以為規則中的每個條件加入 20 個值。如需可用來建立或更新封存規則的篩選碼清單,請參閱Access Analyzer 篩選鍵

注意

建立或編輯封存規則時,Access Analyzer 不會驗證您在規則篩選條件中包含的值。例如,如果您新增規則以比對 AWS 帳戶,即使該值不是有效的 AWS 帳戶號碼,Access Analyzer 仍會接受欄位中的任何值。

建立存檔規則

  1. 在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/

  2. 選擇 Access analyzer (存取分析器),然後選擇 Archive rules (存檔規則)

  3. 選擇 Create archive rule (建立存檔規則)

  4. 如果要變更預設名稱,請輸入規則的名稱。

  5. Rule (規則) 區段中 Criteria (條件) 下,選取要與規則比對的屬性。

  6. 選擇屬性值的運算子,例如 contains (包含)

    可用的運算子取決於您選擇的屬性。

  7. 為屬性新增其他值,或為規則新增其他條件 (非必要)。若要確保您的規則對於公開存取不會封存新的問題清單,您也可以包含 Public access (公開存取) 條件,並將其設為 false

    若要為條件新增另一個值,請選擇 Add another value (新增另一個值)。若要為規則新增其他條件,請選擇 Add (新增) 按鈕。

  8. 當您完成新增條件和值時,請選擇 Create rule (建立規則),以將規則僅套用至新的問題清單。選擇 Create and archive active findings (建立並封存作用中的問題清單),以根據規則條件來封存新的和現有的問題清單。在 Results (結果) 區段中,您可以檢閱封存規則所套用之作用中問題清單的清單。

例如,若要建立為 S3 儲存貯體自動存檔任何問題清單的規則:選擇 Resource type (資源類型),然後在運算子選擇 is。接下來從 Select resource type (選取資源類型) 清單中選擇 S3 bucket (S3 儲存貯體),然後選擇 Add (新增)

繼續定義條件以自訂適合您環境的規則,然後選擇 Create archive rule (建立存檔規則)

如果您要建立新規則並新增多個條件,您可以透過選擇 Remove this criterion (移除此條件) 來從規則中移除單一條件。您可以透過選擇 Remove value (移除值) 來移除為條件新增的值。

編輯存檔規則

  1. Name (名稱) 中選擇要編輯的規則。

    您一次只能編輯一個存檔規則。

  2. 新增或移除每個條件的現有條件和值。若要確保您的規則對於公開存取不會封存新的問題清單,您也可以包含 Public access (公開存取) 條件,並將其設為 false

  3. 選擇 Save changes (儲存變更),將規則僅套用至新的問題清單。選擇 Save and archive active findings (儲存並封存作用中的問題清單),以根據規則條件來封存新的和現有的問題清單。

刪除存檔規則

  1. 選取要刪除之規則的核取方塊。

    您可以同時刪除一個、多個或所有規則。

  2. 選擇 Delete (刪除)。

  3. Delete archive rule (刪除存檔規則) 確認對話方塊中輸入 delete,然後選擇 Delete (刪除)

系統僅會在目前區域中將這些規則從分析器中刪除。您必須為您在其他區域中建立的每個分析器分別刪除存檔規則。