篩選 IAM Access Analyzer 調查結果 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

篩選 IAM Access Analyzer 調查結果

調查結果頁面的預設篩選結果會顯示所有調查結果。若要檢視作用中調查結果,請從狀態下拉式清單選擇作用中。若要檢視已封存的調查結果,請從狀態下拉式清單中選擇已封存。首次使用 IAM Access Analyzer 不會有已存檔的問題清單。

使用篩選器只顯示符合指定屬性條件的調查結果。若要建立篩選條件,請選取要篩選的屬性,然後選擇屬性是等於還是包含值,然後輸入或選擇要篩選的屬性值。例如,若要建立只顯示特定 AWS 帳戶相關調查結果的篩選條件,請選擇 AWS 帳戶屬性,選擇 AWS 帳戶 =,然後輸入要檢視相關調查結果的 AWS 帳戶號碼。

如需可用來建立或更新存檔規則的篩選鍵清單,請參閱 IAM Access Analyzer 篩選鍵

篩選外部存取權調查結果

篩選外部存取權調查結果
  1. 選擇外部存取權,然後從檢視分析器下拉式清單中選擇分析器。

  2. 選擇搜尋方塊以顯示可用屬性清單。

  3. 選擇要用來篩選所顯示之問題清單的屬性。

  4. 選擇該屬性須符合的值。將會顯示具備該值的問題清單。

    例如,屬性選擇資源,選擇資源:,接著輸入某儲存貯體的部分或完整名稱,然後按 Enter 鍵。僅顯示符合篩選條件的儲存貯體相關調查結果。若要建立僅顯示允許公開存取權之資源的調查結果,您可以選擇公開存取權屬性,選擇公開存取權 =,然後選擇公開存取權 = true

您可新增其他屬性,進一步篩選所顯示的問題清單。新增其他屬性時,只會顯示符合所有篩選條件的問題清單。問題清單的篩選條件,不支援符合單一屬性「或」另一屬性的這類定義。選擇清除篩選條件以清除已定義的任何篩選條件,並顯示具有指定分析器狀態的所有調查結果。

只有在您檢視以組織做為信任區域的分析器問題清單時,某些欄位才會顯示。

下列屬性可用於定義篩選條件:

  • Public access (公有存取) – 若要依允許公有存取之資源的問題清單篩選,請依 Public access (公有存取) 篩選,然後選擇 Public access: true (公有存取:true)

  • Resource (資源) – 輸入資源的完整或部分名稱,即可依資源篩選。

  • Resource Type (資源類型) – 從所顯示的清單內選擇類型,即可依資源類型篩選。

  • 資源擁有者帳戶:使用此屬性可篩選組織中擁有調查結果所報告資源的帳戶。

  • 資源控制政策限制:使用此屬性依 Organizations 資源控制政策 (RCP) 所套用的限制類型進行篩選。若要進一步了解,請參閱 AWS Organizations User Guide 中的 Resource control policies (RCPs)

    • 錯誤:評估 RCP 時發生錯誤。

    • 不適用:沒有 RCP 會限制此資源或主體。這也包括尚未支援 RCP 的資源。

    • 適用:您的組織管理員已透過會影響資源或資源類型的 RCP 設定限制。如需更多詳細資訊,請聯絡您的組織管理員。

  • AWS 帳戶:使用此屬性可篩選政策陳述式主體區段中獲得存取權的 AWS 帳戶。輸入完整或部分的 12 位數 AWS 帳戶 ID,或是外部 AWS 使用者或目前帳戶中有權存取資源之角色的完整或部分帳戶 ARN,即可依 AWS 帳戶篩選。

  • 正式使用者:輸入為 Amazon S3 儲存貯體定義的正式使用者 ID,即可依正式使用者篩選。若要進一步了解,請參閱 AWS 帳戶識別碼

  • Federated User (聯合身分使用者) – 輸入聯合身分的完整或部分 ARN,即可依聯合身分使用者篩選。若要進一步了解,請參閱身分提供者與聯合

  • 調查結果 ID:請輸入全部或部分調查結果 ID,即可依調查結果 ID 篩選。

  • 錯誤:若要依錯誤類型篩選,請選擇存取遭拒內部錯誤

  • Principal ARN (主體 ARN) – 可使用此屬性來依 aws:PrincipalArn 條件索引鍵中使用的主體 (IAM 使用者、角色或群組) ARN 篩選。輸入調查結果報告之外部 AWS 帳戶的 IAM 使用者、角色或群組的完整或部分 ARN,即可依主體 ARN 篩選。

  • Principal OrgID (主體組織 ID) – 針對問題清單列為條件之 AWS 組織的外部主體,輸入與其相關聯的完整或部分組織 ID,即可依主體組織 ID 篩選。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 主體組織路徑:針對在政策中列為條件的特定組織或組織單位 (OU) 所有外部主體帳戶成員,輸入允許其存取權的 AWS 組織或 OU 完整或部分 ID,即可依主體組織路徑篩選。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 來源帳戶:輸入與資源相關聯的 AWS 帳戶完整或部分 ID,即可依來源帳戶篩選,如同 AWS 中部分跨服務許可所使用。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • Source ARN (來源 ARN) – 輸入問題清單內列為條件的完整或部分 ARN,即可依來源 ARN 篩選。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • Source IP (來源 IP) – 輸入允許外部實體在使用特定 IP 地址時即可存取目前帳戶內資源的完整或部分 IP 地址,即可依來源 IP 篩選。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • Source VPC (來源 VPC) – 輸入允許外部實體在使用特定 VPC 時即可存取目前帳戶內資源的完整或部分 VPC ID,即可依來源 VPC 篩選。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 來源組織 ID:輸入與資源相關聯的組織完整或部分 ID,即可依來源組織 ID 篩選,如同 AWS 中部分跨服務許可所使用。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 來源組織路徑:輸入與資源相關聯的完整或部分組織單位 (OU),即可依來源組織路徑篩選,如同 AWS 中部分跨服務許可所使用。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • 使用者 ID:輸入允許存取目前帳戶內資源的外部 AWS 帳戶之 IAM 使用者的完整或部分使用者 ID,即可依使用者 ID 篩選。若要進一步了解,請參閱 AWS 全域條件內容鍵

  • KMS 金鑰 ID:輸入目前帳戶內 AWS KMS 加密 Amazon S3 物件存取指定為條件的 KMS 金鑰完整或部分金鑰 ID,即可依 KMS 金鑰 ID 篩選。

  • Google Audience (Google 對象) – 輸入目前帳戶內 IAM 角色存取指定為條件的完整或部分 Google 應用程式 ID,即可依 Google 對象篩選。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容索引鍵

  • Cognito 對象:輸入目前帳戶內 IAM 角色存取指定為條件的完整或部分 Amazon Cognito 身分池 ID,即可依 Cognito 對象篩選。若要進一步了解,請參閱 IAM 和 AWS STS 條件內容索引鍵

  • 呼叫者帳戶:擁有或包含呼叫實體 (如 IAM 角色、使用者或帳戶根使用者)的帳戶之 AWS 帳戶 ID。這用於會呼叫 AWS KMS 的服務。輸入 AWS 帳戶的完整或部分 ID,即可依呼叫者帳戶篩選。

  • Facebook App ID (Facebook 應用程式 ID) – 關於允許存取目前帳戶內 IAM 角色的 Login with Facebook (使用 Facebook 登入) 聯合身分,輸入列為其條件的完整或部分 Facebook 應用程式 ID (或網站 ID),即可依 Facebook 應用程式 ID 篩選。若要進一步了解,請參閱《IAM 和 AWS STS 條件內容金鑰》中的 id 部分。

  • Amazon App ID (Amazon 應用程式 ID) – 關於允許存取目前帳戶內 IAM 角色的 Login with Amazon 聯合身分,輸入列為其條件的完整或部分 Amazon 應用程式 ID (或網站 ID),即可依 Amazon 應用程式 ID 篩選。若要進一步了解,請參閱《IAM 和 AWS STS 條件內容金鑰》中的 id 部分。

  • Lambda Event Source Token (Lambda 事件來源字符) – 輸入完整或部分字符字串,即可依使用 Alexa 整合傳入的 Lambda 事件來源字符篩選。

篩選未使用的存取權

篩選未使用的存取權調查結果
  1. 選擇未使用的存取權,然後從檢視分析器下拉式清單中選擇分析器。

  2. 選擇搜尋方塊以顯示可用屬性清單。

  3. 選擇要用來篩選所顯示之問題清單的屬性。

  4. 選擇該屬性須符合的值。將會顯示具備該值的問題清單。

    例如,選擇調查結果類型做為屬性,然後選擇調查結果類型 =,然後選擇調查結果類型 = UnusedIAMRole。只會顯示類型為 UnusedIAMRole 的調查結果。

您可新增其他屬性,進一步篩選所顯示的問題清單。新增其他屬性時,只會顯示符合所有篩選條件的問題清單。問題清單的篩選條件,不支援符合單一屬性「或」另一屬性的這類定義。選擇清除篩選條件以清除已定義的任何篩選條件,並顯示具有指定分析器狀態的所有調查結果。

只有在您檢視的調查結果來自監控未使用的存取權之分析器時,下列欄位才會顯示:

  • 調查結果類型:依調查結果類型篩選,然後選擇調查結果類型,即可依調查結果類型篩選。

  • Resource (資源) – 輸入資源的完整或部分名稱,即可依資源篩選。

  • Resource Type (資源類型) – 從所顯示的清單內選擇類型,即可依資源類型篩選。

  • 資源擁有者帳戶:使用此屬性可篩選組織中擁有調查結果所報告資源的帳戶。

  • 調查結果 ID:輸入完整或部分調查結果 ID,即可依調查結果 ID 篩選。