解決問題清單 - AWS Identity and Access Management
外部存取權調查結果未使用的存取權調查結果

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

解決問題清單

外部存取權調查結果

若您不打算允許某個存取權,且希望解決其產生的外部存取權調查結果,請修改政策陳述式,移除允許存取所識別資源的許可。例如,若 Amazon S3 儲存貯體出現調查結果,請使用 Amazon S3 主控台來設定該儲存貯體的許可。對於IAM角色,請使用IAM主控台修改所列IAM角色的信任原則。關於其他支援的資源,請使用主控台來修改產生問題清單的政策陳述式。

在您進行變更以解決外部存取發現項目 (例如修改套用至IAM角色的原則) 之後,IAMAccess Analyzer 會再次掃描資源。若資源不再於信任區域外共用,則問題清單的狀態會變更為已解決。該調查結果不會再出現於作用中調查結果清單中,而是會顯示在已解決調查結果清單內。

注意

上述內容不適用於錯誤調查結果。當IAM訪問分析器無法分析資源時,它會生成一個錯誤發現。如果您解決了IAM使 Access Analyzer 無法分析資源的問題,則會完全移除錯誤發現項目,而不是變更為已解決的發現項目。

如果您所做的變更導致資源在信任區域之外共用,但是以不同的方式 (例如使用不同的主體或不同的權限),IAMAccess Analyzer 會產生新的「使用中發現項目」。

注意

修改原則後,IAM存取分析器再次分析資源,然後更新發現項目,最多可能需要 30 分鐘的時間。已解決的問題清單會在最後更新至問題清單狀態的 90 天後刪除。

未使用的存取權調查結果

針對未使用的存取分析器發現項目,「IAM存取分析器」會提供建議的步驟,以根據發現項目的類型來解決

在您進行變更以解決未使用的存取權調查結果之後,下次執行未使用的存取權分析器時,調查結果的狀態會變更為已解決。發現項目不會再顯示在作用中的發現項目清單中,而是會顯示在已解析的發現項目清單中。如果您進行的變更僅部分解決未使用的存取權調查結果,現有的調查結果會變更為已解決,但會產生新的調查結果。例如,您只移除調查結果中部分未使用的許可,而非所有未使用的許可。

IAMAccess Analyzer 會根據每月分析的IAM角色和使用者數量,針對未使用的存取分析收費。如需有關定價的詳細資訊,請參閱IAM存取分析器定價

解決未使用的權限發

對於未使用的權限發現項目,IAMAccess Analyzer 可以建議從使IAM用者或角色移除原則,並提供新的原則來取代現有的權限原則。下列案例不支援原則建議:

  • 未使用的權限尋找項目適用於使IAM用者群組中的使用者。

  • 未使用的權限尋找項目適用於IAM身分識別中心的IAM角色。

  • 未使用的權限尋找項目具有包含notAction元素的現有權限原則。

  1. 開啟位於 IAM 的 https://console.aws.amazon.com/iam/ 主控台。

  2. 選擇未使用的存取

  3. 選擇「尋找項目」類型為「未使用」權限的發現項目

  4. 在 [建議] 段落中,如果 [建議的原則] 資料欄中列出原則,請選擇預覽原則,以建議的原則來檢視現有原則以取代現有原則的建議原則。如果有多個建議的原則,您可以選擇 [下一個原則] 和 [上一個原則] 來檢視每個現有和建議的原則。

  5. 選擇 [下載] JSON 以下載包含所有建議原則之JSON檔案的 .zip 檔案。

  6. 建立建議的策略並將其附加到IAM使用者或角色。如需詳細資訊,請參閱變更使用者的權限 (主控台)修改角色權限原則 (主控台)

  7. 從IAM使用者或角色移除 [現有權限原則] 欄中列出的策略。如需詳細資訊,請參閱移除使用者的權限 (主控台)修改角色權限原則 (主控台)

解決未使用角色發現

對於未使用的角色發現,IAM存取分析器建議刪除未使用的IAM角色。

  1. 開啟位於 IAM 的 https://console.aws.amazon.com/iam/ 主控台。

  2. 選擇未使用的存取

  3. 選擇「搜尋結果」類型為「未使用」角色的搜尋結果

  4. 在「建議」段落中,檢閱IAM角色的詳細資訊。

  5. 刪除IAM角色。如需詳細資訊,請參閱刪除IAM角色 (主控台)

解決未使用的存取鍵發現

對於未使用的存取金鑰發現項目,IAM存取分析器建議停用或刪除未使用的存取金鑰。

  1. 開啟位於 IAM 的 https://console.aws.amazon.com/iam/ 主控台。

  2. 選擇未使用的存取

  3. 使用「尋找項目」類型的「未使用的存取金鑰」選擇一個

  4. 在「建議」段落中,檢閱存取金鑰的詳細資訊。

  5. 停用或刪除存取金鑰。如需詳細資訊,請參閱管理存取金鑰 (主控台)

解決未使用密碼發現

對於未使用的密碼發現項目,IAM存取分析器建議刪除使IAM用者未使用的密碼。

  1. 開啟位於 IAM 的 https://console.aws.amazon.com/iam/ 主控台。

  2. 選擇未使用的存取

  3. 選擇「尋找項目」類型為「未使用」密碼的搜尋結果

  4. 在「建議」段落中,檢閱使IAM用者的詳細資訊。

  5. 刪除使IAM用者的密碼。如需詳細資訊,請參閱建立、變更或刪除IAM使用者密碼 (主控台)