檢閱問題清單 - AWS Identity and Access Management

檢閱問題清單

啟用 Access Analyzer 後,下一個步驟是檢閱問題清單,藉以判定其中的存取權為預期之內或之外。您也可檢閱問題清單來決定常見的存取問題清單是否為預期之內,之後即可建立存檔規則,自動將這些問題清單存檔。您也可檢閱已存檔與已解決的問題清單。

檢閱問題清單

  1. 在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/

  2. 選擇 Access analyzer (存取分析器)

注意

只有在您擁有分析器問題清單的檢視許可時,才會顯示問題清單。

將顯示該分析器的作用中問題清單。若要檢視該分析器產生的其他問題清單,請選擇所需分頁:

  • 選擇 Active (作用中) 以檢視所有該分析器產生的作用中問題清單。

  • 若選擇 Archived (已存檔),則只能檢視該分析器已存檔的問題清單。如需進一步了解,請參閱存檔問題清單

  • 若選擇 Resolved (已解決),則只能檢視該分析器已解決的問題清單。修正問題清單產生的問題時,其狀態會變更為已解決。

    重要

    已解決的問題清單會在其最後一次更新的 90 天後刪除。作用中和已存檔的問題清單都不會被刪除,除非您將產生該問題清單的分析器刪除。

  • 若選擇 All (全部),即可檢視該分析器產生的所有問題清單 (不論狀態)。

Findings (問題清單) 頁面顯示的詳細資訊為產生問題之共用資源與政策陳述式,如下所示:

問題清單 ID

指派給問題清單的唯一 ID。選擇問題清單 ID 來顯示產生問題之資源與政策陳述式的其他詳細資訊。

資源

資源類型與部分名稱,該資源套用的政策會將存取權授予您信任區域以外的外部實體。

Resource owner account (資源擁有者帳戶

只有在您使用組織做為信任區域時,此欄才會顯示。問題清單會回報組織中擁有該資源的帳戶。

External principal (外部委託人

您信任區域以外的委託人,受分析之政策授予存取權的對象。有效值包含:

  • AWS 帳戶 – 從列出之 AWS 帳戶管理員獲得許可的所有委託人,均可存取該資源。

  • Any principal (任何委託人) – 任何 AWS 帳戶內的委託人只要滿足 Conditions (條件) 欄內的條件,即擁有該資源的存取許可。例如,若列出 VPC,這代表任何帳戶內能夠存取該 VPC 的所有委託人,均可存取該資源。

  • Canonical user (正式使用者) – AWS 帳戶內的所有委託人只要擁有上列正式使用者 ID,即擁有該資源的存取許可。

  • IAM role (IAM 角色) – 所列出的 IAM 角色均擁有該資源的存取許可。

  • IAM user (IAM 使用者) – 所列出的 IAM 使用者均擁有該資源的存取許可。

條件

政策陳述式內授予存取權的條件。例如,若 Condition (條件) 欄位內含 Source VPC (來源 VPC),這代表該資源共用的對象為可存取上列 VPC 的委託人。條件可為全域或服務特定。全域條件金鑰字首為 aws:

Shared through (共用方式

Shared through (共用方式) 欄位會指出產生問題清單之存取權的授予方式。有效值包含:

  • 儲存貯體政策 – 連接至 Amazon S3 儲存貯體的儲存貯體政策。

  • Access control list (存取控制清單) – 連接到 Amazon S3 儲存貯體的存取控制清單 (ACL)。

  • Access point (存取點) – 與 Amazon S3 儲存貯體相關聯的存取點或多區域存取點。存取點的 ARN 會顯示在 Findings (問題清單) 詳細資訊中。

存取層級

資源型政策的動作授予外部實體之存取層級。如需詳細資訊,請檢視問題清單的詳細資訊。存取層級的值如下:

  • List (清單) – 列出服務內資源的許可,以判斷物件是否存在。具有此層級存取權的動作,可以列出物件,但無法查看資源的內容。

  • Read (讀取) – 可讀取但無法編輯服務內資源的內容和屬性的許可。

  • Write (寫入) – 可建立、刪除或修改服務內資源的許可。

  • Permissions (許可) – 可授與或修改服務內資源許可的許可。

  • Tagging (標記) – 執行僅變更資源標籤狀態之動作的許可。

Updated

問題清單狀態最近一次更新的時間戳記,若未有更新,則顯示問題清單產生的時間與日期。

注意

修改政策後,Access Analyzer 至多可能需要 30 分鐘才能再次分析資源並更新問題清單。

狀態

問題清單的狀態為 Active (作用中)Archived (已存檔)Resolved (已解決)