使用 Access Analyzer API 預覽存取 - AWS Identity and Access Management

使用 Access Analyzer API 預覽存取

您可以使用 Access Analyzer API 以預覽 Amazon S3 儲存貯體的公有和跨帳戶存取、AWS KMS 金鑰、IAM 角色、Amazon SQS 佇列和 Secrets Manager 秘密。您可以為您擁有的現有資源或要部署的新資源提供建議的許可來預覽存取。

若要預覽資源的外部存取,您必須擁有資源帳戶和區域的作用中帳戶分析器。您也必須具有使用 Access Analyzer 和預覽存取所需的許可。如需啟用 Access Analyzer 和所需許可的詳細資訊,請參閱 啟用 Access Analyzer

若要預覽資源的存取,您可以使用 CreateAccessPreview 操作,並提供資源的分析器 ARN 和存取控制組態。服務會傳回存取預覽的唯一 ID,您可以使用透過 GetAccessPreview 操作該 ID 來檢查存取預覽的狀態。當狀態為 Completed 時,您可以使用 ListAccessPreviewFindings 操作來擷取針對存取預覽產生的問題清單。GetAccessPreviewListAccessPreviewFindings 操作會擷取約 24 小時內建立的存取預覽和問題清單。

擷取的每個問題清單都包含描述存取的問題清單詳細資訊。說明問題清單在許可部署之後是否為 ActiveArchivedResolved 以及 changeType 的問題清單預覽狀態。changeType 提供對存取預覽問題清單與 Access Analyzer 中所識別的現有存取進行比較的內容:

  • 新的 – 問題清單是針對新引進的存取。

  • 未變更 – 預覽問題清單是保持不變的現有問題清單。

  • 已變更 – 預覽問題清單是狀態變更的現有問題清單。

statuschangeType 可協助您了解資源組態如何變更現有資源存取。如果 changeTypeUnchanged 或已變更,則問題清單也會包含 Access Analyzer 中問題清單的現有 ID 和狀態。例如,包含預覽狀態 Resolved 和現有狀態 ActiveChanged 問題清單表示資源的現有 Active 問題清單將成為 Resolved,做為提議許可變更的結果。

您可以使用 ListAccessPreviews 操作來擷取指定分析器的存取預覽清單。此操作會擷取約一小時內建立的存取預覽相關資訊。

一般而言,如果存取預覽是針對現有資源而您未指定組態選項,則依預設,存取預覽將使用現有的資源組態。如果存取預覽是針對新資源而您未指定組態選項,則存取預覽將根據資源類型使用預設值。如需每種資源類型的組態案例,請參閱下列項目。

預覽 Amazon S3 儲存貯體的存取

如需為新的 Amazon S3 儲存貯體或您擁有的現有 Amazon S3 儲存貯體建立存取預覽,您可以指定連接到儲存貯體的 Amazon S3 儲存貯體政策、儲存貯體 ACL、儲存貯體 BPA 設定和 Amazon S3 存取點 (包括多區域存取點) 來建議儲存貯體組態。

注意

在嘗試為新儲存貯體建立存取預覽之前,建議您先呼叫 Amazon S3 HeadBucket 操作來檢查命名儲存貯體是否已經存在。此操作對於判斷儲存貯體是否存在以及您是否有許可加以存取很有用。

儲存貯體政策 – 如果組態適用於現有 Amazon S3 儲存貯體,而您未指定 Amazon S3 儲存貯體政策,則存取預覽會使用附加到儲存貯體的現有政策。如果存取預覽適用於新資源,且您未指定 Amazon S3 儲存貯體政策,則存取預覽會假設沒有政策的儲存貯體。若要提議刪除現有儲存貯體政策,您可以指定空字串。如需受支援儲存貯體政策限制的詳細資訊,請參閱儲存貯體政策範例

儲存貯體 ACL 授與 – 您可以提議每個儲存貯體最多 100 個 ACL 授與。如果提議的授與組態適用於現有儲存貯體,則存取預覽會使用提議的授與組態清單來取代現有的授與。否則,存取預覽會使用儲存貯體的現有授與。

儲存貯體存取點 – 分析支援每個儲存貯體最多 100 個存取點 (包括多區域存取點),包括每個儲存貯體最多可提議的 10 個新存取點。如果提議的 Amazon S3 存取點組態適用於現有儲存貯體,則存取預覽會使用提議的存取點組態來取代現有的存取點。若要提議沒有政策的存取點,您可以提供空字串做為存取點政策。如需存取點政策限制的詳細資訊,請參閱存取點的法規與限制

封鎖公有存取組態 – 如果提議的組態適用於現有 Amazon S3 儲存貯體,而您未指定組態,則存取預覽會使用現有的設定。如果提議的組態適用於新儲存貯體,且您未指定儲存貯體 BPA 組態,則存取預覽會使用 false。如果提議的組態是針對新的存取點或多區域存取點,而您未指定存取點 BPA 組態,則存取預覽會使用 true

預覽存取您的 AWS KMS 金鑰

若要建立新的 AWS KMS 金鑰或現有 AWS KMS 金鑰的存取預覽,您可以指定金鑰政策和 AWS KMS 授與組態來提議一個 AWS KMS 金鑰組態。

AWS KMS 金鑰政策 – 如果組態是針對現有金鑰,而您未指定金鑰政策,則存取預覽會針對金鑰使用現有的政策。如果存取預覽是針對新資源,而您未指定金鑰政策,則存取預覽會使用預設金鑰政策。提議的金鑰政策不得為空字串。

AWS KMS 授與 – 分析支援每個組態最多 100 個 KMS 授與*。* 如果提議的授與組態是針對現有的金鑰,存取預覽會使用提議的授與組態清單來取代現有的授與。否則,存取預覽會使用金鑰的現有授與。

預覽您 IAM 角色的存取

若要建立新 IAM 角色的存取預覽或您擁有的現有 IAM 角色,您可以指定金鑰政策來提議一個 IAM 角色組態。

角色信任政策 – 如果組態適用於新的 IAM 角色,您必須指定信任政策。如果組態適用於您所擁有的現有 IAM 角色,且您未提議信任政策,則存取預覽會使用該角色的現有信任政策。提議的信任政策不得為空字串。

預覽您 Amazon SQS 佇列的存取

若要為新的 Amazon SQS 佇列或您擁有的現有 Amazon SQS 佇列建立存取預覽,您可以指定佇列的 Amazon SQS 政策來提議 Amazon SQS 佇列組態。

Amazon SQS 佇列政策 – 如果組態適用於現有 Amazon SQS 佇列,而您未指定 Amazon SQS 政策,則存取預覽會將現有的 Amazon SQS 政策用於佇列。如果存取預覽是針對新資源,而您未指定政策,則存取預覽會假設 Amazon SQS 佇列不包含政策。若要提議刪除現有的 Amazon SQS 佇列政策,您可以為 Amazon SQS 政策指定空字串。

預覽您 Secrets Manager 秘密的存取

若要為新的 Secrets Manager 秘密或您擁有的現有 Secrets Manager 秘密建立存取預覽,您可以指定秘密政策和選擇性 AWS KMS 加密金鑰來提議 Secrets Manager 秘密組態。

秘密政策 – 如果組態是針對現有秘密,而您未指定秘密政策,則存取預覽會針對秘密使用現有的政策。如果存取預覽是針對新資源,而您未指定政策,則存取預覽會假設秘密不包含政策。若要提議刪除現有政策,您可以指定空字串。

AWS KMS 加密金鑰 – 如果提議的組態是用於新的秘密,而且您未指定 AWS KMS 金鑰 ID,則存取預覽會使用 AWS 帳戶的預設 KMS 金鑰。如果您針對 AWS KMS 金鑰 ID 指定空字串,存取預覽會使用 AWS 帳戶的預設 KMS 金鑰。