IAM外部存取的存取分析器資源類型

對於外部存取分析儀，IAMAccess Analyzer 會分析套用至您啟用存取分析器之區域中 AWS 資源的IAM資源型原則。系統只會分析資源型政策。如需有關「IAM存取分析器」如何為每個資源類型產生發現項目的詳細資訊，請複查每個資源

注意

列出的支援資源類型適用於外部存取權分析器。未使用的存取分析器僅支援使IAM用者和角色。如需詳細資訊，請參閱瞭解IAM存取分析器發現項目如何。

Amazon Simple Storage Service 儲存貯體

當 IAM Access Analyzer 分析 Amazon S3 儲存貯體時，會在套用至儲存貯體的 Amazon S3 儲存貯體政策或存取點 (包括多區域存取點) 授予對外部實體的存取權時產生一個發現。ACL外部實體是您可用來建立不在信任區域內之篩選的委託人或其他實體。例如，如果儲存貯體政策授予其他帳戶的存取權或允許公開存取權，則 IAM Access Analyzer 會產生一個發現項目。不過，如果您在儲存貯體上啟用 Block Public Access (封鎖公有存取權)，則可以在帳戶層級或儲存貯體層級封鎖存取權。

注意

IAM存取分析器不會分析附加到跨帳戶存取點的存取點原則，因為存取點及其原則位於分析器帳戶之外。IAM當值區委派對跨帳戶存取點的存取權，而且值區或帳戶上未啟用封鎖公用存取時，Access Analyzer 會產生公開發現。當您啟用「封鎖公用存取」時，會解析公用發現項目，而「IAM存取分析程式」會產生跨帳戶存取點的跨帳戶搜尋結果。

Amazon S3 封鎖公開存取設定會覆寫套用至儲存貯體的儲存貯體政策。這些設定也會覆寫套用至儲存貯體存取點的存取點政策。IAM每當策略更改時，Access Analyzer 就會分析值區層級的「封鎖公用存取」設定。不過，它僅以 6 小時一次的頻率在帳戶層級評估「封鎖公開存取」設定。這意味著IAM訪問分析器最多可能不會生成或解決存儲桶的公共訪問最多 6 小時的發現。例如，如果您有允許公開存取的值區政策，IAMAccess Analyzer 會產生該存取權的發現項目。如果您接著啟用「封鎖公用存取」以封鎖帳戶層級值區的所有公開存取權，則 IAM Access Analyzer 最多不會解決值區政策的發現，即使儲存貯體的所有公開存取都遭到封鎖。一旦您在帳戶層級啟用「封鎖公開存取」，解決跨帳戶存取點的公開問題清單最多也可能需要 6 小時。

對於多區域存取點，存IAM取分析器會使用建立的原則來產生發現項目。IAM存取分析器每 6 小時評估一次多區域存取點的變更。這表示即使您建立或刪除多區域IAM存取點，或更新其原則，Access Analyzer 也不會產生或解決長達 6 小時的發現。

Amazon Simple Storage Service 目錄儲存貯體

Amazon S3 目錄儲存貯體使用 Amazon S3 Express One 儲存體方案，建議用於關鍵效能的工作負載或應用程式。對於 Amazon S3 目錄儲存貯體，IAMAccess Analyzer 會分析允許外部實體存取目錄儲存貯體的目錄儲存貯體政策 (包括政策中的條件陳述式)。如需 Amazon S3 目錄儲存貯體的詳細資訊，請參閱《Amazon Simple Storage Service 使用者指南》中的目錄儲存貯體。

AWS Identity and Access Management 角色

對於IAM角色，IAM存取分析器會分析信任原則。在角色信任政策中，您會定義您信任能夠擔任角色的主體。角色信任原則是附加至中IAM角色的必要以資源為基礎的原則。IAM「存取分析器」會針對信任區域內的角色產生發現項目，這些角色可由位於信任區域之外的外部實體存取。

注意

IAM角色是全域資源。如果角色信任原則授與外部實體的存取權，則IAM存取分析器會在每個已啟用的區域中產生一個發現項目。

AWS Key Management Service 鑰匙

對於 AWS KMS keys，IAM存取分析器會分析金鑰原則和授權套用至金鑰。IAM如果金鑰原則或授權允許外部實體存取金鑰，則存取分析器會產生一個發現項目。例如，如果您在原則陳述式中使用 kms: CallerAccount 條件索引鍵來允許特定 AWS 帳戶中的所有使用者存取，而且您指定目前帳戶 (目前分析器的信任區域) 以外的帳戶，IAMAccess Analyzer 就會產生發現項目。若要深入了解IAM原則陳述式中的 AWS KMS 條件索引鍵，請參閱AWS KMS 條件索引鍵。

當 IAM Access Analyzer 分析KMS金鑰時，它會讀取金鑰中繼資料，例如金鑰原則和授權清單。如果金鑰原則不允許IAM存取分析器角色讀取金鑰中繼資料，就會產生「拒絕存取」錯誤發現。例如，如果下列範例原則陳述式是唯一套用至金鑰的原則，則會導致在 Access Analyzer 中找到拒絕IAM存取錯誤。

{
    "Sid": "Allow access for Key Administrators",
    "Effect": "Allow",
    "Principal": {
       "AWS": "arn:aws:iam::111122223333:role/Admin"
    },
    "Action": "kms:*",
    "Resource": "*"
}

由於此陳述式只允許 AWS 帳戶 111122223333 中名為 Admin 的角色存取金鑰，因此會產生「拒絕存取」錯誤發現，因為IAM存取分析器無法完整分析金鑰。錯誤問題清單在 Findings (問題清單) 資料表中會以紅色文字顯示。問題清單看起來類似下列。

{
    "error": "ACCESS_DENIED",
    "id": "12345678-1234-abcd-dcba-111122223333",
    "analyzedAt": "2019-09-16T14:24:33.352Z",
    "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a",
    "resourceType": "AWS::KMS::Key",
    "status": "ACTIVE",
    "updatedAt": "2019-09-16T14:24:33.352Z"
}

建立KMS金鑰時，授與存取金鑰的權限取決於您建立金鑰的方式。如果您收到索引鍵資源的「拒絕存取」錯誤，請將下列原則陳述式套用至金鑰資源，以授與 IAM Access Analyzer 存取金鑰的權限。

{
    "Sid": "Allow IAM Access Analyzer access to key metadata",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer"
        },
    "Action": [
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:List*"
    ],
    "Resource": "*"
},

當您收到KMS索引鍵資源的「拒絕存取」發現項目，然後透過更新金鑰原則來解決發現項目之後，該發現項目的狀態會更新為「已解決」。如果有會將許可授與外部實體之金鑰的政策陳述式或金鑰授與，您可能會看到金鑰資源的其他問題清單。

AWS Lambda 函數和圖層

對於 AWS Lambda 函數，IAMAccess Analyzer 會分析原則 (包括原則中的條件陳述式)，以將函數存取權授與外部實體。使用 Lambda，您可以將獨特的以資源為基礎的政策附加到函數、版本、別名和層。IAM存取分析器會根據附加到函數和層級的資源型政策來報告外部存取。IAMAccess Analyzer 不會根據附加到別名的基於資源的策略以及使用合格ARN調用的特定版本來報告外部訪問。

如需詳細資訊，請參閱 AWS Lambda 開發人員指南中的對 Lambda 使用以資源為基礎的政策和使用版本。

Amazon Simple Queue Service 佇列

對於 Amazon SQS 佇列，IAM存取分析器會分析允許外部實體存取佇列的政策 (包括政策中的條件陳述式)。

AWS Secrets Manager 秘密

針對 AWS Secrets Manager 密碼，IAMAccess Analyzer 會分析允許外部實體存取密碼的原則 (包括原則中的條件陳述式)。

Amazon Simple Notification Service 主題

IAMAccess Analyzer 會分析附加至 Amazon SNS 主題的資源型政策，包括允許外部存取主題的政策中的條件陳述式。您可以允許外部帳戶執行 Amazon SNS 動作，例如透過以資源為基礎的政策訂閱和發佈主題。如果來自信任區域以外的帳戶的SNS主體可以對該主題執行操作，則可從外部存取 Amazon 主題。當您Everyone在建立 Amazon SNS 主題時在政策中進行選擇時，可以讓公眾存取該主題。 AddPermission是將基於資源的政策添加到允許外部訪問的 Amazon SNS 主題的另一種方法。

Amazon Elastic Block Store 磁碟區快照

Amazon Elastic Block Store 磁碟區快照沒有資源型政策。快照是透過 Amazon 共用許可共用的方式EBS共用。對於 Amazon EBS 磁碟區快照，IAM存取分析器會分析允許外部實體存取快照的存取控制清單。加密後，Amazon EBS 磁碟區快照可與外部帳戶共用。未加密的磁碟區快照可與外部帳戶共用，並可授予公用存取權。共用設定位於快照的 CreateVolumePermissions 屬性中。當客戶預覽 Amazon EBS 快照的外部存取時，他們可以指定加密金鑰做為快照已加密的指標，類似於IAM存取分析器預覽處 Secrets Manager 密碼的方式。

Amazon Relational Service 資料庫快照

Amazon 資RDS料庫快照沒有以資源為基礎的政策。資料庫快照可透過 Amazon RDS 資料庫許可共用，而且只能共用手動資料庫快照。對於 Amazon RDS 資料庫快照，IAM存取分析器會分析允許外部實體存取快照的存取控制清單。未加密的資料庫快照可以是公開的。加密的資料庫快照無法公開共用，但可與多達 20 個其他帳戶共用。如需詳細資訊，請參閱建立資料庫快照。IAM存取分析器會將資料庫手動快照 (例如，匯出至 Amazon S3 儲存貯體) 視為受信任存取的能力。

注意

IAM存取分析器不會識別直接在資料庫本身上設定的公用或跨帳戶存取。IAM存取分析器僅識別 Amazon RDS 資料庫快照上設定的公用或跨帳戶存取的發現項目。

Amazon Relational Database Service 資料庫叢集快照

Amazon 資RDS料庫叢集快照沒有以資源為基礎的政策。快照可透過 Amazon RDS 資料庫叢集許可共用。對於 Amazon RDS 資料庫叢集快照，IAM存取分析器會分析允許外部實體存取快照的存取控制清單。未加密的叢集快照可以公開。而加密的叢集快照則無法公開共用。未加密和加密的叢集快照可與最多 20 個其他帳戶共享。如需詳細資訊，請參閱建立資料庫叢集快照。IAM存取分析器會將資料庫叢集快照 (例如，匯出至 Amazon S3 儲存貯體) 視為受信任存取的能力。

注意

IAM存取分析器發現項目不包括監控 Amazon RDS DB 叢集的任何共用，以及與其他使用 AWS Resource Access Manager的組織 AWS 帳戶 或組織之間的複製。IAM存取分析器僅識別 Amazon RDS 資料庫叢集快照上設定的公用或跨帳戶存取的發現項目。

Amazon Elastic Container Registry 儲存庫

對於 Amazon ECR 儲存庫，IAMAccess Analyzer 會分析以資源為基礎的政策 (包括政策中的條件陳述式)，以允許外部實體存取儲存庫 (類似於 Amazon SNS 主題和 Amazon EFS 檔案系統等其他資源類型)。對於 Amazon ECR 儲存庫，主體必須擁有ecr:GetAuthorizationToken透過身分型政策的許可，才能將其視為可在外部使用。

Amazon Elastic File System 檔案系統

對於 Amazon EFS 檔案系統，IAMAccess Analyzer 會分析允許外部實體存取檔案系統的政策 (包括政策中的條件陳述式)。如果來自信任區域以外的帳戶的主體可以在該EFS檔案系統上執行操作，則可從外部存取 Amazon 檔案系統。存取是由使用IAM的檔案系統原則以及檔案系統掛載方式來定義。例如，在另一個帳戶掛載 Amazon EFS 檔案系統會被視為可從外部存取，除非該帳戶位於您的組織中，且您已將該組織定義為您的信任區域。如果您從具有公有子網路的虛擬私有雲端掛載檔案系統，則可從外部存取檔案系統。當您EFS搭配使用 Amazon 時 AWS Transfer Family，如果檔案系統允許公開存取，則從 Transfer Family 伺服器所擁有的檔案系統存取請求會遭到封鎖。

Amazon DynamoDB 串流

IAM如果 DynamoDB 政策允許至少一個允許外部實體存取 DynamoDB 串流的跨帳戶動作，則存取分析器會產生一個發現項目。如需 DynamoDB 支援跨帳戶動作的詳細資訊，請參閱 Amazon DynamoDB 開發人員指南中以資源為基礎的政策支援的IAM動作。

Amazon DynamoDB 資料表

IAM如果 DynamoDB 政策允許至少一個允許外部實體存取 DynamoDB 表格或索引的跨帳戶動作，則存取分析器會產生 DynamoDB 表格的發現項目。如需 DynamoDB 支援跨帳戶動作的詳細資訊，請參閱 Amazon DynamoDB 開發人員指南中以資源為基礎的政策支援的IAM動作。