檢視 Organizations 上次存取的資訊 - AWS Identity and Access Management

檢視 Organizations 上次存取的資訊

您可以使用 IAM 主控台、AWS CLI 或 AWS API 來檢視 AWS Organizations 的上次存取資訊。如需關於資料、必要許可、疑難排解及支援區域的重要資訊,請參閱使用上次存取的資訊精簡 AWS 的許可

當您使用 AWS Organizations 管理帳戶認證登入 IAM 主控台時,您可以檢視組織中任何實體的資訊。Organizations 實體包含組織根目錄、組織單位 (OU) 和帳戶。您也可以使用 IAM 主控台來檢視組織中任何服務控制政策 (SCP) 的資訊。IAM 會顯示套用至實體的 SCP 所允許的服務清單。對於每個服務,您可以檢視針對所選擇 Organizations 實體或是該實體的子系的最近帳戶活動資訊。

當您利用管理帳戶憑證來使用 AWS CLI 或 AWS API 時,您可以為組織中的任何實體或政策產生報告。實體的程式設計報告包含套用至實體之任何 SCP 所允許的服務清單。對於每個服務,報告包含指定 Organizations 實體或實體子目錄中的最新帳戶活動。

當您產生政策的程式設計報告時,您必須指定 Organizations 實體。這份報告包含指定 SCP 所允許的服務清單。對於每個服務,其包含由政策授予許可之實體或實體子系的最新帳戶活動。如需詳細資訊,請參閱 aws iam generate-organizations-access-reportGenerateOrganizationsAccessReport

檢視報告之前,請確認您了解管理帳戶需求和資訊、報告期間、回報實體和評估的政策類型。如需詳細資訊,請參閱 關於上次存取資訊的注意事項

了解 AWS Organizations 實體路徑

當您使用 AWS CLI 或 AWS API 產生 AWS Organizations 存取報告時,必須指定實體路徑。路徑是 Organizations 實體結構的文字表示。

您可以使用組織已知的結構來建立實體路徑。例如,假設您在 AWS Organizations 中具有下列組織結構。


            組織路徑結構

開發人員管理員 OU 的路徑是使用組織 ID、根目錄和路徑中所有的 OU 包含 OU。

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd

生產 OU 中帳戶的路徑是使用組織、根、OU 和帳戶號碼的 ID 建立的。

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111
注意

組織 ID 是全域唯一,但 OU ID 和根 ID 只有在組織內是唯一。這表示沒有兩個組織共用相同的組織 ID。不過,另一個組織的 OU 或根可能與您的 ID 相同。我們建議您在指定 OU 或根時,一律包含組織 ID。

檢視 Organizations 的資訊 (主控台)

您可以使用 IAM 主控台檢視您的根目錄、OU、帳戶或政策的上次存取資訊。

檢視根目錄的資訊 (主控台)

  1. 前往登入AWS Management Console使用 Organizations 管理帳戶憑證,並在https://console.aws.amazon.com/iam/

  2. 在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)

  3. Organization activity (組織活動) 頁面,選擇 Root (根)。

  4. Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。該資訊包含直接連接至根目錄之政策所允許的服務清單。該資訊會為您顯示服務上次存取哪個帳戶的服務,以及存取時間。如需關於哪個委託人存取服務的詳細資訊,請以該帳戶的管理員身分登入帳戶並檢視 IAM 上次存取資訊

  5. 選擇 Attached SCPs (連接的 SCP) 索引標籤,檢視連接至根目錄的服務控制政策 (SCP) 清單。IAM 會顯示與每個政策連接的目標實體數量。您可以使用此資訊來決定要檢閱哪些 SCP。

  6. 選擇 SCP 的名稱,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。

  7. 選擇 Edit in AWS Organizations (在 AWS Organizations 中編輯) 以檢視其他詳細資訊,並在 Organizations 主控台中編輯 SCP。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的更新 SCP

檢視 OU 或帳戶的資訊 (主控台)

  1. 前往登入AWS Management Console使用 Organizations 管理帳戶憑證,並在https://console.aws.amazon.com/iam/

  2. 在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)

  3. Organization activity (組織活動)頁面,展開組織的結構。然後,選擇 OU 或您要檢視任何帳戶的名稱 (管理帳戶除外)。

  4. Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。該資訊包含 SCP 允許的服務清單,而且這些 SCP 都連接至 OU 或帳戶及其所有父系。該資訊會為您顯示服務上次存取哪個帳戶的服務,以及存取時間。如需關於哪個委託人存取服務的詳細資訊,請以該帳戶的管理員身分登入帳戶並檢視 IAM 上次存取資訊

  5. 選擇 Attached SCPs (連接的 SCP) 索引標籤,檢視直接連接至 OU 或帳戶的服務控制政策 (SCP) 清單。IAM 會顯示與每個政策連接的目標實體數量。您可以使用此資訊來決定要檢閱哪些 SCP。

  6. 選擇 SCP 的名稱,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。

  7. 選擇 Edit in AWS Organizations (在 AWS Organizations 中編輯) 以檢視其他詳細資訊,並在 Organizations 主控台中編輯 SCP。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的更新 SCP

檢視管理帳戶的資訊 (主控台)

  1. 前往登入AWS Management Console使用 Organizations 管理帳戶憑證,並在https://console.aws.amazon.com/iam/

  2. 在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)

  3. Organization activity (組織活動) 頁面,展開組織的結構,然後選擇管理帳戶的名稱。

  4. Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。這些資訊包括所有 AWS 服務的清單。管理帳戶不受 SCP 限制。該資訊會為您顯示帳戶上次是否存取服務,以及存取的時間。如需關於哪個委託人存取服務的詳細資訊,請以該帳戶的管理員身分登入帳戶並檢視 IAM 上次存取資訊

  5. 選擇 Attached SCPs (連接的 SCP) 索引標籤,以確認沒有任何連接的 SCP,因為帳戶就是管理帳戶。

檢視政策的資訊 (主控台)

  1. 前往登入AWS Management Console使用 Organizations 管理帳戶憑證,並在https://console.aws.amazon.com/iam/

  2. 在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Service control policies (SCPs) (服務控制政策 (SCP))

  3. Service control policies (SCPs) (服務控制政策 (SCP)) 頁面上,檢視組織的政策清單。您可以檢視每個政策連接的目標實體數量。

  4. 選擇 SCP 的名稱,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。

  5. 選擇 Edit in AWS Organizations (在 AWS Organizations 中編輯) 以檢視其他詳細資訊,並在 Organizations 主控台中編輯 SCP。如需詳細資訊,請參閱《AWS Organizations 使用者指南》中的更新 SCP

檢視 Organizations 的資訊 (AWS CLI)

您可以使用 AWS CLI 擷取您的 Organizations 根目錄、OU、帳戶或政策的上次存取資訊。

檢視 Organizations 服務上次存取的資訊 (AWS CLI)

  1. 將您的 Organizations 管理帳戶憑證和必要的 IAM 和 Organizations 許可搭配使用,然後確認已針對根目錄啟用 SCP。如需詳細資訊,請參閱 關於上次存取資訊的注意事項

  2. 產生報告。要求必須包含您希望產生報告的 Organizations 實體 (根帳戶、OU 或帳戶) 路徑。您可以選擇包含 organization-policy-id 參數,以檢視特定政策的報告。命令會傳回 job-id,然後您可將它用於 get-organizations-access-report 命令以監控 job-status,直到任務完成為止。

  3. 使用上個步驟的 job-id 參數來擷取報告的詳細資訊。

    此命令會傳回實體成員可以存取的服務清單。對於每個服務,命令會傳回帳戶成員上次嘗試存取的日期及時間,以及帳戶的實體路徑。它還會傳回可用來存取的服務數量,以及並未存取的服務數量。如果您指定選用的 organizations-policy-id 參數,則可存取的服務就是指定政策允許的服務。

檢視 Organizations 的資訊 (AWS API)

您可以使用 AWS API 擷取您的 Organizations 根目錄、OU、帳戶或政策的上次存取資訊。

檢視 Organizations 服務上次存取的資訊 (AWS API)

  1. 將您的 Organizations 管理帳戶憑證和必要的 IAM 和 Organizations 許可搭配使用,然後確認已針對根目錄啟用 SCP。如需詳細資訊,請參閱 關於上次存取資訊的注意事項

  2. 產生報告。要求必須包含您希望產生報告的 Organizations 實體 (根帳戶、OU 或帳戶) 路徑。您可以選擇包含 OrganizationsPolicyId 參數,以檢視特定政策的報告。操作會傳回 JobId,您可將它用於 GetOrganizationsAccessReport 操作以監控 JobStatus,直到任務完成為止。

  3. 使用上個步驟的 JobId 參數來擷取報告的詳細資訊。

    此操作會傳回實體成員可以存取的服務清單。對於每個服務,操作會傳回帳戶成員上次嘗試存取的日期及時間,以及帳戶的實體路徑。它還會傳回可用來存取的服務數量,以及並未存取的服務數量。如果您指定選用的 OrganizationsPolicyId 參數,則可存取的服務就是指定政策允許的服務。