檢視 IAM 上次存取的資訊

您可以使用 AWS Management Console、AWS CLI 或 AWS API 檢視 IAM 上次存取的資訊。檢視顯示上次存取資訊的服務及其動作清單。如需有關上次存取的資訊的詳細資訊，請參閱 使用上次存取的資訊精簡 AWS 的許可。

您可以在 IAM 中檢視下列資源類型的資訊。在每個案例中，資訊涵蓋指定報告期間允許的服務：

• 使用者 – 檢視使用者上一次嘗試存取每個允許服務的時間。

• 使用者群組 – 檢視有關上一次使用者群組成員嘗試存取每個允許服務的資訊。此報告也包含曾嘗試存取的成員總數。

• 角色 – 檢視上一次有人使用該角色嘗試存取每個允許服務的時間。

• 政策 – 檢視有關上一次使用者或角色嘗試存取每個允許服務的資訊。此報告也包含曾嘗試存取的實體總數。

注意

在檢視 IAM 中的資源的存取資訊之前，請確定您了解報告期間、報告的實體，以及您資訊的評估政策類型。如需詳細資訊，請參閱 關於上次存取資訊的注意事項。

檢視 IAM 的資訊 (主控台)

您可以在 IAM 主控台的 Access Advisor (存取建議程式) 索引標籤上檢視 IAM 上次存取的資訊。

檢視 IAM 的資訊 (主控台)

1. 登入 AWS Management Console，並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

2. 在導覽窗格中，選擇 User Groups (使用者群組)、Users (使用者)、Roles (角色) 或 Policies (政策)。

3. 選擇任意使用者、使用者群組、角色或政策名稱以開啟其 Summary (摘要) 頁面，然後選擇 Access Advisor (存取顧問) 標籤。根據您選擇的資源，檢視下列資訊：

   • 使用者群組 – 檢視使用者群組成員可存取的服務清單。您也可以檢視成員上次存取服務的時間、他們使用的使用者群組政策，以及提出要求的使用者群組成員。選擇政策的名稱以了解其為受管政策或內嵌使用者群組政策。選擇使用者群組成員的名稱以檢視該使用者群組的所有成員，以及他們上次存取該服務的時間。

   • 使用者 – 檢視使用者可存取的服務清單。您也可以檢視他們上次存取服務的時間，以及目前與該名使用者關聯的政策有哪些。選擇政策的名稱，以瞭解該政策是受管理政策、內嵌使用者政策還是使用者群組的內嵌政策。

   • 角色 – 檢視角色可存取的服務清單、角色上次存取該服務的時間，以及他們使用哪些政策。選擇政策的名稱以了解其為受管政策或內嵌角色政策。

   • 政策 – 檢視政策中包含允許動作的服務清單。您也可以檢視上次使用政策來存取服務的時間，以及使用政策的實體 (使用者或角色)。上次存取日期也包含透過其他政策授予此政策存取權的時間。選擇實體的名稱以了解哪些實體有連接政策，以及它們上次存取服務的時間。

4. 在表格的服務欄中，選擇其中一項包含動作上次存取資訊的服務之名稱，以檢視 IAM 實體嘗試存取的管理動作清單。您可以檢視 AWS 區域 和時間戳記，顯示上次有人嘗試執行動作的時間。

5. 針對包含動作上次存取資訊的服務，將為其服務和管理動作顯示上次存取欄。檢閱此欄中傳回的下列可能結果。這些結果會根據是否允許、存取服務或動作，以及是否 AWS 追蹤上次存取的資訊而有所不同。

   <number of> 天前

   自追蹤期間內使用服務或動作之後的天數。服務的追蹤期為過去 400 天。Amazon S3 動作的追蹤期由 2020 年 4 月 12 日開始。Amazon EC2、IAM 和 Lambda 行動追蹤期由 2021 年 4 月 7 日開始。所有其他服務的追蹤期從 2023 年 5 月 23 日開始。若要進一步了解每個 AWS 區域 的追蹤開始日期，請參閱 AWS 會追蹤上次存取資訊的位置。

   在追蹤期內未存取

   追蹤的服務或動作尚未由實體在追蹤期間內使用。

   您可以擁有清單中未出現的動作許可。如果 AWS 目前不包含動作的追蹤資訊，就可能發生這種情況。您不應該只根據有沒有追蹤資訊來決定許可。相反地，我們建議您使用此資訊來告知並支援授予最低權限的整體策略。檢查您的政策以確認存取層級是否適當。

檢視 IAM 的資訊 (AWS CLI)

您可以使用 AWS CLI 擷取有關 IAM 資源上次用於嘗試存取 AWS 服務與 Amazon S3、Amazon EC2、IAM 和 Lambda 動作的資訊。IAM 資源可以是使用者、使用者群組、角色或政策。

檢視 IAM 的資訊 (AWS CLI)

1. 產生報告。此請求必須包含您需要報告的 IAM 資源 (使用者、使用者群組、角色或政策) 的 ARN。您可以在報告中指定要產生的資料粒度層級，以檢視任一服務或同時檢視服務和動作的存取詳細資訊。它會傳回 job-id，然後您可將它用於 get-service-last-accessed-details 和 get-service-last-accessed-details-with-entities 操作以監控 job-status，直到任務完成。

   • aws iam generate-service-last-accessed-details

2. 使用上個步驟的 job-id 參數來擷取報告的詳細資訊。

   • aws iam get-service-last-accessed-details

   根據您在 generate-service-last-accessed-details 操作中請求的資源類型與精細程度，此操作會傳回以下資訊：

   • 使用者 – 傳回指定的使用者可存取的服務清單。對於每個服務，此操作會傳回使用者最後一次嘗試的日期與時間，以及該使用者的 ARN。

   • 使用者群組 – 傳回指定使用者群組的成員可使用連接至該使用者群組的政策進行存取的服務清單。對於每個服務，此操作會傳回任何使用者群組成員最後一次嘗試的日期與時間。它也會傳回該使用者的 ARN 以及曾嘗試存取服務的使用者群組成員總數。使用 GetServiceLastAccessedDetailsWithEntities 操作來擷取所有成員的清單。

   • 角色 – 傳回指定的角色可存取的服務清單。對於每個服務，此操作會傳回角色最後一次嘗試的日期與時間，以及該角色的 ARN。

   • 政策 – 傳回指定的政策允許存取的服務清單。對於每個服務，此操作會傳回實體 (使用者或角色) 上次使用政策來嘗試存取服務的日期和時間。它也會傳回實體的 ARN 以及嘗試存取的實體總數。

3. 進一步了解在嘗試存取特定服務時使用使用者群組或政策許可的實體。此操作會傳回實體清單，包括各實體的 ARN、ID、名稱、路徑、類型 (使用者或角色)，以及它們最後一次嘗試存取服務的時間。您也可以針對使用者和角色使用此操作，但只會傳回有關該實體的資訊。

   • aws iam get-service-last-accessed-details-with-entities

4. 進一步了解有關身分 (使用者、使用者群組或角色) 在嘗試存取特定服務時使用之以身分為基礎的政策。當您指定身分和服務時，此操作會傳回實體可用於存取指定服務的許可政策清單。此操作可提供政策的目前狀態，而且不倚賴產生的報告。它也不會傳回其他政策類型，例如以資源為基礎的政策、存取控制清單、AWS Organizations 政策、IAM 許可邊界，或工作階段政策。如需詳細資訊，請參閱政策類型或運用單一帳戶評估政策。

   • aws iam list-policies-granting-service-access

檢視 IAM 的資訊 (AWS API)

您可以使用 AWS API 擷取有關 IAM 資源上次用於嘗試存取 AWS 服務和 Amazon S3、Amazon EC2、IAM 和 Lambda 動作的資料。IAM 資源可以是使用者、使用者群組、角色或政策。您可以在報告中指定要產生的資料細微層級，以檢視任一服務或同時檢視服務和動作的詳細資訊。

檢視 IAM 的資訊 (AWS API)

1. 產生報告。此請求必須包含您需要報告的 IAM 資源 (使用者、使用者群組、角色或政策) 的 ARN。它會傳回 JobId，然後您可將它用於 GetServiceLastAccessedDetails 和 GetServiceLastAccessedDetailsWithEntities 操作以監控 JobStatus，直到任務完成。

   • GenerateServiceLastAccessedDetails

2. 使用上個步驟的 JobId 參數來擷取報告的詳細資訊。

   • GetServiceLastAccessedDetails

   根據您在 GenerateServiceLastAccessedDetails 操作中請求的資源類型與精細程度，此操作會傳回以下資訊：

   • 使用者 – 傳回指定的使用者可存取的服務清單。對於每個服務，此操作會傳回使用者最後一次嘗試的日期與時間，以及該使用者的 ARN。

   • 使用者群組 – 傳回指定使用者群組的成員可使用連接至該使用者群組的政策進行存取的服務清單。對於每個服務，此操作會傳回任何使用者群組成員最後一次嘗試的日期與時間。它也會傳回該使用者的 ARN 以及曾嘗試存取服務的使用者群組成員總數。使用 GetServiceLastAccessedDetailsWithEntities 操作來擷取所有成員的清單。

   • 角色 – 傳回指定的角色可存取的服務清單。對於每個服務，此操作會傳回角色最後一次嘗試的日期與時間，以及該角色的 ARN。

   • 政策 – 傳回指定的政策允許存取的服務清單。對於每個服務，此操作會傳回實體 (使用者或角色) 上次使用政策來嘗試存取服務的日期和時間。它也會傳回實體的 ARN 以及嘗試存取的實體總數。

3. 進一步了解在嘗試存取特定服務時使用使用者群組或政策許可的實體。此操作會傳回實體清單，包括各實體的 ARN、ID、名稱、路徑、類型 (使用者或角色)，以及它們最後一次嘗試存取服務的時間。您也可以針對使用者和角色使用此操作，但只會傳回有關該實體的資訊。

   • GetServiceLastAccessedDetailsWithEntities

4. 進一步了解有關身分 (使用者、使用者群組或角色) 在嘗試存取特定服務時使用之以身分為基礎的政策。當您指定身分和服務時，此操作會傳回實體可用於存取指定服務的許可政策清單。此操作可提供政策的目前狀態，而且不倚賴產生的報告。它也不會傳回其他政策類型，例如以資源為基礎的政策、存取控制清單、AWS Organizations 政策、IAM 許可邊界，或工作階段政策。如需詳細資訊，請參閱政策類型或運用單一帳戶評估政策。

   • ListPoliciesGrantingServiceAccess