檢視 Organizations 的上次存取資訊 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

檢視 Organizations 的上次存取資訊

您可以檢視 AWS Organizations 使用IAM主控台 AWS CLI或 的服務上次存取資訊 AWS API。如需關於資料、必要許可、疑難排解及支援區域的重要資訊,請參閱使用上次存取資訊,以縮小 AWS 中的許可範圍

當您使用 AWS Organizations 管理帳戶憑證登入IAM主控台時,您可以檢視組織中任何實體的資訊。組織實體包括組織根、組織單位 (OUs) 和帳戶。您也可以使用IAM主控台來檢視組織中任何服務控制政策 (SCPs) 的資訊。IAM 顯示SCPs適用於實體的任何 允許的 服務清單。對於每個服務,您可以檢視針對所選擇 Organizations 實體或是該實體的子系的最近帳戶活動資訊。

當您使用 AWS CLI 或 AWS API 搭配管理帳戶憑證時,您可以為組織中的任何實體或政策產生報告。實體的程式設計報告包含任何SCPs適用於實體的服務清單。對於每個服務,報告包含指定 Organizations 實體或實體子目錄中的最新帳戶活動。

當您產生政策的程式設計報告時,您必須指定 Organizations 實體。此報告包含指定 允許的服務清單SCP。對於每個服務,其包含由政策授予許可之實體或實體子系的最新帳戶活動。如需詳細資訊,請參閱 aws iam generate-organizations-access-reportGenerateOrganizationsAccessReport

檢視報告之前,請確認您了解管理帳戶需求和資訊、報告期間、回報實體和評估的政策類型。如需詳細資訊,請參閱 關於上次存取資訊的注意事項

了解 AWS Organizations 實體路徑

當您使用 AWS CLI 或 AWS API 產生 AWS Organizations 存取報告時,您必須指定實體路徑。路徑是 Organizations 實體結構的文字表示。

您可以使用組織已知的結構來建立實體路徑。例如,假設您在 中有下列組織結構 AWS Organizations。

組織路徑結構

Dev Manager OU 的路徑是使用IDs組織、根目錄和路徑OUs中所有 到 OU 的 建置。

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-ghi0-awsccccc/ou-jkl0-awsddddd/

生產 OU 中帳戶的路徑是使用組織、根、OU 和 帳戶號碼IDs的 建置。

o-a1b2c3d4e5/r-f6g7h8i9j0example/ou-abc0-awsaaaaa/111111111111/
注意

組織IDs是全域唯一的,但 OU IDs和根僅在組織中IDs是唯一的。這表示沒有兩個組織共用相同的組織 ID。不過,另一個組織的 OU 或根可能與您的 ID 相同。我們建議您在指定 OU 或根時,一律包含組織 ID。

檢視 Organizations 的資訊 (主控台)

您可以使用IAM主控台來檢視根、OU、帳戶或政策的上次存取服務資訊。

檢視根目錄的資訊 (主控台)
  1. AWS Management Console 使用 Organizations 管理帳戶憑證登入 ,並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)

  3. Organization activity (組織活動) 頁面,選擇 Root (根)。

  4. Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。該資訊包含直接連接至根目錄之政策所允許的服務清單。該資訊會為您顯示服務上次存取哪個帳戶的服務,以及存取時間。如需存取服務之主體的詳細資訊,請以該帳戶的管理員身分登入,並檢視IAM服務上次存取的資訊。

  5. 選擇連接SCPs索引標籤,以檢視連接到根目錄的服務控制政策 (SCPs) 清單。IAM 顯示每個政策所連接的目標實體數量。您可以使用此資訊來決定SCP要檢閱哪些項目。

  6. 選擇 的名稱SCP,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。

  7. 選擇在 中編輯 AWS Organizations,以檢視其他詳細資訊,並在 Organizations 主控台SCP中編輯 。如需詳細資訊,請參閱 使用者指南 中的更新 SCPAWS Organizations

檢視 OU 或帳戶的資訊 (主控台)
  1. AWS Management Console 使用 Organizations 管理帳戶憑證登入 ,並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)

  3. Organization activity (組織活動)頁面,展開組織的結構。然後,選擇 OU 或您要檢視任何帳戶的名稱 (管理帳戶除外)。

  4. Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。資訊包含SCPs附加至 OU 或 帳戶及其所有父項的 所允許的服務清單。該資訊會為您顯示服務上次存取哪個帳戶的服務,以及存取時間。如需存取服務之主體的詳細資訊,請以該帳戶的管理員身分登入,並檢視IAM服務上次存取的資訊。

  5. 選擇連接SCPs索引標籤,以檢視直接連接到 OU 或帳戶的服務控制政策 (SCPs) 清單。IAM 顯示每個政策所連接的目標實體數量。您可以使用此資訊來決定SCP要檢閱哪些項目。

  6. 選擇 的名稱SCP,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。

  7. 選擇在 中編輯 AWS Organizations,以檢視其他詳細資訊,並在 Organizations 主控台SCP中編輯 。如需詳細資訊,請參閱 使用者指南 中的更新 SCPAWS Organizations

檢視管理帳戶的資訊 (主控台)
  1. AWS Management Console 使用 Organizations 管理帳戶憑證登入 ,並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 在導覽窗格的 Access reports (存取報告) 區段下方,選擇 Organization activity (組織活動)

  3. Organization activity (組織活動) 頁面,展開組織的結構,然後選擇管理帳戶的名稱。

  4. Details and activity (詳細資訊與活動) 索引標籤上檢視 Service access report (服務存取報告) 部分。這些資訊包括所有 AWS 服務的清單。管理帳戶不受 的限制SCPs。該資訊會為您顯示帳戶上次是否存取服務,以及存取的時間。如需存取服務之主體的詳細資訊,請以該帳戶的管理員身分登入,並檢視IAM服務上次存取的資訊。

  5. 選擇連接SCPs索引標籤以確認沒有連接,SCPs因為帳戶是管理帳戶。

檢視政策的資訊 (主控台)
  1. AWS Management Console 使用 Organizations 管理帳戶憑證登入 ,並在 開啟IAM主控台https://console.aws.amazon.com/iam/

  2. 存取報告區段下方的導覽窗格中,選擇服務控制政策 (SCPs)

  3. 服務控制政策 (SCPs) 頁面上,檢視組織中的政策清單。您可以檢視每個政策連接的目標實體數量。

  4. 選擇 的名稱SCP,以檢視政策允許的所有服務。對於每個服務,可從中檢視服務上次存取哪個帳戶的服務,以及存取時間。

  5. 選擇在 中編輯 AWS Organizations,以檢視其他詳細資訊,並在 Organizations 主控台SCP中編輯 。如需詳細資訊,請參閱 使用者指南 中的更新 SCPAWS Organizations

檢視 Organizations 的資訊 (AWS CLI)

您可以使用 AWS CLI 來擷取 Organizations 根、OU、帳戶或政策的上次存取服務資訊。

檢視 Organizations 服務上次存取的資訊 (AWS CLI)
  1. 將 Organizations 管理帳戶憑證與必要的 IAM 和 Organizations 許可搭配使用,並確認 SCPs 已針對您的根啟用 。如需詳細資訊,請參閱關於上次存取資訊的注意事項

  2. 產生報告。要求必須包含您希望產生報告的 Organizations 實體 (根帳戶、OU 或帳戶) 路徑。您可以選擇包含 organization-policy-id 參數,以檢視特定政策的報告。命令會傳回 job-id,然後您可將它用於 get-organizations-access-report 命令以監控 job-status,直到任務完成為止。

  3. 使用上個步驟的 job-id 參數來擷取報告的詳細資訊。

    此命令會傳回實體成員可以存取的服務清單。對於每個服務,命令會傳回帳戶成員上次嘗試存取的日期及時間,以及帳戶的實體路徑。它還會傳回可用來存取的服務數量,以及並未存取的服務數量。如果您指定選用的 organizations-policy-id 參數,則可存取的服務就是指定政策允許的服務。

檢視 Organizations 的資訊 (AWS API)

您可以使用 AWS API來擷取 Organizations 根、OU、帳戶或政策的上次存取服務資訊。

檢視 Organizations 服務上次存取的資訊 (AWS API)
  1. 將 Organizations 管理帳戶憑證與必要的 IAM 和 Organizations 許可搭配使用,並確認 SCPs 已針對您的根啟用 。如需詳細資訊,請參閱關於上次存取資訊的注意事項

  2. 產生報告。要求必須包含您希望產生報告的 Organizations 實體 (根帳戶、OU 或帳戶) 路徑。您可以選擇包含 OrganizationsPolicyId 參數,以檢視特定政策的報告。操作會傳回 JobId,您可將它用於 GetOrganizationsAccessReport 操作以監控 JobStatus,直到任務完成為止。

  3. 使用上個步驟的 JobId 參數來擷取報告的詳細資訊。

    此操作會傳回實體成員可以存取的服務清單。對於每個服務,操作會傳回帳戶成員上次嘗試存取的日期及時間,以及帳戶的實體路徑。它還會傳回可用來存取的服務數量,以及並未存取的服務數量。如果您指定選用的 OrganizationsPolicyId 參數,則可存取的服務就是指定政策允許的服務。