本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
為您的產生認證報告 AWS 帳戶
您可以產生並下載認證報告,其中列出您帳戶中的所有使用者,以及其各種認證的狀態,包括密碼、存取金鑰和MFA裝置。您可以從 AWS Management Console、AWS SDKs
您可以使用憑證報告協助您進行稽核和合規性工作。您可以使用報告來稽核憑證生命週期要求的效果,如密碼和存取金鑰更新。您可以向外部稽核員提供報告,或向稽核員授予許可,以便該人員直接下載報告。
您可以依照每四小時一次的頻率來產生憑證報告。當您請求報告時,請IAM先檢查過去四個小時內是否 AWS 帳戶 已產生報告。若是如此,便會下載最新的報告。如果該帳戶的最新報告超過四個小時,或是該帳戶之前沒有報告,則IAM會產生並下載新報告。
必要許可
建立和下載報告必須要有以下許可:
-
建立憑證報告:
iam:GenerateCredentialReport
-
下載報告:
iam:GetCredentialReport
了解報告格式
認證報告會格式化為逗號分隔值 (CSV) 檔案。您可以使用一般試算表軟體開啟CSV檔案以執行分析,或者建置應用程式以程式設計方式使用CSV檔案並執行自訂分析。
該CSV文件包含以下列列:
- 使用者
-
易讀的使用者名稱。
- arn
-
使用者的 Amazon 資源名稱 (ARN)。如需有關的更多資訊ARNs,請參閱IAM ARN。
- user_creation_time
-
建立使用者的日期和時間,採用 ISO8601 日期-時間格式
。 - password_enabled
-
當使用者有密碼時,此值為
TRUE
,否則為FALSE
。 - password_last_used
-
上次使用 AWS 帳戶根使用者 或使用者密碼登入 AWS 網站的日期和時間,格式為 ISO8601 日期-
時間。 AWS 擷取使用者上次登入時間的 AWS Management Console網站為「 AWS 論壇」和「 AWS Marketplace」。如果密碼在 5 分鐘的時間範圍內多次使用,則僅在此欄位中記錄此期間內的第一次使用。 -
在以下情況中,此欄位的值為
no_information
:-
從未使用使用者密碼。
-
沒有與密碼相關聯的登入資料,例如在 2014 年 10 月 20 日IAM開始追蹤此資訊之後,尚未使用使用者的密碼。
-
-
當使用者沒有密碼時,此欄位中的值是
N/A
(不適用)。
-
重要
由於服務問題,密碼上次使用的數據不包括 2018 年 5 月 3 日 22:50 PDT 至 2018 年 5 月 23 日 14: PDT 08 期間的密碼使用。這會影響IAM主控台中顯示的上次登入日期,以及IAM認證報告中的密碼上次使用日期,並由GetUser API作業傳回。如果使用者在受影響的時間登入,傳回的上次使用密碼的日期會是使用者最後一次在 2018 年 5 月 3 日之前登入的日期。對於在 2018 年 5 月 23 日 14:08 之後登入的使用者PDT,傳回的密碼上次使用日期是正確的。
如果您使用上次使用的密碼資訊來識別未使用的認證以進行刪除,例如刪除過去 90 天內未登入的使用者,建議您調整評估時段,使其包含 2018 年 5 月 23 日之後的日期。 AWS 或者,如果您的用戶使用訪問密鑰以 AWS 編程方式訪問,則可以參考訪問密鑰上次使用的信息,因為它對所有日期都是準確的。
- password_last_changed
-
上次設定使用者密碼的日期和時間,採用 ISO8601 日期時間格式
。若使用者沒有密碼,此欄位中的值是 N/A
(不適用)。 - password_next_rotation
-
當帳戶具有需要密碼輪換的密碼策略時,此欄位會包含日期和時間 (採用 ISO8601 日期時間格式
),當使用者需要設定新密碼時。 AWS 帳戶 (根) 的值永遠是 not_supported
。 - mfa_active
-
為使用者啟用多重要素驗證 (MFA) 裝置時,此值為
TRUE
。否則為FALSE
。 - access_key_1_active
-
當使用者有存取金鑰且存取金鑰狀態為
Active
時,此值為TRUE
,否則為FALSE
。適用於帳號根使用者和使IAM用者。 - access_key_1_last_rotated
-
建立或上次變更使用者存取金鑰時的日期和時間,採用 ISO 8601 日期時間格式
。若使用者沒有主動式存取金鑰,此欄位中的值是 N/A
(不適用)。適用於帳號根使用者和使IAM用者。 - access_key_1_last_used_date
-
使用者存取金鑰最近用於簽署要求時的日期和時間 (以 ISO 8601 日期時間格式
表示)。 AWS API如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。 在以下情況中,此欄位的值為
N/A
(不適用):-
使用者無存取金鑰。
-
從未使用存取金鑰。
-
在 2015 年 4 月 22 日IAM開始追蹤此資訊之後,存取金鑰尚未使用。
-
- access_key_1_last_used_region
-
最近使用過存取金鑰的 AWS 區域。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。
在以下情況中,此欄位的值為
N/A
(不適用):-
使用者無存取金鑰。
-
從未使用存取金鑰。
-
在 2015 年 4 月 22 日IAM開始追蹤此資訊之前,存取金鑰的最後一次使用。
-
上次使用的服務沒有區域限制,如 Amazon S3。
-
- access_key_1_last_used_service
-
最近使用存取金鑰存取的 AWS 服務。此欄位中的值會使用服務的命名空間,例如,適用
s3
於 Amazon S3 和 Amazon。ec2
EC2如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。在以下情況中,此欄位的值為
N/A
(不適用):-
使用者無存取金鑰。
-
從未使用存取金鑰。
-
在 2015 年 4 月 22 日IAM開始追蹤此資訊之前,存取金鑰的最後一次使用。
-
- access_key_2_active
-
當使用者有第二個存取金鑰且第二個存取金鑰狀態為
Active
時,此值為TRUE
。否則為FALSE
。適用於帳號根使用者和使IAM用者。注意
使用者最多可有兩個存取金鑰,首先更新金鑰,然後刪除先前的金鑰,從而使輪換變得更簡單。如需有關更新存取金鑰的詳細資訊,請參閱 更新存取金鑰。
- access_key_2_last_rotated
-
建立或上次更新使用者第二個存取金鑰時的日期和時間,採用 ISO 8601 日期時間格式
。若使用者沒有第二個主動式存取金鑰,此欄位中的值是 N/A
(不適用)。適用於帳號根使用者和使IAM用者。 - access_key_2_last_used_date
-
日期和時間 (以 ISO8601 日期時間格式
表示) 使用者的第二個存取金鑰最近用來簽署要求的時間。 AWS API如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。 在以下情況中,此欄位的值為
N/A
(不適用):-
使用者沒有第二個存取金鑰。
-
從未使用第二個存取金鑰。
-
在 2015 年 4 月 22 日IAM開始追蹤此資訊之前,使用者的第二個存取金鑰最後一次使用。
-
- access_key_2_last_used_region
-
使用者的第二個最近使用過存取金鑰的 AWS 區域。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。在以下情況中,此欄位的值為
N/A
(不適用):-
使用者沒有第二個存取金鑰。
-
從未使用第二個存取金鑰。
-
在 2015 年 4 月 22 日IAM開始追蹤此資訊之前,使用者的第二個存取金鑰最後一次使用。
-
上次使用的服務沒有區域限制,如 Amazon S3。
-
- access_key_2_last_used_service
-
最近使用使用者的第二個存取金鑰存取的 AWS 服務。此欄位中的值會使用服務的命名空間,例如,適用
s3
於 Amazon S3 和 Amazon。ec2
EC2如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。在以下情況中,此欄位的值為N/A
(不適用):-
使用者沒有第二個存取金鑰。
-
從未使用第二個存取金鑰。
-
在 2015 年 4 月 22 日IAM開始追蹤此資訊之前,使用者的第二個存取金鑰最後一次使用。
-
- cert_1_active
-
當使用者有 X.509 簽署的憑證且該憑證的狀態為
Active
時,此值為TRUE
,否則為FALSE
。 - cert_1_last_rotated
-
建立或上次變更使用者簽署憑證時的日期和時間 (以 ISO 8601 日期時間格式
表示)。若使用者沒有主動式簽署憑證,此欄位中的值是 N/A
(不適用)。 - cert_2_active
-
當使用者有第二個 X.509 簽署的憑證且該憑證的狀態為
Active
時,此值為TRUE
,否則為FALSE
。注意
使用者最多可有兩個 X.509 簽署憑證,讓輪換更容易。
- cert_2_last_rotated
-
建立或上次變更使用者第二次簽署憑證時的日期和時間 (以 ISO 8601 日期時間格式
表示)。若使用者沒有第二個主動式簽署憑證,此欄位中的值是 N/A
(不適用)。
取得憑證報告 (主控台)
您可以使用 AWS Management Console 將認證報告下載為逗號分隔值 (CSV) 檔案。
下載憑證報告 (主控台)
登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/
。 -
在導覽窗格中,選擇 Credential report (憑證報告)。
-
選擇 Download Report (下載報告)。
取得憑證報告 (AWS CLI)
下載憑證報告 (AWS CLI)
-
產生認證報告。 AWS 儲存單一報告。如果報告存在,產生憑證報告會覆寫先前的報告。
aws iam generate-credential-report
-
檢視上次產生的報告:
aws iam get-credential-report
取得認證報告 (AWS API)
下載憑證報告 (AWS API)
-
產生認證報告。 AWS 儲存單一報告。如果報告存在,產生憑證報告會覆寫先前的報告。
GenerateCredentialReport
-
檢視上次產生的報告:
GetCredentialReport