為您的產生認證報告 AWS 帳戶 - AWS 身分和存取權管理

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

為您的產生認證報告 AWS 帳戶

您可以產生並下載認證報告,其中列出您帳戶中的所有使用者,以及其各種認證的狀態,包括密碼、存取金鑰和MFA裝置。您可以從 AWS Management Console、AWS SDKs命令列工具或取得認證報告IAMAPI。

您可以使用憑證報告協助您進行稽核和合規性工作。您可以使用報告來稽核憑證生命週期要求的效果,如密碼和存取金鑰更新。您可以向外部稽核員提供報告,或向稽核員授予許可,以便該人員直接下載報告。

您可以依照每四小時一次的頻率來產生憑證報告。當您請求報告時,請IAM先檢查過去四個小時內是否 AWS 帳戶 已產生報告。若是如此,便會下載最新的報告。如果該帳戶的最新報告超過四個小時,或是該帳戶之前沒有報告,則IAM會產生並下載新報告。

必要許可

建立和下載報告必須要有以下許可:

  • 建立憑證報告:iam:GenerateCredentialReport

  • 下載報告:iam:GetCredentialReport

了解報告格式

認證報告會格式化為逗號分隔值 (CSV) 檔案。您可以使用一般試算表軟體開啟CSV檔案以執行分析,或者建置應用程式以程式設計方式使用CSV檔案並執行自訂分析。

該CSV文件包含以下列列:

使用者

易讀的使用者名稱。

arn

使用者的 Amazon 資源名稱 (ARN)。如需有關的更多資訊ARNs,請參閱IAM ARN

user_creation_time

建立使用者的日期和時間,採用 ISO8601 日期-時間格式

password_enabled

當使用者有密碼時,此值為 TRUE,否則為 FALSE

password_last_used

上次使用 AWS 帳戶根使用者 或使用者密碼登入 AWS 網站的日期和時間,格式為 ISO8601 日期- 時間。 AWS 擷取使用者上次登入時間的 AWS Management Console網站為「 AWS 論壇」和「 AWS Marketplace」。如果密碼在 5 分鐘的時間範圍內多次使用,則僅在此欄位中記錄此期間內的第一次使用。

  • 在以下情況中,此欄位的值為 no_information

    • 從未使用使用者密碼。

    • 沒有與密碼相關聯的登入資料,例如在 2014 年 10 月 20 日IAM開始追蹤此資訊之後,尚未使用使用者的密碼。

  • 當使用者沒有密碼時,此欄位中的值是 N/A (不適用)。

重要

由於服務問題,密碼上次使用的數據不包括 2018 年 5 月 3 日 22:50 PDT 至 2018 年 5 月 23 日 14: PDT 08 期間的密碼使用。這會影響IAM主控台中顯示的上次登入日期,以及IAM認證報告中的密碼上次使用日期,並由GetUser API作業傳回。如果使用者在受影響的時間登入,傳回的上次使用密碼的日期會是使用者最後一次在 2018 年 5 月 3 日之前登入的日期。對於在 2018 年 5 月 23 日 14:08 之後登入的使用者PDT,傳回的密碼上次使用日期是正確的。

如果您使用上次使用的密碼資訊來識別未使用的認證以進行刪除,例如刪除過去 90 天內未登入的使用者,建議您調整評估時段,使其包含 2018 年 5 月 23 日之後的日期。 AWS 或者,如果您的用戶使用訪問密鑰以 AWS 編程方式訪問,則可以參考訪問密鑰上次使用的信息,因為它對所有日期都是準確的。

password_last_changed

上次設定使用者密碼的日期和時間,採用 ISO8601 日期時間格式。若使用者沒有密碼,此欄位中的值是 N/A (不適用)。

password_next_rotation

當帳戶具有需要密碼輪換的密碼策略時,此欄位會包含日期和時間 (採用 ISO8601 日期時間格式),當使用者需要設定新密碼時。 AWS 帳戶 (根) 的值永遠是not_supported

mfa_active

為使用者啟用多重要素驗證 (MFA) 裝置時,此值為TRUE。否則為 FALSE

access_key_1_active

當使用者有存取金鑰且存取金鑰狀態為 Active 時,此值為 TRUE,否則為 FALSE。適用於帳號根使用者和使IAM用者。

access_key_1_last_rotated

建立或上次變更使用者存取金鑰時的日期和時間,採用 ISO 8601 日期時間格式。若使用者沒有主動式存取金鑰,此欄位中的值是 N/A (不適用)。適用於帳號根使用者和使IAM用者。

access_key_1_last_used_date

使用者存取金鑰最近用於簽署要求時的日期和時間 (以 ISO 8601 日期時間格式表示)。 AWS API如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。

在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者無存取金鑰。

  • 從未使用存取金鑰。

  • 在 2015 年 4 月 22 日IAM開始追蹤此資訊之後,存取金鑰尚未使用。

access_key_1_last_used_region

最近使用過存取金鑰的 AWS 區域。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。

在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者無存取金鑰。

  • 從未使用存取金鑰。

  • 在 2015 年 4 月 22 日IAM開始追蹤此資訊之前,存取金鑰的最後一次使用。

  • 上次使用的服務沒有區域限制,如 Amazon S3。

access_key_1_last_used_service

最近使用存取金鑰存取的 AWS 服務。此欄位中的值會使用服務的命名空間,例如,適用s3於 Amazon S3 和 Amazon。ec2 EC2如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。

在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者無存取金鑰。

  • 從未使用存取金鑰。

  • 在 2015 年 4 月 22 日IAM開始追蹤此資訊之前,存取金鑰的最後一次使用。

access_key_2_active

當使用者有第二個存取金鑰且第二個存取金鑰狀態為 Active 時,此值為 TRUE。否則為 FALSE。適用於帳號根使用者和使IAM用者。

注意

使用者最多可有兩個存取金鑰,首先更新金鑰,然後刪除先前的金鑰,從而使輪換變得更簡單。如需有關更新存取金鑰的詳細資訊,請參閱 更新存取金鑰

access_key_2_last_rotated

建立或上次更新使用者第二個存取金鑰時的日期和時間,採用 ISO 8601 日期時間格式。若使用者沒有第二個主動式存取金鑰,此欄位中的值是 N/A (不適用)。適用於帳號根使用者和使IAM用者。

access_key_2_last_used_date

日期和時間 (以 ISO8601 日期時間格式表示) 使用者的第二個存取金鑰最近用來簽署要求的時間。 AWS API如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。

在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者沒有第二個存取金鑰。

  • 從未使用第二個存取金鑰。

  • 在 2015 年 4 月 22 日IAM開始追蹤此資訊之前,使用者的第二個存取金鑰最後一次使用。

access_key_2_last_used_region

使用者的第二個最近使用過存取金鑰的 AWS 區域。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者沒有第二個存取金鑰。

  • 從未使用第二個存取金鑰。

  • 在 2015 年 4 月 22 日IAM開始追蹤此資訊之前,使用者的第二個存取金鑰最後一次使用。

  • 上次使用的服務沒有區域限制,如 Amazon S3。

access_key_2_last_used_service

最近使用使用者的第二個存取金鑰存取的 AWS 服務。此欄位中的值會使用服務的命名空間,例如,適用s3於 Amazon S3 和 Amazon。ec2 EC2如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。適用於帳號根使用者和使IAM用者。在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者沒有第二個存取金鑰。

  • 從未使用第二個存取金鑰。

  • 在 2015 年 4 月 22 日IAM開始追蹤此資訊之前,使用者的第二個存取金鑰最後一次使用。

cert_1_active

當使用者有 X.509 簽署的憑證且該憑證的狀態為 Active 時,此值為 TRUE,否則為 FALSE

cert_1_last_rotated

建立或上次變更使用者簽署憑證時的日期和時間 (以 ISO 8601 日期時間格式表示)。若使用者沒有主動式簽署憑證,此欄位中的值是 N/A (不適用)。

cert_2_active

當使用者有第二個 X.509 簽署的憑證且該憑證的狀態為 Active 時,此值為 TRUE,否則為 FALSE

注意

使用者最多可有兩個 X.509 簽署憑證,讓輪換更容易。

cert_2_last_rotated

建立或上次變更使用者第二次簽署憑證時的日期和時間 (以 ISO 8601 日期時間格式表示)。若使用者沒有第二個主動式簽署憑證,此欄位中的值是 N/A (不適用)。

取得憑證報告 (主控台)

您可以使用 AWS Management Console 將認證報告下載為逗號分隔值 (CSV) 檔案。

下載憑證報告 (主控台)
  1. 登入 AWS Management Console 並開啟IAM主控台,位於https://console.aws.amazon.com/iam/

  2. 在導覽窗格中,選擇 Credential report (憑證報告)

  3. 選擇 Download Report (下載報告)

取得憑證報告 (AWS CLI)

下載憑證報告 (AWS CLI)
  1. 產生認證報告。 AWS 儲存單一報告。如果報告存在,產生憑證報告會覆寫先前的報告。aws iam generate-credential-report

  2. 檢視上次產生的報告:aws iam get-credential-report

取得認證報告 (AWS API)

下載憑證報告 (AWS API)
  1. 產生認證報告。 AWS 儲存單一報告。如果報告存在,產生憑證報告會覆寫先前的報告。GenerateCredentialReport

  2. 檢視上次產生的報告:GetCredentialReport