使用 AWS IAM Access Analyzer - AWS Identity and Access Management

使用 AWS IAM Access Analyzer

AWS IAM Access Analyzer 可協助您識別與外部實體共用的組織和帳戶中資源,例如 Amazon S3 儲存貯體或 IAM 角色。這有助於您識別非預期存取資源和資料的情況,避免產生安全性風險。Access Analyzer 會使用邏輯推理識別與外部委託人共用的資源,以分析 AWS 環境中以資源為基礎的政策。針對帳戶外部共用資源的每一個執行個體,Access Analyzer 都會產生一份問題清單。問題清單包括存取權及其被授與存取的外部委託人的資訊。您可以檢閱問題清單,判斷此為有意為之且安全的存取,還是非預期且有安全風險的存取。除了協助您識別與外部實體共用的資源外,IAM Access Analyzer 也可讓您使用 Access Analyzer 的問題清單,在部署資源使用權限之前預覽您的政策如何影響對您資源的公有和跨帳戶存取。

注意

外部實體可以是另一個 AWS 帳戶、根使用者、IAM 使用者或角色、聯合身分使用者、AWS 服務、匿名使用者或其他可用來建立篩選條件的實體。如需詳細資訊,請參閱 AWS JSON 政策元素:委託人

啟用 Access Analyzer 後,您可以為整個組織或帳戶建立分析器。您選擇的組織或帳戶也稱為分析器的信任區域。分析器會監控您信任區域內所有支援的資源。在信任區域內委託人對資源的任何存取權都會被視為受信任。啟用後,Access Analyzer 會分析在您信任區域中套用至所有支援之資源的政策。在第一次分析後,Access Analyzer 會定期分析這些政策。如果新增政策或變更現有政策,則 Access Analyzer 會在大約 30 分鐘內分析新增的或更新的政策。

分析政策時,如果 Access Analyzer 識別到會將存取權授與不在信任區域內的外部委託人的政策,就會產生問題清單。每個問題清單都包含資源、具有該資源存取權的外部實體,以及授與之許可的詳細資訊,以便您可以採取適當的動作。您可以檢視問題清單中包含的詳細資訊,以判斷資源存取權是有意為之的,還是您應解決的潛在風險。當您將政策新增至資源或更新現有政策時,Access Analyzer 會分析該政策。Access Analyzer 也會定期分析所有以資源為基礎的政策。

在符合某些條件的極少數情況下,Access Analyzer 不會收到新增或更新政策的通知。若您建立或刪除與 S3 儲存貯體相關聯的多區域存取點,或更新多區域存取點的政策,Access Analyzer 最多可能需要 6 小時才能產生或解決問題清單。此外,如果 AWS CloudTrail 日誌交付發生交付問題,則政策變更不會觸發重新掃描問題清單中報告的資源。發生這種情況時,Access Analyzer 會在下次定期掃描 (24 小時內) 期間分析該新增或更新的政策。如果您要確認對政策所做的變更是否可以解決問題清單中報告的存取問題,您可以重新掃描問題清單中報告的資源,方法為使用 Findings (問題清單) 詳細資訊頁面中的 Rescan (重新掃描) 連結,或使用 Analyzer API 的 StartResourceScan 操作。如需進一步了解,請參閱 解決問題清單

重要

Access Analyzer 只會分析套用至相同 AWS 區域 (已在其中啟用) 中資源的政策。若要監控 AWS 環境中的所有資源,您必須建立分析器,以便在使用受支援 AWS 資源的每個區域中啟用 Access Analyzer。

Access Analyzer 會分析下列資源類型:

驗證政策

您可以使用 Access Analyzer 政策檢查來驗證政策。您可以使用 IAM 主控台中的 AWS CLI、AWS API 或 JSON 政策編輯器來建立或編輯政策。Access Analyzer 會比對 IAM 政策文法最佳實務來驗證您的政策。您可以檢視政策驗證檢查問題清單,包含安全警告、錯誤、一般警告和政策的建議。這些問題清單提供可行的建議,協助您撰寫具有功能性且符合安全最佳實務的政策。若要進一步了解如何使用 Access Analyzer 來驗證政策,請參閱 Access Analyzer 政策驗證

產生政策

Access Analyzer 會分析您的 AWS CloudTrail 日誌,以識別 IAM 實體 (使用者或角色) 在您指定的日期範圍內所使用的動作和服務。然後它會產生以該存取活動為基礎的 IAM 政策。您可以使用產生的政策,將其連接至 IAM 使用者或角色,以進一步調整該實體的許可。若要進一步了解如何使用 Access Analyzer 來產生政策,請參閱 產生 IAM Access Analyzer 政策