本文為您介紹如何通過過度授權分析器識別資來源目錄或當前帳號內過度授權的身份。
概述
什麼是過度授權分析器
過度授權分析器可以協助您識別和查看資來源目錄或當前帳號內過度授權的身份。分析器會持續監測您的資來源目錄或當前帳號內的所有RAM身份(RAM使用者和RAM角色),對存在過度授權的身份產生對應的分析結果。分析器產生的分析結果包含超級管理使用者/角色、特權使用者/角色、不活躍的使用者/角色、過度授權的使用者/角色。每條分析結果還會進一步提供身份擁有的許可權,以及許可權的最近訪問資訊。
超級管理使用者/角色:擁有帳號內所有資源系統管理權限的RAM身份(RAM使用者或RAM角色)。例如,被授予AdministratorAccess權限原則的RAM使用者或RAM角色。
特權使用者/角色:擁有高危特權的RAM身份(RAM使用者或RAM角色)。擁有這類特權的RAM身份往往可以為自己或其他RAM身份提升許可權,使得他們獲得更高的存取權限。詳細的特權列表,請參見特權列表。
不活躍的使用者/角色:在指定的閑置訪問周期內,沒有任何許可權訪問活動的RAM身份(RAM使用者或RAM角色)。
過度授權的使用者/角色:在指定的閑置訪問周期內,擁有未使用的服務粒度和操作粒度許可權的RAM身份(RAM使用者或RAM角色)。
過度授權分析器的支援範圍
過度授與類型的分析器會查看資來源目錄或當前帳號內所有RAM身份(服務關聯角色除外)的許可權審計資訊,並使用許可權審計資訊產生分析結果。許可權審計功能提供了RAM身份所擁有的許可權,以及許可權的最近訪問時間。因此,過度授權分析器所支援的策略類型、雲端服務列表及審計粒度與許可權審計保持一致。具體資訊,請參見許可權審計概覽。
建立過度授權分析器
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
單擊建立分析器,然後輸入分析器名稱、選擇分析類型為過度授權、設定閑置訪問周期和分析範圍,最後單擊建立分析器。
其中,閑置訪問周期是用來確定閑置的判斷範圍,取值範圍為1~180天,預設值為90天。 例如:將閑置訪問周期設定為90,意味著超過90天未使用的許可權將被判定為閑置。
說明只支援在資來源目錄管理帳號下建立分析範圍為資來源目錄的分析器。
建立分析器後,會開始檢測RAM身份及許可權,您需要等待一會才能查看分析結果。
查看並處理過度授權分析結果
查看分析結果
您可以在分析器或分析結果頁面,查看分析結果。
分析器頁面:
分析結果頁面:
圖形化樣式
當前帳號:
資來源目錄:會額外展示資來源目錄內待處理分析結果數量Top5成員帳號。
列表樣式
篩選分析結果
對於分析結果,支援基於資源、資源類型、資源所有者、結果狀態、結果類型等多個條件進行篩選,方便您快速查看所需分析結果。
具體支援的篩選項以控制台介面顯示為準。
例如:設定如下條件,可以快速查看RAM使用者的過度授權分析結果。
查詢結果可能會包括超級管理使用者、特權使用者、不活躍的使用者和過度授權的使用者。您可以繼續基於查詢結果,設定如下條件,僅篩選出類型為過度授權的使用者的資料。
查看分析結果詳情
在分析結果清單中,單擊結果ID,可以查看詳情。
針對分析結果,您可以:
對於符合您預期的授權行為,單擊歸檔結果,直接將其歸檔。
對於不符合您預期的授權行為,單擊前往治理(當前帳號內的資源)或複製資源URL(非當前帳號內的資源),跳轉到對應頁面進行治理。
自動歸檔分析結果
除了可以針對單個分析結果進行手動歸檔外,您還可以設定歸檔規則,自動歸檔無需治理的分析結果。
您可以在分析結果版面設定並儲存歸檔規則,設定完規則後,會對新產生的符合歸檔規則的分析結果進行自動歸檔。
但是,設定規則前的分析結果不會自動歸檔,如您需要,可以在分析器詳情頁面單擊應用歸檔規則,將其歸檔。
特權列表
雲產品 | 高危操作 |
存取控制 | ram:AddUserToGroup |
ram:AttachPolicyToGroup | |
ram:AttachPolicyToRole | |
ram:AttachPolicyToUser | |
ram:CreateAccessKey | |
ram:CreatePolicyVersion | |
ram:DeletePolicy | |
ram:DeletePolicyVersion | |
ram:DetachPolicyFromGroup | |
ram:DetachPolicyFromRole | |
ram:DetachPolicyFromUser | |
ram:SetDefaultPolicyVersion | |
ram:UpdateAccessKey | |
ram:UpdateRole | |
ram:RemoveUserFromGroup | |
資源管理 | ram:AttachPolicy |
ram:DetachPolicy |