作為管理員,您可能會給RAM身份(RAM 使用者、RAM 角色)授予超出其實際所需的許可權。許可權審計功能可以協助您識別RAM身份所擁有的許可權,以及許可權的最近訪問時間。您可以基於此資訊識別未使用的許可權,並將其安全地刪除,從而遵循RAM身份的最小授權原則。
使用前必讀
在使用許可權審計功能變更RAM身份的許可權之前,請務必查看如下使用須知。
跟蹤期
訪問的跟蹤期於2024-02-01開始,早於此時間的訪問將不會被記錄。最近訪問時間的資料延遲不超過24小時。
嘗試訪問
最近訪問包含對雲端服務API的所有訪問請求,而不僅是訪問成功的請求。它包含通過阿里雲控制台、通過CLI、SDK或直接存取API的所有嘗試。許可權審計中出現非預期的訪問並不意味著您的帳號已被泄露,因為該訪問請求有可能已被拒絕。對於請求的詳細資料,請查看您的Action Trail日誌。
報告所有者
只有產生許可權審計報告的實體才能查看報告中的許可權訪問記錄詳情。通過阿里雲控制台查看許可權訪問記錄時,您需要等待報告產生後,才能查看。通過API、SDK或CLI查看許可權訪問記錄時,您的訪問憑證必須與產生報告的所有者一致。如果您使用角色的臨時憑證(STS Token)產生報告,則必須要用同一角色的STS Token查看許可權訪問記錄詳情。
支援的策略類型
許可權審計僅分析基於身份的策略,即授予RAM使用者、RAM使用者組、RAM角色的權限原則。許可權審計不會分析其他類型的權限原則,包括基於資源的策略(例如:OSS Bucket Policy)、資來源目錄的管控策略和會話策略。
支援的審計粒度
服務等級
在雲端服務維度對RAM身份的許可權和訪問進行分析。您可以查看RAM身份被授予的雲端服務的許可權,訪問過的雲端服務及訪問雲端服務的最後時間。以此用來撤銷無需使用的系統策略,或者將管理員權限收斂成具體雲端服務的系統管理權限。
支援服務等級審計的雲端服務,請參見支援許可權審計的雲端服務。
操作層級
在服務等級的基礎上,進一步細化到具體的API操作(Action),在操作維度對RAM身份的許可權和訪問進行分析。您可以查看RAM身份被授予的具體API操作的許可權,訪問過的API操作及訪問API操作的最後時間。以此用來對應用程式進行精微調權限管控,或者對高危許可權進行收斂。
支援操作層級審計的雲端服務,請參見支援許可權審計的雲端服務審計粒度列標識為操作層級的雲端服務。
重要許可權審計僅支援雲端服務已接入Action Trail管控平面的操作,不支援儲存在雲端服務中的資料平面的操作(例如:OSS 的 GetObject)。
對於
ram:PassRole
這種僅有許可權,沒有關聯API的操作,許可權審計不支援該操作。
不支援的情境
在一些業務情境中,阿里雲服務會代表您發起對其他雲端服務API的許可權檢查。例如,當使用資源中心跨產品、跨地區搜尋資源時,資源中心會檢查調用者是否擁有目標雲產品的查看許可權,並僅返回調用者有許可權的資源。這種情境下的許可權檢查並非調用者直接對目標雲產品API發起的訪問行為,不會包含在許可權審計資訊中。
涉及這類許可權檢查的API如下表所示:
雲端服務 | 雲端服務代碼 | API |
資源中心 | resourcecenter | SearchResources |
GetResourceCounts | ||
GetResourceConfiguration | ||
ListResourceTypes | ||
ExecuteSQLQuery | ||
資源管理 | resourcemanager | ListResources |
標籤 | tag | ListTagResources |
ListTagKeys | ||
ListTagValues |
查看RAM使用者的許可權訪問記錄
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在使用者頁面,單擊目標RAM使用者名稱稱。
在RAM使用者詳情頁,單擊許可權訪問Beta頁簽。
系統會開始產生RAM使用者的許可權審計報告,請您耐心等待一會,直到報告產生成功。
查看許可權訪問記錄。
您可以查看RAM使用者有權訪問的雲端服務、被授與權限策略以及訪問雲端服務的最後時間。
對於支援操作層級審計的雲端服務,您可以單擊操作列的查看鑒權操作,查看允許操作的API列表及訪問該操作的最後時間。
查看RAM角色的許可權訪問記錄
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇 。
在角色頁面,單擊目標RAM角色名稱。
在RAM角色詳情頁,單擊許可權訪問Beta頁簽。
系統會開始產生RAM角色的許可權審計報告,請您耐心等待一會,直到報告產生成功。
說明服務關聯角色不支援許可權審計,不展示許可權訪問Beta頁簽。
查看許可權訪問記錄。
您可以查看RAM角色有權訪問的雲端服務、被授與權限策略以及訪問雲端服務的最後時間。
對於支援操作層級審計的雲端服務,您可以單擊操作列的查看鑒權操作,查看允許操作的API列表及訪問該操作的最後時間。
許可權審計常見問題
許可權審計報告返回結果為空白
許可權審計報告返回的結果為空白,可能有很多原因。您可以根據以下步驟排查:
檢查是否為RAM身份授予了基於身份的策略。對於RAM使用者,請確保該RAM使用者至少被授予或通過RAM使用者群組繼承了一條權限原則。對於RAM角色,請確保該RAM角色至少被授予了一條權限原則。
檢查為RAM身份授與權限策略是否有實際的授權行為。系統會分析RAM身份被授予的所有權限原則,計算出RAM身份實際可能有許可權訪問的雲端服務及操作。
檢查為RAM身份授予的雲端服務或操作是否在支援許可權審計的雲端服務中。
查詢許可權審計報告返回結果報錯“InvalidParameter.Policy.Statement”
出現這條報錯的原因是權限原則格式錯誤,報錯會同步返回格式錯誤的權限原則名稱及具體原因。請檢查該權限原則的詳細內容,修複格式錯誤的內容,再重建許可權審計報告。
查詢許可權審計報告返回結果報錯“InvalidParameter.Policy.NotAction”
出現這條報錯的原因是NotAction元素的值存在格式錯誤,報錯會同步返回無法分析的權限原則名稱。請檢查此權限原則的詳細內容,並修複格式錯誤的內容,再重建許可權審計報告。
查詢許可權審計報告返回結果報錯“LengthExceedLimit.Policy”
出現這條報錯的原因是您授與權限策略內容過大無法分析,報錯會同步返回無法分析的權限原則名稱。為瞭解決這個問題,您可以嘗試按照語句(Statement)拆分這條權限原則,再重建許可權審計報告。
相關文檔
支援許可權審計的雲端服務及審計粒度,請參見支援許可權審計的雲端服務。
您還可以使用過度授權分析器持續檢測資來源目錄或當前帳號內過度授權的RAM身份。更多資訊,請參見識別過度授權。