本文为您介绍如何通过过度授权分析器识别资源目录或当前账号内过度授权的身份。
概述
什么是过度授权分析器
过度授权分析器可以帮助您识别和查看资源目录或当前账号内过度授权的身份。分析器会持续监测您的资源目录或当前账号内的所有RAM身份(RAM用户和RAM角色),对存在过度授权的身份生成对应的分析结果。分析器产生的分析结果包含超级管理员用户/角色、特权用户/角色、不活跃的用户/角色、过度授权的用户/角色。每条分析结果还会进一步提供身份拥有的权限,以及权限的最近访问信息。
超级管理员用户/角色:拥有账号内所有资源管理权限的RAM身份(RAM用户或RAM角色)。例如,被授予AdministratorAccess权限策略的RAM用户或RAM角色。
特权用户/角色:拥有高危特权的RAM身份(RAM用户或RAM角色)。拥有这类特权的RAM身份往往可以为自己或其他RAM身份提升权限,使得他们获得更高的访问权限。详细的特权列表,请参见特权列表。
不活跃的用户/角色:在指定的闲置访问周期内,没有任何权限访问活动的RAM身份(RAM用户或RAM角色)。
过度授权的用户/角色:在指定的闲置访问周期内,拥有未使用的服务粒度和操作粒度权限的RAM身份(RAM用户或RAM角色)。
过度授权分析器的支持范围
过度授权类型的分析器会查看资源目录或当前账号内所有RAM身份(服务关联角色除外)的权限审计信息,并使用权限审计信息产生分析结果。权限审计功能提供了RAM身份所拥有的权限,以及权限的最近访问时间。因此,过度授权分析器所支持的策略类型、云服务列表及审计粒度与权限审计保持一致。具体信息,请参见权限审计概览。
创建过度授权分析器
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
单击创建分析器,然后输入分析器名称、选择分析类型为过度授权、设置闲置访问周期和分析范围,最后单击创建分析器。
其中,闲置访问周期是用来确定闲置的判断范围,取值范围为1~180天,默认值为90天。 例如:将闲置访问周期设置为90,意味着超过90天未使用的权限将被判定为闲置。
说明只支持在资源目录管理账号下创建分析范围为资源目录的分析器。
创建分析器后,会开始检测RAM身份及权限,您需要等待一会才能查看分析结果。
查看并处理过度授权分析结果
查看分析结果
您可以在分析器或分析结果页面,查看分析结果。
分析器页面:
分析结果页面:
图形化样式
当前账号:
资源目录:会额外展示资源目录内待处理分析结果数量Top5成员账号。
列表样式
筛选分析结果
对于分析结果,支持基于资源、资源类型、资源所有者、结果状态、结果类型等多个条件进行筛选,方便您快速查看所需分析结果。
具体支持的筛选项以控制台界面显示为准。
例如:设置如下条件,可以快速查看RAM用户的过度授权分析结果。
查询结果可能会包括超级管理员用户、特权用户、不活跃的用户和过度授权的用户。您可以继续基于查询结果,设置如下条件,仅筛选出类型为过度授权的用户的数据。
查看分析结果详情
在分析结果列表中,单击结果ID,可以查看详情。
针对分析结果,您可以:
对于符合您预期的授权行为,单击归档结果,直接将其归档。
对于不符合您预期的授权行为,单击前往治理(当前账号内的资源)或复制资源URL(非当前账号内的资源),跳转到对应页面进行治理。
自动归档分析结果
除了可以针对单个分析结果进行手动归档外,您还可以设置归档规则,自动归档无需治理的分析结果。
您可以在分析结果页面设置并保存归档规则,设置完规则后,会对新产生的符合归档规则的分析结果进行自动归档。
但是,设置规则前的分析结果不会自动归档,如您需要,可以在分析器详情页面单击应用归档规则,将其归档。
特权列表
云产品 | 高危操作 |
访问控制 | ram:AddUserToGroup |
ram:AttachPolicyToGroup | |
ram:AttachPolicyToRole | |
ram:AttachPolicyToUser | |
ram:CreateAccessKey | |
ram:CreatePolicyVersion | |
ram:DeletePolicy | |
ram:DeletePolicyVersion | |
ram:DetachPolicyFromGroup | |
ram:DetachPolicyFromRole | |
ram:DetachPolicyFromUser | |
ram:SetDefaultPolicyVersion | |
ram:UpdateAccessKey | |
ram:UpdateRole | |
ram:RemoveUserFromGroup | |
资源管理 | ram:AttachPolicy |
ram:DetachPolicy |