本文為您介紹如何通過外部訪問分析器識別資源目錄或當前賬號內資源允許的外部訪問。
概述
什么是外部訪問分析器
外部訪問分析器可以幫助您識別當前賬號或資源目錄內與外部賬號共享的資源。阿里云的部分資源(例如:OSS Bucket或RAM角色),支持基于資源的策略,允許授予賬號外身份對資源的訪問。外部訪問分析器會持續監測您的資源目錄或當前賬號內的這類資源,對存在共享給外部身份的資源生成分析結果,幫助您識別非預期的資源分享,降低企業安全風險。 每條分析結果都包含資源授予的外部身份以及授予的操作權限信息。
信任區
創建分析器時,您可以選擇分析范圍為當前賬號或資源目錄,這個范圍就是分析器的信任區。分析器會監測信任區內支持分析的資源,并且認為信任區內身份對資源的訪問是可信的。如果信任區是當前賬號,則本賬號內身份被認為是可信的,其他賬號內身份被認為是非可信的。如果信任區是資源目錄,則本賬號所屬資源目錄內的所有賬號的身份均被認為是可信的,資源目錄外其他賬號內身份被認為是非可信的。
支持外部訪問分析器的資源類型
OSS Bucket
對于OSS Bucket,外部訪問分析器會分析Bucket的ACL和Bucket Policy,并結合“阻止公共訪問”的配置生成最終分析結果。如果分析范圍(即信任區)內的Bucket允許信任區外的實體訪問,也包括匿名用戶,分析器會為Bucket生成一條待處理的分析結果。
RAM角色
對于RAM角色,外部訪問分析器會分析角色的信任策略。信任策略是一種基于資源的策略,在創建RAM角色時指定。在信任策略中,可以指定允許扮演該RAM角色的可信實體。如果信任區內的RAM角色允許信任區外的實體訪問,分析器會為角色生成一條待處理的分析結果。
創建外部訪問分析器
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
在頂部菜單欄,選擇地域。
說明外部訪問分析器僅分析分析器所在地域的資源。如需分析其他地域資源,您需要在對應地域創建分析器。中心化部署的資源(如:RAM 角色)可被任意地域的分析器監測分析。
單擊創建分析器,然后輸入分析器名稱、選擇分析類型為外部訪問、設置分析范圍,最后單擊創建分析器。
說明只支持在資源目錄管理賬號下創建分析范圍為資源目錄的分析器。
創建分析器后,會開始檢測資源存在的外部訪問情況,您需要等待一會才能看到分析結果。
查看并處理外部訪問分析結果
查看分析結果
您可以在分析器頁面或分析結果頁面,查看分析結果。
分析器頁面:
分析結果頁面:
篩選分析結果
對于分析結果,支持基于資源、資源類型、資源所有者、結果狀態等多個條件進行篩選,方便您快速查看所需分析結果。
具體支持的篩選項以控制臺界面顯示為準。
例如:設置如下條件,可以快速查看是否存在公開訪問。
查看分析結果詳情
在分析結果列表中,單擊結果ID,可以查看詳情。
針對分析結果,您可以:
對于符合您預期的資源共享行為,單擊歸檔結果,直接將其歸檔。
對于不符合您預期的資源共享行為,單擊前往治理(當前賬號內的資源)或復制資源URL(非當前賬號內的資源),跳轉到對應頁面進行治理。
自動歸檔分析結果
除了可以針對單個分析結果進行手動歸檔外,您還可以設置歸檔規則,自動歸檔無需治理的分析結果。
您可以在分析結果頁面設置并保存歸檔規則,設置完規則后,會對新產生的符合歸檔規則的分析結果進行自動歸檔。
但是,設置規則前的分析結果不會自動歸檔,如您需要,可以在分析器詳情頁面單擊應用歸檔規則,將其歸檔。
