本文為您介紹如何通過過度授權分析器識別資源目錄或當前賬號內過度授權的身份。
概述
什么是過度授權分析器
過度授權分析器可以幫助您識別和查看資源目錄或當前賬號內過度授權的身份。分析器會持續監測您的資源目錄或當前賬號內的所有RAM身份(RAM用戶和RAM角色),對存在過度授權的身份生成對應的分析結果。分析器產生的分析結果包含超級管理員用戶/角色、特權用戶/角色、不活躍的用戶/角色、過度授權的用戶/角色。每條分析結果還會進一步提供身份擁有的權限,以及權限的最近訪問信息。
超級管理員用戶/角色:擁有賬號內所有資源管理權限的RAM身份(RAM用戶或RAM角色)。例如,被授予AdministratorAccess權限策略的RAM用戶或RAM角色。
特權用戶/角色:擁有高危特權的RAM身份(RAM用戶或RAM角色)。擁有這類特權的RAM身份往往可以為自己或其他RAM身份提升權限,使得他們獲得更高的訪問權限。詳細的特權列表,請參見特權列表。
不活躍的用戶/角色:在指定的閑置訪問周期內,沒有任何權限訪問活動的RAM身份(RAM用戶或RAM角色)。
過度授權的用戶/角色:在指定的閑置訪問周期內,擁有未使用的服務粒度和操作粒度權限的RAM身份(RAM用戶或RAM角色)。
過度授權分析器的支持范圍
過度授權類型的分析器會查看資源目錄或當前賬號內所有RAM身份(服務關聯角色除外)的權限審計信息,并使用權限審計信息產生分析結果。權限審計功能提供了RAM身份所擁有的權限,以及權限的最近訪問時間。因此,過度授權分析器所支持的策略類型、云服務列表及審計粒度與權限審計保持一致。具體信息,請參見權限審計概覽。
創建過度授權分析器
使用RAM管理員登錄RAM控制臺。
在左側導航欄,選擇。
單擊創建分析器,然后輸入分析器名稱、選擇分析類型為過度授權、設置閑置訪問周期和分析范圍,最后單擊創建分析器。
其中,閑置訪問周期是用來確定閑置的判斷范圍,取值范圍為1~180天,默認值為90天。 例如:將閑置訪問周期設置為90,意味著超過90天未使用的權限將被判定為閑置。
說明只支持在資源目錄管理賬號下創建分析范圍為資源目錄的分析器。
創建分析器后,會開始檢測RAM身份及權限,您需要等待一會才能查看分析結果。
查看并處理過度授權分析結果
查看分析結果
您可以在分析器或分析結果頁面,查看分析結果。
分析器頁面:
分析結果頁面:
圖形化樣式
當前賬號:
資源目錄:會額外展示資源目錄內待處理分析結果數量Top5成員賬號。
列表樣式
篩選分析結果
對于分析結果,支持基于資源、資源類型、資源所有者、結果狀態、結果類型等多個條件進行篩選,方便您快速查看所需分析結果。
具體支持的篩選項以控制臺界面顯示為準。
例如:設置如下條件,可以快速查看RAM用戶的過度授權分析結果。
查詢結果可能會包括超級管理員用戶、特權用戶、不活躍的用戶和過度授權的用戶。您可以繼續基于查詢結果,設置如下條件,僅篩選出類型為過度授權的用戶的數據。
查看分析結果詳情
在分析結果列表中,單擊結果ID,可以查看詳情。
針對分析結果,您可以:
對于符合您預期的授權行為,單擊歸檔結果,直接將其歸檔。
對于不符合您預期的授權行為,單擊前往治理(當前賬號內的資源)或復制資源URL(非當前賬號內的資源),跳轉到對應頁面進行治理。
自動歸檔分析結果
除了可以針對單個分析結果進行手動歸檔外,您還可以設置歸檔規則,自動歸檔無需治理的分析結果。
您可以在分析結果頁面設置并保存歸檔規則,設置完規則后,會對新產生的符合歸檔規則的分析結果進行自動歸檔。
但是,設置規則前的分析結果不會自動歸檔,如您需要,可以在分析器詳情頁面單擊應用歸檔規則,將其歸檔。
特權列表
云產品 | 高危操作 |
訪問控制 | ram:AddUserToGroup |
ram:AttachPolicyToGroup | |
ram:AttachPolicyToRole | |
ram:AttachPolicyToUser | |
ram:CreateAccessKey | |
ram:CreatePolicyVersion | |
ram:DeletePolicy | |
ram:DeletePolicyVersion | |
ram:DetachPolicyFromGroup | |
ram:DetachPolicyFromRole | |
ram:DetachPolicyFromUser | |
ram:SetDefaultPolicyVersion | |
ram:UpdateAccessKey | |
ram:UpdateRole | |
ram:RemoveUserFromGroup | |
資源管理 | ram:AttachPolicy |
ram:DetachPolicy |