使用前必讀

在使用權限審計功能變更RAM身份的權限之前，請務必查看如下使用須知。

跟蹤期

訪問的跟蹤期于2024-02-01開始，早于此時間的訪問將不會被記錄。最近訪問時間的數據延遲不超過24小時。

嘗試訪問

最近訪問包含對云服務API的所有訪問請求，而不僅是訪問成功的請求。它包含通過阿里云控制臺、通過CLI、SDK或直接訪問API的所有嘗試。權限審計中出現非預期的訪問并不意味著您的賬號已被泄露，因為該訪問請求有可能已被拒絕。對于請求的詳細信息，請查看您的操作審計日志。

報告所有者

只有生成權限審計報告的實體才能查看報告中的權限訪問記錄詳情。通過阿里云控制臺查看權限訪問記錄時，您需要等待報告生成后，才能查看。通過API、SDK或CLI查看權限訪問記錄時，您的訪問憑證必須與生成報告的所有者一致。如果您使用角色的臨時憑證（STS Token）生成報告，則必須要用同一角色的STS Token查看權限訪問記錄詳情。

支持的策略類型

權限審計僅分析基于身份的策略，即授予RAM用戶、RAM用戶組、RAM角色的權限策略。權限審計不會分析其他類型的權限策略，包括基于資源的策略（例如：OSS Bucket Policy）、資源目錄的管控策略和會話策略。

支持的審計粒度

• 服務級別

  在云服務維度對RAM身份的權限和訪問進行分析。您可以查看RAM身份被授予的云服務的權限，訪問過的云服務及訪問云服務的最后時間。以此用來撤銷無需使用的系統策略，或者將管理員權限收斂成具體云服務的管理權限。

  支持服務級別審計的云服務，請參見支持權限審計的云服務。

• 操作級別

  在服務級別的基礎上，進一步細化到具體的API操作（Action），在操作維度對RAM身份的權限和訪問進行分析。您可以查看RAM身份被授予的具體API操作的權限，訪問過的API操作及訪問API操作的最后時間。以此用來對應用程序進行精細化權限管控，或者對高危權限進行收斂。

  支持操作級別審計的云服務，請參見支持權限審計的云服務審計粒度列標識為操作級別的云服務。

  重要

  • 權限審計僅支持云服務已接入操作審計管控平面的操作，不支持存儲在云服務中的數據平面的操作（例如：OSS 的 GetObject）。

  • 對于ram:PassRole這種僅有權限，沒有關聯API的操作，權限審計不支持該操作。

不支持的場景

在一些業務場景中，阿里云服務會代表您發起對其他云服務API的權限檢查。例如，當使用資源中心跨產品、跨地域搜索資源時，資源中心會檢查調用者是否擁有目標云產品的查看權限，并僅返回調用者有權限的資源。這種場景下的權限檢查并非調用者直接對目標云產品API發起的訪問行為，不會包含在權限審計信息中。

涉及這類權限檢查的API如下表所示：

查看RAM用戶的權限訪問記錄

1. 使用RAM管理員登錄RAM控制臺。

2. 在左側導航欄，選擇身份管理 > 用戶。

3. 在用戶頁面，單擊目標RAM用戶名稱。

4. 在RAM用戶詳情頁，單擊權限訪問Beta頁簽。

   系統會開始生成RAM用戶的權限審計報告，請您耐心等待一會，直到報告生成成功。

5. 查看權限訪問記錄。

   您可以查看RAM用戶有權訪問的云服務、被授予的權限策略以及訪問云服務的最后時間。

   對于支持操作級別審計的云服務，您可以單擊操作列的查看鑒權操作，查看允許操作的API列表及訪問該操作的最后時間。

   

查看RAM角色的權限訪問記錄

1. 使用RAM管理員登錄RAM控制臺。

2. 在左側導航欄，選擇身份管理 > 角色。

3. 在角色頁面，單擊目標RAM角色名稱。

4. 在RAM角色詳情頁，單擊權限訪問Beta頁簽。

   系統會開始生成RAM角色的權限審計報告，請您耐心等待一會，直到報告生成成功。

   說明

   服務關聯角色不支持權限審計，不展示權限訪問Beta頁簽。

5. 查看權限訪問記錄。

   您可以查看RAM角色有權訪問的云服務、被授予的權限策略以及訪問云服務的最后時間。

   對于支持操作級別審計的云服務，您可以單擊操作列的查看鑒權操作，查看允許操作的API列表及訪問該操作的最后時間。

   

權限審計常見問題

相關文檔

• 支持權限審計的云服務及審計粒度，請參見支持權限審計的云服務。

• 您還可以使用過度授權分析器持續檢測資源目錄或當前賬號內過度授權的RAM身份。更多信息，請參見識別過度授權。