自定义IAM Access Analyzer未使用权限分析的范围

关键要点

AWS IAM Access Analyzer提供了未使用权限的分析功能，帮助组织实现最小权限原则。新增的配置能力允许用户自定义分析范围，包括排除特定账户、角色和用户。通过使用标签和账户ID，可以更有效地监控重要的安全信息。提供具体步骤，帮助用户通过AWS管理控制台和AWS CLI更新分析器配置。

AWS身份与访问管理IAMAccess Analyzer简化了未使用权限的检查，帮助您实现最低权限。在您的账户或组织中，您可以使用未使用权限发现标识被授予的过度权限。通过IAM Access Analyzer的委派管理员账户，您可以使用仪表盘查看整个组织的未使用权限发现，并根据发现的数量和类型优先检查账户。这些发现展示了未使用的角色、未使用的IAM用户访问密钥和未使用的IAM用户密码。对于活跃的IAM用户和角色，发现结果提供了有关未使用服务和操作的可见性。

最近，IAM Access Analyzer推出了新的配置功能，您可以利用这些功能自定义分析。您可以选择排除特定的账户、角色和用户，专注于最重要的领域。您可以使用账户ID等标识符，或通过标签进行规模配置。通过将IAM Access Analyzer的监控范围缩小到特定的账户和角色，您可以减少不必要的噪音。您可以在需要时更新配置，以更改分析的范围。借助这项新功能，IAM Access Analyzer提供了增强的控制，帮助您将分析更紧密地定制为组织的安全需求。

在本文中，我们将带您通过一个示例场景。设想您是一家使用Amazon Web Services (AWS)的公司中的云管理员。您使用AWS Organizations将工作负载组织成多个组织单位OU和账户。您有专门用于测试和尝试新AWS功能的账户，称为“沙盒”账户。这些沙盒账户可以由您公司中的任何人创建并进行集中记录。您在IAM资源上使用标签，并遵循了AWS最佳实践和策略。这些标签应用于您的团队创建的IAM角色上。

为了确保您的团队遵循最小权限原则，并只使用访问AWS账户所需的权限，您使用IAM Access Analyzer。您在组织级别创建了一个未使用权限分析器，以监测组织中的AWS账户。您注意到有多个未使用权限发现。经过分析，安全团队建议排除一些AWS账户、IAM角色和用户，以便他们可以专注于相关的发现。他们希望将沙盒账户和用于安全目的的IAM角色如审计、事件响应排除在外。

您可以在创建新分析器时选择要排除的账户和角色，或者在之后更新分析器。在本文中，我们将向您展示如何配置IAM Access Analyzer，使其在您设置分析器后排除特定账户和特定主体IAM角色和IAM用户。启用未使用权限发现后，不收取额外费用。

前提条件

配置IAM Access Analyzer用于未使用权限分析的前提条件如下：

在组织级别创建的未使用权限分析器对IAM Access Analyzer委派的管理员账户的管理访问权限一份要排除的账户ID列表已附加标签的IAM角色

在接下来的部分中，您将学习如何定制IAM Access Analyzer以更好地满足您组织的需求。内容包括：

排除特定AWS账户的分析。如何排除带有标签的IAM角色，从而关注最相关的安全见解，并查看如何根据需要修改分析器上的排除设置。到底时，您将拥有一个个性化的未使用权限分析器，提供对组织更有意义和可操作的结果。

在组织中排除特定账户

在本节中，您将看到如何通过AWS管理控制台和AWS命令行界面AWS CLI更新您现有的组织级未使用权限分析器，排除特定的AWS账号ID。

如果您没有在组织中创建未使用权限分析器，请查看这篇文章以获取创建说明。

使用控制台更新您的未使用权限分析器：

登录到您的IAM Access Analyzer委派管理员账户默认是您的组织管理账户。在管理账户中打开IAM Access Analyzer控制台。选择您想要的分析器，查看实况发现仪表盘。在本示例中，分析器有251条活跃发现。

您可以看到按账户划分的活跃发现情况。示例账户有57条活跃发现，您希望将其排除。

在导航栏中，选择“分析器设置”。分析器设置页面会显示您AWS区域中分析器及其状态。根据名称选择列表中的未使用权限分析器。

在“分析器”页面，您可以看到分析器设置，并且有一个名为“排除”的新标签。由于您尚未排除的AWS账户，所以“排除的AWS账户”计数为0，并且没有账户显示。

在“排除的AWS账户”部分选择“管理”。选择“从组织中选择”和“层级”，然后选择“排除”您希望排除的沙盒账户。

迅猛兔加速器官网入口

在您选择“排除”沙盒账户后，该账户将不再被选择，并将出现在“要排除的AWS账户”中。要排除的账户计数从0变为1。完成后，选择“保存更改”。

页面会自动更新您的更改。您可以查看“排除的AWS账户”，确认已排除账户是否配置正确。

您可以返回控制台仪表盘以查看结果。在这个示例中，沙盒账户的排除导致活跃发现的总数从251降低到194。

使用AWS CLI更新您的未使用权限分析器：

您可以使用AWS CLI命令aws accessanalyzer updateanalyzer更新现有分析器。使用以下命令，并将lt YOURANALYZERNAMEgt替换为您的分析器名称。

bashaws accessanalyzer updateanalyzer analyzername lt YOURANALYZERNAMEgtconfiguration { unusedAccess { analysisRule { exclusions [ { accountIds [ 222222222222 ] } ] } }}

您将获得类似以下的结果：

json{ revisionId lt UNIQUEREVISIONNUMBERgt configuration { unusedAccess { analysisRule { exclusions [ { accountIds [ 222222222222 ] } ] } unusedAccessAge 90 } }}

您已成功将沙盒账户排除在未使用权限分析之外。接下来，您将根据标签排除安全团队用于审核账户的IAM角色。

使用标签排除组织中的特定主体

在本节中，您将看到如何通过使用控制台和AWS CLI更新现有未使用权限分析器，排除组织中的带标签IAM角色。

使用控制台更新您的未使用权限分析器：

打开IAM Access Analyzer控制台。查看包含未使用发现的摘要仪表盘。选择顶部的“分析器设置”。

您将在该区域查看到创建的分析器列表。选择您要更新的分析器。查看分析器页面。在“排除”标签下，您将看到“通过标签排除IAM用户和角色”，计数为0。

在“带标签的排除IAM用户和角色”部分选择“管理”。添加要从分析中排除的角色附加的标签，然后选择“保存更改”。

现在您可以看到“带标签的排除的IAM用户和角色”计数已经变为1，且可以在列表中看到标签。

使用AWS CLI更新您的未使用权限分析器：

同样，您可以使用AWS CLI命令aws accessanalyzer updateanalyzer更新现有分析器。使用以下命令，替换lt YOURANALYZERNAMEgt为您的分析器名称。

bashaws accessanalyzer updateanalyzer analyzername lt YOURANALYZERNAMEgt configuration { unusedAccess { analysisRule { exclusions [ { accountIds [ 222222222222 ] } { resourceTags [ { team security } ] } ] } }}

成功的响应将类似于：

json{ revisionId lt UNIQUEREVISIONNUMBERgt configuration { unusedAccess { analysisRule { exclusions [ { accountIds [ 222222222222 ] } { resourceTags [ { team security } ] } ] } unusedAccessAge 90 } }}

在分析器上审核排除项

您可以通过控制台或AWS CLI检查、移除或更新分析器上配置的排除项。例如，作为管理多个账户的安全管理员，您可能最初会排除具有“security”标签的IAM角色。但如果您的策略发生变化，可能需要检查这些排除项，以便审核某些安全角色或完全移除排除项。通过调整您的排除项，您可以确保分析器的结果与您组织的需求和账户结构保持相关。

通过控制台审核未使用权限分析器上的排除项：

在本节中，审核已从分析器中排除的标签。

打开IAM控制台。选择“访问分析器”，在“访问报告”下，您将看到来自分析器的发现摘要仪表盘。“活跃发现”部分显示未使用角色的活跃发现数量、未使用凭据的活跃发现数量以及未使用权限的活跃发现数量。“发现概述”部分包含活跃发现的细目。“发现状态”部分显示发现的状态是否活跃、已归档或已解决。

在屏幕顶部选择“分析器设置”。选择您要审核的分析器，以查看排除标签。

应用标签后，下一次扫描后将显示更新后的仪表盘。

使用AWS CLI审核未使用权限分析器的排除项：

使用分析器的名称，您可以运行命令getanalyzer以查看配置的排除项。使用以下命令，将lt YOURANALYZERNAMEgt替换为您的分析器名称：

bashaws accessanalyzer getanalyzer analyzername lt YOURANALYZERNAMEgt

您将获得类似以下的响应：

json{ analyzer { status ACTIVE name lt YOURANALYZERNAMEgt tags {} revisionId lt UNIQUEREVISIONNUMBERgt arn arnawsaccessanalyzerlt REGIONgt111111111111analyzer/lt YOURANALYZERNAMEgt configuration { unusedAccess { analysisRule { exclusions [ { accountIds [ 222222222222 ] } { resourceTags [ { team security } ] } ] } unusedAccessAge 90 } } type ORGANIZATIONUNUSEDACCESS createdAt 20241011T222657Z }}

结论

在本文中，您学习了如何通过排除特定账户和IAM角色来定制未使用权限分析器的需求。要排除组织中的账户不被IAM Access Analyzer监控，您可以使用账户ID列表或从组织结构的层级视图中选择它们。您可以根据标签排除IAM角色和IAM用户。通过定制未使用权限分析器的排除项，您看到活跃发现的数量减少，帮助您集中关注于最重要的发现。借助这项新功能，IAM Access Analyzer提供了增强的控制，帮助您将分析更紧密地定制为组织的安全需求。

要了解更多关于IAM Access Analyzer未使用访问的信息，请参