访问分析器介绍

访问分析器简介

IAM访问分析器（IAM Access Analyzer）能通过自动化手段，帮助您实现最小化授权管理。

访问分析器主要提供以下四个功能：

• 识别组织或账号中和外部主体共享的资源。

  通过对资源授权策略的自动化分析，系统能够识别组织或账号与外部主体之间的共享资源，帮助客户及时发现和应对资源或数据的外部访问风险。

• 识别组织或账号中未使用的访问。

  识别组织或账号中在自定义时间段内未使用的访问，包括密码、访问密钥、用户、委托、信任委托和授权项等。客户可以及时清理非必要的访问授权，降低潜在的安全风险。

• 识别账号中不符合安全最佳实践的配置。

  通过最佳实践访问分析，可以快速检测账号中不符合安全最佳实践的配置。该功能会自动化扫描账号的相关配置，生成风险分析报告，帮助您及时消除潜在的访问风险。

• 根据策略语法验证自定义策略。

  通过策略检查来验证策略，并且提供检查结果。检查结果包括：安全、警告、错误、建议。

识别组织或账号中和外部主体共享的资源

通过访问分析，可以直观地了解组织或账号和外部主体共享的资源，包括但不限于委托、信任委托、OBS桶和KMS密钥等。资源和数据在与外部主体共享的场景下，访问可能会带来一定的安全风险。IAM访问分析可以根据系统的推理逻辑分析，生成一个访问分析结果。通过访问分析结果，可以直观地看到与外部主体共享的每个资源、外部主体的信息，以及有关的访问权限有哪些。同时，也可以直观地看到这些访问权限是否存在风险，以确定是否需要调整相关的访问权限保证数据的安全。

IAM访问分析除了可以对已与外部主体共享的资源进行分析，还可以在设置共享资源权限时预览策略的影响，便于及时调整权限策略。

分析器启用时，需要选择组织或者账号作为分析器的信任区域。分析器将会分析信任区域中支持分析的所有资源类型。支持的资源类型如表1所示。信任区域内的主体对资源的所有访问，都将是受信任的。启用后，分析器将会分析这些资源的策略，并且后续会定期分析。在添加或修改了策略之后，分析器将会在稍后约30分钟内分析添加或修改的策略。但也有一些情况会导致分析器无法收到策略更新通知，您可以手动进行重新扫描，获取最新的访问分析。

即使外部主体未访问信任区域内的资源，IAM访问分析仍然会生成分析结果。但为了保护用户的隐私，IAM访问分析不会暴露出该外部主体的用户具体信息，例如委托、信任委托、SCP、业务配置信息等等。

识别组织或账号中未使用的访问

IAM访问分析可以帮助您识别和查看组织或账号中未使用的访问。IAM访问分析会持续监控信任范围中的所有IAM用户、委托和信任委托，并生成未使用的访问分析结果。分析结果会呈现当前信任范围中未使用的权限、委托、信任委托、密码和访问密钥。

外部访问和未使用的访问分析结果均可以在访问分析总览面板中查看，面板会突出显示分析结果数量最多的用户，并根据分析器类型提供分析结果明细。更多信息请参阅查看访问分析总览。

识别账号中不符合安全最佳实践的配置

IAM访问分析可以帮助您识别账号中IAM用户、委托和信任委托不符合安全最佳实践的配置。您可以通过分析结果调整安全配置，降低账号密码泄露风险以及授予IAM用户、委托和信任委托高危风险权限带来的访问风险。当前支持的检查项请参见表2。

“未开启登录保护”检查项不支持对华为账号根用户进行检查。

根据策略语法验证策略

IAM访问分析可以根据策略语法检查验证自定义策略，并且提供访问分析结果。访问分析结果包括：安全、警告、错误、建议。访问分析结果检查结果可以帮助用户设置可操作且符合安全要求的策略。关于更多验证策略的信息，请参考验证策略。

约束与限制

IAM访问分析器，基于租户授权的服务关联委托的权限进行分析，仅支持在IAM新版控制台创建。