处理结果

处理外部访问分析结果

如果分析结果表明策略存在非预期的授权，存在安全风险，需要根据分析结果进行修改或删除策略。例如，对于OBS桶上非预期的共享访问权限，请前往OBS控制台调整策略内容。

在调整策略后，IAM访问分析将会重新扫描资源，如果资源不再存在信任区域外的共享，则分析结果将会由“活跃”更改为“已解决”。可以在“已解决”的分析结果列表查看该分析结果。如果调整策略后，资源存在信任区域外的其他共享，则IAM访问分析将会生成新的活跃的分析结果。

• 当IAM访问分析无法分析某个资源时，不会生成访问分析结果。
• 已解决的结果将在上次更新结果后90天删除。

1. 登录统一身份认证服务新版控制台。
2. 在统一身份认证服务的左侧导航窗格中，选择“访问分析 > 外部访问分析”。
3. 在分析结果页面左上角，选择需要查看的分析器。
4. 单击分析结果ID，查看分析结果的更多详情。如果访问权限是非允许的，则需要对策略进行修改。
5. 在详情页面，单击“前往IAM控制台”、“前往OBS控制台”、“前往DEW控制台”、“前往SWR控制台”、“前往CBR控制台”或“前往IMS控制台”，编辑对应的策略内容。
   图1 修改策略
   

6. 回到详情页面，单击右上角“重新扫描”，分析器会重新对策略进行检查。
   图2 重新扫描
   

处理未使用访问的分析结果

根据创建未使用的访问分析器时指定的跟踪周期，分析器对信任区域内的实体扫描时，如果访问密钥、密码或权限超过指定天数未使用，将会生成新的访问分析结果。

针对未使用的访问分析结果，如果该分析结果是非预期的，则需要前往IAM控制台删除未使用的访问密钥、委托、信任委托、密码或权限。如果分析结果为预期内的，则可以将分析结果进行存档。可以在“已存档”的分析结果列表中进行查看该分析结果。

• 有关删除访问密钥的信息，请参考管理IAM用户访问密钥。
• 有关删除委托、信任委托的信息，请参考删除或修改委托（委托方操作）。
• 有关删除IAM用户密码的信息，请参考修改IAM用户密码。
• 有关删除相关的权限信息，请参考修改、删除自定义身份策略。

对未使用的访问密钥、委托、信任委托、密码或权限进行删除后，分析器会对资源进行重新扫描，则分析结果将会从“活跃”变为“已解决”。可以在“已解决”的分析结果列表查看该分析结果。

处理最佳实践访问分析结果

如果分析结果表明账号存在不符合最佳实践的配置，需要根据分析结果进行处理。例如，如果账号test未绑定MFA，请前往IAM控制台为该账号绑定MFA。在绑定MFA后，IAM访问分析将会重新扫描资源，如果资源已经绑定MFA，则分析结果将会由“活跃”更改为“已解决”。可以在“已解决”的分析结果列表查看该分析结果。

1. 登录统一身份认证服务新版控制台。
2. 在统一身份认证服务的左侧导航窗格中，选择“访问分析 > 最佳实践访问分析”。
3. 在分析结果页面左上角，选择需要查看的分析器。
4. 单击分析结果ID，查看分析结果的更多详情。
5. 在详情页面，单击“绑定MFA”、“移除根用户的AK/SK”、“开启登录保护”、“移除委托的高风险权限”、“移除用户的高风险权限”，进行对应的操作，若分析结果类型是“使用密码访问API”，单击“了解更多”，进行对应的操作。
   图3 修改配置
   

6. 回到详情页面，单击右上角“重新扫描”，分析器会重新对策略进行检查。
   图4 重新扫描