Topik ini menjelaskan cara menggunakan alat analisis identitas yang terlalu istimewa untuk mengidentifikasi identitas tersebut di Direktori Sumber Daya atau akun saat ini.
Ikhtisar
Apa itu alat analisis identitas yang terlalu istimewa?
Alat analisis identitas yang terlalu istimewa membantu mengidentifikasi identitas tersebut di Direktori Sumber Daya atau akun saat ini. Alat ini secara terus-menerus memantau semua identitas Resource Access Management (RAM) dan menghasilkan temuan untuk identitas yang terlalu istimewa. Identitas RAM mencakup Pengguna RAM dan Peran RAM. Temuan diklasifikasikan ke dalam jenis berikut: Super User, Super Role, Pengguna dengan hak istimewa, Peran dengan hak istimewa, Pengguna Tidak Aktif, Peran Tidak Aktif, Pengguna yang Terlalu Istimewa, dan Peran yang Terlalu Istimewa. Setiap temuan berisi informasi tentang izin yang diberikan kepada identitas RAM serta waktu terakhir penggunaan izin tersebut.
Super User dan Super Role: Identitas RAM memiliki izin penuh untuk mengelola semua sumber daya dalam sebuah akun. Sebagai contoh, jika kebijakan AdministratorAccess disambungkan ke Pengguna RAM atau Peran RAM, mereka memiliki izin penuh untuk mengelola semua sumber daya dalam akun tersebut.
Identitas dengan hak istimewa (pengguna atau peran): Ini adalah identitas RAM yang memiliki hak istimewa berisiko tinggi. Identitas ini sering kali dapat menaikkan izin mereka sendiri atau izin identitas lainnya. Untuk daftar hak istimewa yang dapat diidentifikasi, lihat Daftar Hak Istimewa.
Pengguna Tidak Aktif dan Peran Tidak Aktif: Identitas RAM tidak menggunakan izin apa pun untuk mengakses sumber daya dalam periode yang ditentukan oleh parameter The period for unused accesses.
Pengguna yang Terlalu Istimewa dan Peran yang Terlalu Istimewa: Identitas RAM memiliki izin tingkat layanan dan tingkat operasi yang tidak digunakan dalam periode yang ditentukan oleh parameter The period for unused accesses.
Cakupan yang didukung oleh Alat Analisis Otorisasi Berlebihan
Alat analisis identitas yang terlalu istimewa memeriksa informasi audit izin tentang semua identitas RAM di Direktori Sumber Daya atau akun saat ini dan menghasilkan temuan berdasarkan informasi tersebut. Alat analisis tidak memeriksa peran terkait layanan. Fitur audit izin memungkinkan Anda memeriksa izin yang diberikan kepada identitas RAM serta waktu terakhir penggunaan izin tersebut. Alat analisis identitas yang terlalu istimewa dan fitur audit izin mendukung tipe kebijakan, layanan cloud, dan granularitas audit yang sama. Untuk informasi lebih lanjut, lihat Ikhtisar.
Buat alat analisis identitas yang terlalu istimewa
Masuk ke Konsol RAM sebagai Pengguna RAM yang memiliki hak administratif.
Di panel navigasi di sebelah kiri, pilih .
Klik Create Analyzer. Pilih Over-privileged untuk tipe analisis, masukkan nama alat analisis, atur periode akses idle dan cakupan analisis, lalu klik Create Analyzer.
The period for unused accesses digunakan untuk menentukan apakah izin tersebut idle. Nilai valid: 1 hingga 180. Nilai default: 90. Unit: hari. Contohnya, jika Anda mengatur The period for unused accesses menjadi 90, izin yang tidak digunakan selama lebih dari 90 hari dianggap idle.
CatatanHanya akun manajemen Direktori Sumber Daya yang dapat mengatur Cakupan Alat Analisis ke Resource Directory.
Setelah Anda membuat alat analisis, alat tersebut akan memeriksa identitas dan izin RAM. Sistem memerlukan waktu tertentu untuk menghasilkan temuan.
Lihat dan tangani temuan
Lihat temuan
Anda dapat melihat temuan di halaman Analyzers atau Findings.
Halaman Alat Analisis
Hasil analisis:
Gaya grafis
Akun saat ini:
Gambar berikut menunjukkan temuan untuk Direktori Sumber Daya. Lima anggota teratas dengan jumlah temuan aktif terbesar di Direktori Sumber Daya ditampilkan.
Gaya daftar
Filter temuan
Anda dapat mencari temuan tertentu berdasarkan kondisi filter, seperti Sumber Daya, Jenis Sumber Daya, Pemilik Sumber Daya, Status, dan Jenis Temuan.
Kondisi filter di konsol yang berlaku.
Sebagai contoh, Anda dapat mengonfigurasi kondisi berikut untuk melihat temuan tentang Pengguna RAM.
Jenis temuan tentang Pengguna RAM mungkin termasuk Super User, Privileged User, Inactive User, dan Over-Privileged User. Anda dapat mengonfigurasi lebih lanjut jenis temuan sebagai kondisi filter berdasarkan temuan. Sebagai contoh, Anda dapat mengatur Jenis Temuan ke Over-Privileged User untuk mencari temuan tentang pengguna yang terlalu istimewa.
Lihat detail temuan
Di daftar temuan, temukan temuan yang ingin Anda kelola dan klik ID di kolom Finding ID.
Anda dapat melakukan salah satu operasi berikut berdasarkan temuan:
Jika izin yang diberikan diperlukan, klik Archive untuk mengarsipkan temuan.
Jika izin yang diberikan tidak diperlukan, klik Go for Governance atau Copy Resource URL untuk melakukan operasi tata kelola pada halaman yang sesuai. Jika sumber daya yang terlibat milik akun saat ini, klik Lanjutkan untuk Tata Kelola. Jika tidak, klik Salin URL Sumber Daya.
Otomatis arsipkan temuan
Selain mengarsipkan temuan tunggal secara manual, Anda dapat membuat aturan arsip untuk secara otomatis mengarsipkan temuan yang tidak memerlukan tata kelola.
Di halaman Findings, konfigurasikan kondisi filter dan klik Simpan sebagai Aturan Arsip untuk membuat aturan arsip. Setelah Anda membuat aturan arsip, temuan baru secara otomatis diarsipkan.
Temuan yang dihasilkan sebelum aturan arsip dibuat tidak diarsipkan secara otomatis. Untuk mengarsipkan temuan, lakukan operasi berikut: Buka halaman Analyzers, klik nama di kolom Nama Alat Analisis, klik tab Aturan Arsip, temukan aturan arsip yang diperlukan, lalu klik Apply Archive Rule di kolom Tindakan.
Hak Istimewa
Identitas RAM (Pengguna RAM atau Peran RAM) yang memiliki izin untuk operasi berisiko tinggi diidentifikasi sebagai identitas dengan hak istimewa. Izin yang dapat diidentifikasi tercantum dalam tabel berikut.
Layanan Alibaba Cloud | Operasi berisiko tinggi |
Resource Access Management | ram:AddUserToGroup |
ram:AttachPolicyToGroup | |
ram:AttachPolicyToRole | |
ram:AttachPolicyToUser | |
ram:CreateAccessKey | |
ram:CreatePolicyVersion | |
ram:DeletePolicy | |
ram:DeletePolicyVersion | |
ram:DetachPolicyFromGroup | |
ram:DetachPolicyFromRole | |
ram:DetachPolicyFromUser | |
ram:RemoveUserFromGroup | |
ram:SetDefaultPolicyVersion | |
ram:UpdateAccessKey | |
ram:UpdateRole | |
ram:CreateLoginProfile | |
ram:UpdateLoginProfile | |
ram:SetSecurityPreference | |
ram:RestoreAccessKeyFromRecycleBin | |
ram:SetUserSsoSettings | |
ram:CreateSAMLProvider | |
ram:UpdateSAMLProvider | |
ram:UpdateOIDCProvider | |
ram:AddClientIdToOIDCProvider | |
ram:AddFingerprintToOIDCProvider | |
Resource Management | ram:AttachPolicy |
ram:DetachPolicy | |
resourcemanager:EnableResourceDirectory | |
resourcemanager:CreateResourceAccount | |
resourcemanager:InviteAccountToResourceDirectory | |
resourcemanager:UpdateAccount | |
resourcemanager:DisableControlPolicy | |
resourcemanager:UpdateControlPolicy | |
resourcemanager:DeleteControlPolicy | |
resourcemanager:AttachControlPolicy | |
resourcemanager:DetachControlPolicy | |
resourcemanager:RegisterDelegatedAdministrator | |
SSO Cloud | cloudsso:EnableDelegateAccount |
cloudsso:UpdateUserStatus | |
cloudsso:ResetUserPassword | |
cloudsso:SetLoginPreference | |
cloudsso:AddUserToGroup | |
cloudsso:RemoveUserFromGroup | |
cloudsso:SetExternalSAMLIdentityProvider | |
cloudsso:AddExternalSAMLIdPCertificate | |
cloudsso:AddPermissionPolicyToAccessConfiguration | |
cloudsso:RemovePermissionPolicyFromAccessConfiguration | |
cloudsso:UpdateInlinePolicyForAccessConfiguration | |
cloudsso:ProvisionAccessConfiguration | |
cloudsso:DeprovisionAccessConfiguration | |
cloudsso:CreateAccessAssignment | |
cloudsso:DeleteAccessAssignment | |
cloudsso:CreateSCIMServerCredential | |
cloudsso:UpdateSCIMServerCredentialStatus | |
cloudsso:SetSCIMSynchronizationStatus |