本文為您介紹如何通過外部存取分析器識別資來源目錄或當前帳號內資源允許的外部存取。
概述
什麼是外部存取分析器
外部存取分析器可以協助您識別當前帳號或資來源目錄內與外部帳號共用的資源。阿里雲的部分資源(例如:OSS Bucket或RAM角色),支援基於資源的策略,允許授予帳號外身份對資源的訪問。外部存取分析器會持續監測您的資來源目錄或當前帳號內的這類資源,對存在共用給外部身份的資源產生分析結果,協助您識別非預期的資源分享,降低企業安全風險。 每條分析結果都包含資源授予的外部身份以及授予的操作許可權資訊。
信任區
建立分析器時,您可以選擇分析範圍為當前賬號或资源目录,這個範圍就是分析器的信任區。分析器會監測信任區內支援分析的資源,並且認為信任區內身份對資源的訪問是可信的。如果信任區是當前賬號,則本帳號內身份被認為是可信的,其他帳號內身份被認為是非可信的。如果信任區是资源目录,則本帳號所屬資來源目錄內的所有帳號的身份均被認為是可信的,資來源目錄外其他帳號內身份被認為是非可信的。
支援外部存取分析器的資源類型
-
OSS Bucket
對於OSS Bucket,外部存取分析器會分析Bucket的ACL和Bucket Policy,並結合“阻止公用訪問”的配置產生最終分析結果。如果分析範圍(即信任區)內的Bucket允許信任區外的實體訪問,也包括匿名使用者,分析器會為Bucket產生一條待處理的分析結果。
-
RAM角色
對於RAM角色,外部存取分析器會分析角色的信任策略。信任策略是一種基於資源的策略,在建立RAM角色時指定。在信任策略中,可以指定允許扮演該RAM角色的可信實體。如果信任區內的RAM角色允許信任區外的實體訪問,分析器會為角色產生一條待處理的分析結果。
建立外部存取分析器
-
使用Resource Access Management員登入RAM控制台。
-
在左側導覽列,選擇。
-
在頂部功能表列,選擇地區。
說明外部存取分析器僅分析分析器所在地區的資源。如需分析其他地區資源,您需要在對應地區建立分析器。中心化部署的資源(如:RAM 角色)可被任意地區的分析器監測分析。
-
單擊創建分析器,然後輸入分析器名稱、選擇分析類型為外部訪問、設定分析範圍,最後單擊建立分析器。
說明只支援在資來源目錄管理帳號下建立分析範圍為资源目录的分析器。
表單中還需選擇地區(例如華東1(杭州))。執行此操作時系統將自動建立服務關聯角色
AliyunServiceRoleForAccessAnalyzer。
建立分析器後,會開始檢測資源存在的外部存取情況,您需要等待一會才能看到分析結果。
查看並處理外部存取分析結果
查看分析結果
您可以在分析器頁面或分析結果頁面,查看分析結果。
在分析器頁面,單擊目標分析器名稱進入詳情頁。頁面上方展示基本資料,包括分析器名稱、運行狀態、分析類型、分析範圍、建立時間、ARN 和最近分析時間。頁面下方的分析結果 Tab 以表格形式展示各條分析結果,列包含結果ID、資源、資源所有者、結果狀態(如"待處理")、更新時間和操作(如歸檔結果)。您可通過篩選鍵和匹配方式對結果進行篩選。
在分析結果頁面的結果清單頁簽中,可通過篩選鍵和匹配方式設定篩選條件(如按結果狀態篩選為待處理)。結果表格包含結果 ID、資源、資源所有者、結果狀態、更新時間和操作列,可在操作列中單擊歸檔結果對分析結果進行歸檔,也可將當前篩選條件儲存為歸檔規則。
篩選分析結果
對於分析結果,支援基於資源、資源類型、資源所有者、結果狀態等多個條件進行篩選,方便您快速查看所需分析結果。
具體支援的篩選項以控制台介面顯示為準。
例如:設定如下條件,可以快速查看是否存在公開訪問。
將篩選鍵設定為公開訪問,匹配方式設定為等於,篩選值設定為true,同時添加篩選條件結果狀態等於待處理。
查看分析結果詳情
在分析結果清單中,單擊结果 ID,可以查看詳情。
結果詳情頁包含基本資料和詳細資料兩部分。基本資料顯示分析器名稱、結果類型、結果狀態、資源類型、資源 ARN、資源所有者及建立、分析、更新時間;詳細資料 Tab 顯示是否公開及外部身份表格(包括身份類型、身份標識、訪問操作和訪問條件)。頁面右上方還提供重新掃描按鈕。
針對分析結果,您可以:
-
對於符合您預期的資源共用行為,單擊歸檔結果,直接將其歸檔。
-
對於不符合您預期的資源共用行為,單擊前往治理(當前帳號內的資源)或複製資源 URL(非當前帳號內的資源),跳轉到對應頁面進行治理。
自動歸檔分析結果
除了可以針對單個分析結果進行手動歸檔外,您還可以設定歸檔規則,自動歸檔無需治理的分析結果。
您可以在分析結果版面設定並儲存歸檔規則,設定完規則後,會對新產生的符合歸檔規則的分析結果進行自動歸檔。
在結果清單頁面,通過篩選鍵、匹配方式和篩選值下拉框設定篩選條件後,單擊儲存為歸檔規則。
但是,設定規則前的分析結果不會自動歸檔,如您需要,可以在分析器詳情頁面單擊應用歸檔規則,將其歸檔。在歸檔規則列表的操作列可看到「應用」按鈕。