本文為您介紹如何通過外部存取分析器識別資來源目錄或當前帳號內資源允許的外部存取。
概述
什麼是外部存取分析器
外部存取分析器可以協助您識別當前帳號或資來源目錄內與外部帳號共用的資源。阿里雲的部分資源(例如:OSS Bucket或RAM角色),支援基於資源的策略,允許授予帳號外身份對資源的訪問。外部存取分析器會持續監測您的資來源目錄或當前帳號內的這類資源,對存在共用給外部身份的資源產生分析結果,協助您識別非預期的資源分享,降低企業安全風險。 每條分析結果都包含資源授予的外部身份以及授予的操作許可權資訊。
信任區
建立分析器時,您可以選擇分析範圍為當前帳號或資來源目錄,這個範圍就是分析器的信任區。分析器會監測信任區內支援分析的資源,並且認為信任區內身份對資源的訪問是可信的。如果信任區是當前帳號,則本帳號內身份被認為是可信的,其他帳號內身份被認為是非可信的。如果信任區是資來源目錄,則本帳號所屬資來源目錄內的所有帳號的身份均被認為是可信的,資來源目錄外其他帳號內身份被認為是非可信的。
支援外部存取分析器的資源類型
OSS Bucket
對於OSS Bucket,外部存取分析器會分析Bucket的ACL和Bucket Policy,並結合“阻止公用訪問”的配置產生最終分析結果。如果分析範圍(即信任區)內的Bucket允許信任區外的實體訪問,也包括匿名使用者,分析器會為Bucket產生一條待處理的分析結果。
RAM角色
對於RAM角色,外部存取分析器會分析角色的信任策略。信任策略是一種基於資源的策略,在建立RAM角色時指定。在信任策略中,可以指定允許扮演該RAM角色的可信實體。如果信任區內的RAM角色允許信任區外的實體訪問,分析器會為角色產生一條待處理的分析結果。
建立外部存取分析器
使用Resource Access Management員登入RAM控制台。
在左側導覽列,選擇。
在頂部功能表列,選擇地區。
說明外部存取分析器僅分析分析器所在地區的資源。如需分析其他地區資源,您需要在對應地區建立分析器。中心化部署的資源(如:RAM 角色)可被任意地區的分析器監測分析。
單擊建立分析器,然後輸入分析器名稱、選擇分析類型為外部存取、設定分析範圍,最後單擊建立分析器。
說明只支援在資來源目錄管理帳號下建立分析範圍為資來源目錄的分析器。
建立分析器後,會開始檢測資源存在的外部存取情況,您需要等待一會才能看到分析結果。
查看並處理外部存取分析結果
查看分析結果
您可以在分析器頁面或分析結果頁面,查看分析結果。
分析器頁面:
分析結果頁面:
篩選分析結果
對於分析結果,支援基於資源、資源類型、資源所有者、結果狀態等多個條件進行篩選,方便您快速查看所需分析結果。
具體支援的篩選項以控制台介面顯示為準。
例如:設定如下條件,可以快速查看是否存在公開訪問。
查看分析結果詳情
在分析結果清單中,單擊結果ID,可以查看詳情。
針對分析結果,您可以:
對於符合您預期的資源共用行為,單擊歸檔結果,直接將其歸檔。
對於不符合您預期的資源共用行為,單擊前往治理(當前帳號內的資源)或複製資源URL(非當前帳號內的資源),跳轉到對應頁面進行治理。
自動歸檔分析結果
除了可以針對單個分析結果進行手動歸檔外,您還可以設定歸檔規則,自動歸檔無需治理的分析結果。
您可以在分析結果版面設定並儲存歸檔規則,設定完規則後,會對新產生的符合歸檔規則的分析結果進行自動歸檔。
但是,設定規則前的分析結果不會自動歸檔,如您需要,可以在分析器詳情頁面單擊應用歸檔規則,將其歸檔。
