本文為您介紹如何通過過度授權分析器識別資來源目錄或當前帳號內過度授權的身份。
概述
什麼是過度授權分析器
過度授權分析器可以協助您識別和查看資來源目錄或當前帳號內過度授權的身份。分析器會持續監測您的資來源目錄或當前帳號內的所有RAM身份(RAM使用者和RAM角色),對存在過度授權的身份產生對應的分析結果。分析器產生的分析結果包含超級管理使用者/角色、特權使用者/角色、不活躍的使用者/角色、過度授權的使用者/角色。每條分析結果還會進一步提供身份擁有的許可權,以及許可權的最近訪問資訊。
-
超級管理使用者/角色:擁有帳號內所有資源系統管理權限的RAM身份(RAM使用者或RAM角色)。例如,被授予AdministratorAccess權限原則的RAM使用者或RAM角色。
-
特權使用者/角色:擁有高危特權的RAM身份(RAM使用者或RAM角色)。擁有這類特權的RAM身份往往可以為自己或其他RAM身份提升許可權,使得他們獲得更高的存取權限。目前支援識別的特權列表,請參見特權列表。
-
不活躍的使用者/角色:在指定的閒置訪問週期內,沒有任何許可權訪問活動的RAM身份(RAM使用者或RAM角色)。
-
過度授權的使用者/角色:在指定的閒置訪問週期內,擁有未使用的服務粒度和操作粒度許可權的RAM身份(RAM使用者或RAM角色)。
過度授權分析器的支援範圍
過度授與類型的分析器會查看資來源目錄或當前帳號內所有RAM身份(服務關聯角色除外)的許可權審計資訊,並使用許可權審計資訊產生分析結果。許可權審計功能提供了RAM身份所擁有的許可權,以及許可權的最近訪問時間。因此,過度授權分析器所支援的策略類型、雲端服務列表及審計粒度與許可權審計保持一致。具體資訊,請參見許可權審計概覽。
建立過度授權分析器
-
使用Resource Access Management員登入RAM控制台。
-
在左側導覽列,選擇。
-
單擊創建分析器,然後選擇分析類型為過度授權、輸入分析器名稱、設定閑置訪問周期和分析範圍,最後單擊建立分析器。
其中,閒置訪問週期是用來確定閑置的判斷範圍,取值範圍為1~180天,預設值為90天。 例如:將閒置訪問週期設定為90,意味著超過90天未使用的許可權將被判定為閑置。
說明只支援在資來源目錄管理帳號下建立分析範圍為资源目录的分析器。
建立分析器時需選擇地區(分析結果不受地區影響)。建立完成後將自動建立服務關聯角色
AliyunServiceRoleForAccessAnalyzer。
建立分析器後,會開始檢測RAM身份及許可權,您需要等待一會才能查看分析結果。
查看並處理過度授權分析結果
查看分析結果
您可以在分析器或分析結果頁面,查看分析結果。
在分析器詳情頁,基本資料地區展示分析器名稱、運行狀態、分析類型(如過度授權)、分析範圍(如當前帳號)、建立時間、ARN、最近分析時間和閑置訪問周期(如90天)。頁面下方包含分析結果和歸檔規則兩個頁簽。在分析結果頁簽中,可按結果狀態篩選(如待處理),表格展示結果ID、資源、資源所有者、已訪問服務/已授予服務、結果狀態、更新時間和操作列,每條結果標識發現類型(如不活躍的角色、特權使用者)。
分析結果頁面:
-
圖形化樣式
資料概覽頁簽展示待處理的分析結果統計,包括超級管理使用者、超級管理員角色、特權使用者、特殊權限角色、不活躍的使用者、不活躍的角色、過度授權的使用者、過度授權的角色等分類及其數量與佔比,並以環形圖呈現各類別分布。
資來源目錄:會額外展示資來源目錄內待處理分析結果數量Top5成員帳號。
-
列表樣式
在 訪問分析 > 分析結果 頁面,左側選擇目標分析器(例如 Test-1,類型為 過度授權),右側切換到 結果清單 頁簽。可通過篩選條件(如 結果狀態 等於 待處理)過濾結果。結果表格包含 結果 ID、資源、資源所有者、已訪問服務/已授予服務、結果狀態、更新時間 和 操作 列,展示不活躍角色的分析結果及其已訪問與已授予服務數量,可對結果執行 歸檔結果 操作。
篩選分析結果
對於分析結果,支援基於資源、資源類型、資源所有者、結果狀態、結果類型等多個條件進行篩選,方便您快速查看所需分析結果。
具體支援的篩選項以控制台介面顯示為準。
例如:設定如下條件,可以快速查看RAM使用者的過度授權分析結果。
設定篩選鍵為資源類型,匹配方式為等於,篩選值為存取控制 - 使用者,同時添加篩選條件結果狀態等於待處理,單擊搜尋按鈕執行篩選。
查詢結果可能會包括超級管理員用戶、特權用戶、不活躍的用戶和過度授權的用戶。您可以繼續基於查詢結果,添加篩選條件(篩選鍵為結果類型,匹配方式為等於),僅篩選出類型為過度授權的用戶的資料。
查看分析結果詳情
在分析結果清單中,單擊结果 ID,可以查看詳情。
分析結果詳情頁包含基本資料和詳細資料兩部分。基本資料地區展示結果類型、結果狀態、資源類型、分析器名稱等欄位。詳細資料地區展示身份的建立時間、最後訪問時間及已訪問服務/已授予服務比例。底部為訪問記錄表格,按服務維度展示已訪問操作與已授予操作的對比詳情。頁面右上方還提供重新掃描按鈕。
針對分析結果,您可以:
-
對於符合您預期的授權行為,單擊歸檔結果,直接將其歸檔。
-
對於不符合您預期的授權行為,單擊前往治理(當前帳號內的資源)或複製資源 URL(非當前帳號內的資源),跳轉到對應頁面進行治理。
自動歸檔分析結果
除了可以針對單個分析結果進行手動歸檔外,您還可以設定歸檔規則,自動歸檔無需治理的分析結果。
您可以在分析結果版面設定並儲存歸檔規則,設定完規則後,會對新產生的符合歸檔規則的分析結果進行自動歸檔。
在結果清單頁面,通過篩選鍵、匹配方式和篩選值下拉框設定篩選條件後,單擊儲存為歸檔規則。
但是,設定規則前的分析結果不會自動歸檔,如您需要,可以在分析器詳情頁面單擊應用歸檔規則,將其歸檔。在歸檔規則列表的操作列可看到「應用」按鈕。
特權列表
擁有高危操作許可權的RAM身份(RAM使用者或RAM角色)會被識別為特權使用者/角色。目前支援識別的許可權點如下表所示。
|
雲產品 |
高危操作 |
|
存取控制 |
ram:AddUserToGroup |
|
ram:AttachPolicyToGroup |
|
|
ram:AttachPolicyToRole |
|
|
ram:AttachPolicyToUser |
|
|
ram:CreateAccessKey |
|
|
ram:CreatePolicyVersion |
|
|
ram:DeletePolicy |
|
|
ram:DeletePolicyVersion |
|
|
ram:DetachPolicyFromGroup |
|
|
ram:DetachPolicyFromRole |
|
|
ram:DetachPolicyFromUser |
|
|
ram:RemoveUserFromGroup |
|
|
ram:SetDefaultPolicyVersion |
|
|
ram:UpdateAccessKey |
|
|
ram:UpdateRole |
|
|
ram:CreateLoginProfile |
|
|
ram:UpdateLoginProfile |
|
|
ram:SetSecurityPreference |
|
|
ram:RestoreAccessKeyFromRecycleBin |
|
|
ram:SetUserSsoSettings |
|
|
ram:CreateSAMLProvider |
|
|
ram:UpdateSAMLProvider |
|
|
ram:UpdateOIDCProvider |
|
|
ram:AddClientIdToOIDCProvider |
|
|
ram:AddFingerprintToOIDCProvider |
|
|
資源管理 |
ram:AttachPolicy |
|
ram:DetachPolicy |
|
|
resourcemanager:EnableResourceDirectory |
|
|
resourcemanager:CreateResourceAccount |
|
|
resourcemanager:InviteAccountToResourceDirectory |
|
|
resourcemanager:UpdateAccount |
|
|
resourcemanager:DisableControlPolicy |
|
|
resourcemanager:UpdateControlPolicy |
|
|
resourcemanager:DeleteControlPolicy |
|
|
resourcemanager:AttachControlPolicy |
|
|
resourcemanager:DetachControlPolicy |
|
|
resourcemanager:RegisterDelegatedAdministrator |
|
|
雲SSO |
cloudsso:EnableDelegateAccount |
|
cloudsso:UpdateUserStatus |
|
|
cloudsso:ResetUserPassword |
|
|
cloudsso:SetLoginPreference |
|
|
cloudsso:AddUserToGroup |
|
|
cloudsso:RemoveUserFromGroup |
|
|
cloudsso:SetExternalSAMLIdentityProvider |
|
|
cloudsso:AddExternalSAMLIdPCertificate |
|
|
cloudsso:AddPermissionPolicyToAccessConfiguration |
|
|
cloudsso:RemovePermissionPolicyFromAccessConfiguration |
|
|
cloudsso:UpdateInlinePolicyForAccessConfiguration |
|
|
cloudsso:ProvisionAccessConfiguration |
|
|
cloudsso:DeprovisionAccessConfiguration |
|
|
cloudsso:CreateAccessAssignment |
|
|
cloudsso:DeleteAccessAssignment |
|
|
cloudsso:CreateSCIMServerCredential |
|
|
cloudsso:UpdateSCIMServerCredentialStatus |
|
|
cloudsso:SetSCIMSynchronizationStatus |