Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Memperbaiki izin dalam AWS menggunakan informasi yang terakhir diakses
Sebagai administrator, Anda dapat memberikan izin ke IAM sumber daya (peran, pengguna, grup pengguna, atau kebijakan) di luar yang mereka butuhkan. IAMmemberikan informasi yang terakhir diakses untuk membantu Anda mengidentifikasi izin yang tidak digunakan sehingga Anda dapat menghapusnya. Anda dapat menggunakan informasi yang diakses terakhir untuk menyempurnakan kebijakan Anda dan mengizinkan akses hanya ke layanan dan tindakan yang digunakan IAM identitas dan kebijakan Anda. Ini membantu Anda untuk lebih menganut praktik terbaik dengan privilese paling sedikit. Anda dapat melihat informasi yang terakhir diakses untuk identitas atau kebijakan yang ada di IAM atau AWS Organizations.
Anda dapat terus memantau informasi yang diakses terakhir dengan penganalisis akses yang tidak digunakan. Untuk informasi selengkapnya, lihat Temuan untuk akses eksternal dan tidak terpakai.
Topik
- Jenis informasi yang terakhir diakses untuk IAM
- Informasi yang terakhir diakses untuk AWS Organizations
- Hal yang perlu diketahui tentang informasi yang terakhir diakses
- Izin diperlukan
- Memecahkan masalah aktivitas untuk dan entitas IAM Organizations
- Tempat AWS melacak informasi terakhir yang diakses
- Lihat informasi yang terakhir diakses untuk IAM
- Lihat informasi yang terakhir diakses untuk Organizations
- Contoh alur perencanaan untuk menggunakan informasi yang terakhir diakses
- IAMtindakan terakhir diakses layanan informasi dan tindakan
Jenis informasi yang terakhir diakses untuk IAM
Anda dapat melihat dua jenis informasi IAM identitas yang terakhir diakses: informasi AWS layanan yang diizinkan dan informasi tindakan yang diizinkan. Informasi tersebut mencakup tanggal dan waktu ketika upaya untuk mengakses AWS API dilakukan. Untuk tindakan, informasi yang terakhir diakses melaporkan tindakan manajemen layanan. Tindakan manajemen meliputi pembuatan, penghapusan, dan tindakan modifikasi. Untuk mempelajari lebih lanjut tentang cara melihat informasi yang terakhir diaksesIAM, lihatLihat informasi yang terakhir diakses untuk IAM.
Misalnya skenario untuk menggunakan informasi yang diakses terakhir untuk membuat keputusan tentang izin yang Anda berikan pada IAM identitas Anda, lihat. Contoh alur perencanaan untuk menggunakan informasi yang terakhir diakses
Untuk mempelajari lebih lanjut tentang bagaimana tersedianya informasi untuk tindakan manajemen, lihat Hal yang perlu diketahui tentang informasi yang terakhir diakses.
Informasi yang terakhir diakses untuk AWS Organizations
Jika Anda masuk menggunakan kredensi akun manajemen, Anda dapat melihat informasi layanan yang terakhir diakses untuk AWS Organizations entitas atau kebijakan di organisasi Anda. AWS Organizations entitas termasuk akar organisasi, unit organisasi (OUs), atau akun. Informasi terakhir yang diakses untuk AWS Organizations mencakup informasi tentang layanan yang diizinkan oleh kebijakan kontrol layanan (SCP). Informasi menunjukkan prinsip mana (pengguna root, IAM pengguna, atau peran) dalam organisasi atau akun yang terakhir mencoba mengakses layanan dan kapan. Untuk mempelajari lebih lanjut tentang laporan dan cara melihat informasi yang terakhir diakses AWS Organizations, lihatLihat informasi yang terakhir diakses untuk Organizations.
Sebagai contoh, alur perencanaan penggunaan informasi yang terakhir diakses untuk membuat keputusan tentang izin yang Anda berikan ke entitas organisasi Anda, lihat Contoh alur perencanaan untuk menggunakan informasi yang terakhir diakses.
Hal yang perlu diketahui tentang informasi yang terakhir diakses
Sebelum Anda menggunakan informasi yang terakhir diakses dari laporan untuk mengubah izin IAM identitas atau entitas Organizations, tinjau detail berikut tentang informasi tersebut.
-
Periode pelacakan — Aktivitas terbaru muncul di IAM konsol dalam waktu empat jam. Periode pelacakan untuk informasi layanan setidaknya 400 hari tergantung pada kapan layanan mulai melacak informasi tindakan. Periode pelacakan untuk informasi tindakan Amazon S3 dimulai pada 12 April 2020. Periode pelacakan untuk Amazon EC2IAM,, dan tindakan Lambda dimulai pada 7 April 2021. Periode pelacakan untuk semua layanan lainnya dimulai pada 23 Mei 2023. Untuk daftar layanan yang informasi terakhir diakses tindakan yang tersedia, lihatIAMtindakan terakhir diakses layanan informasi dan tindakan. Untuk informasi selengkapnya tentang tindakan Wilayah mana yang terakhir diakses informasi tersedia, lihatTempat AWS melacak informasi terakhir yang diakses.
-
Upaya dilaporkan — Layanan data terakhir diakses mencakup semua upaya untuk mengakses AWS API, bukan hanya upaya yang berhasil. Ini termasuk semua upaya yang dilakukan menggunakan AWS Management Console, AWS API melalui salah satuSDKs, atau salah satu alat baris perintah. Entri tak terduga dalam layanan data terakhir yang diakses tidak berarti akun Anda telah disusupi, karena permintaan tersebut mungkin ditolak. Lihat CloudTrail log Anda sebagai sumber otoritatif untuk informasi tentang semua API panggilan dan apakah mereka berhasil atau ditolak aksesnya.
-
PassRole—
iam:PassRoleTindakan tidak dilacak dan tidak termasuk dalam IAM tindakan informasi yang diakses terakhir. -
Action last access information — Action last access information tersedia untuk tindakan manajemen layanan yang diakses oleh IAM identitas. Lihat daftar layanan dan tindakan mereka untuk tindakan yang terakhir diakses melaporkan informasi.
catatan
Informasi tindakan yang terakhir diakses tidak tersedia untuk peristiwa data Amazon S3.
-
Peristiwa manajemen - IAM menyediakan informasi tindakan untuk peristiwa manajemen layanan yang dicatat oleh CloudTrail. Terkadang, peristiwa CloudTrail manajemen juga disebut operasi pesawat kontrol atau peristiwa pesawat kontrol. Acara manajemen memberikan visibilitas ke dalam operasi administratif yang dilakukan pada sumber daya di Anda Akun AWS. Untuk mempelajari selengkapnya tentang peristiwa manajemen di CloudTrail, lihat peristiwa pengelolaan log di Panduan AWS CloudTrail Pengguna.
-
Laporkan pemilik – Hanya penanggung jawab yang membuat laporan yang dapat melihat detail laporan. Ini berarti bahwa ketika Anda melihat informasi di AWS Management Console, Anda mungkin harus menunggu untuk menghasilkan dan memuat. Jika Anda menggunakan AWS CLI atau AWS API untuk mendapatkan detail laporan, kredensional Anda harus sesuai dengan kredensi prinsipal yang menghasilkan laporan. Apabila Anda menggunakan kredensial sementara untuk peran atau pengguna gabungan, Anda harus membuat dan mengambil laporan selama sesi yang sama. Untuk informasi lebih lanjut tentang penanggung jawab sesi peran yang diasumsikan, lihat AWS JSONelemen kebijakan: Principal.
-
IAMsumber daya — Informasi yang terakhir diakses untuk IAM mencakup IAM sumber daya (peran, pengguna, IAM grup, dan kebijakan) di akun Anda. Informasi terakhir yang diakses untuk Organizations mencakup prinsipal (IAMpengguna, IAM peran, atau Pengguna root akun AWS) dalam entitas Organizations tertentu. Informasi terakhir yang diakses tidak termasuk upaya yang tidak diautentikasi.
-
IAMJenis kebijakan — Informasi terakhir yang diakses untuk IAM mencakup layanan yang diizinkan oleh kebijakan IAM identitas. Ini merupakan kebijakan yang melekat pada suatu peran atau terlampir pada pengguna secara langsung atau melalui grup. Akses yang diperbolehkan oleh jenis kebijakan lain tidak termasuk dalam laporan Anda. Jenis kebijakan yang dikecualikan mencakup kebijakan berbasis sumber daya, daftar kontrol akses, batasan IAM izin AWS Organizations SCPs, dan kebijakan sesi. Izin yang disediakan oleh peran terkait layanan ditentukan oleh layanan yang ditautkan dan tidak dapat dimodifikasi. IAM Untuk mempelajari lebih lanjut tentang peran terkait layanan, lihat Buat peran tertaut layanan Untuk mempelajari cara jenis kebijakan yang berbeda dievaluasi untuk memungkinkan atau menolak akses, lihat Logika evaluasi kebijakan.
-
Jenis kebijakan Organizations — Informasi untuk hanya AWS Organizations mencakup layanan yang diizinkan oleh kebijakan kontrol layanan warisan entitas Organizations (SCPs). SCPsadalah kebijakan yang dilampirkan ke root, OU, atau akun. Akses yang diperbolehkan oleh jenis kebijakan lain tidak termasuk dalam laporan Anda. Jenis kebijakan yang dikecualikan mencakup kebijakan berbasis identitas, kebijakan berbasis sumber daya, daftar kontrol akses, batas izin, dan kebijakan sesi. IAM Untuk mempelajari cara berbagai jenis kebijakan dievaluasi untuk memungkinkan atau menolak akses, lihat Logika evaluasi kebijakan.
-
Menentukan ID kebijakan — Saat Anda menggunakan AWS CLI atau membuat laporan AWS API untuk informasi yang terakhir diakses di Organizations, Anda dapat menentukan ID kebijakan secara opsional. Laporan yang dihasilkan mencakup informasi untuk layanan yang diperbolehkan hanya oleh kebijakan tersebut. Informasi ini mencakup aktivitas akun terbaru di entitas Organisasi yang spesifik atau anak dari entitas tersebut. Untuk informasi selengkapnya, lihat aws iam generate-organizations-access-report atau GenerateOrganizationsAccessReport.
-
Akun manajemen organisasi – Anda harus masuk ke akun manajemen organisasi Anda untuk melihat informasi yang terakhir diakses oleh layanan. Anda dapat memilih untuk melihat informasi untuk akun manajemen menggunakan IAM konsol, AWS CLI, atau AWS API. Laporan yang dihasilkan mencantumkan semua AWS layanan, karena akun manajemen tidak dibatasi olehSCPs. Jika Anda menentukan ID kebijakan di CLI atauAPI, kebijakan akan diabaikan. Untuk setiap layanan, laporan mencakup informasi hanya untuk akun manajemen. Namun, laporan untuk entitas Organisasi lain tidak mengembalikan informasi atas aktivitas di akun manajemen.
-
Pengaturan Organizations — Administrator harus mengaktifkan SCPs di root organisasi Anda sebelum Anda dapat menghasilkan data untuk Organizations.
Izin diperlukan
Untuk melihat informasi yang terakhir diakses di AWS Management Console, Anda harus memiliki kebijakan yang memberikan izin yang diperlukan.
Izin untuk informasi IAM
Untuk menggunakan IAM konsol untuk melihat informasi yang terakhir diakses untuk IAM pengguna, peran, atau kebijakan, Anda harus memiliki kebijakan yang mencakup tindakan berikut:
-
iam:GenerateServiceLastAccessedDetails -
iam:Get* -
iam:List*
Izin ini memungkinkan pengguna melihat hal berikut:
-
Pengguna, kelompok, atau peran yang dilampirkan pada kebijakan terkelola
-
Layanan yang dapat diakses pengguna atau peran
-
Terakhir kali mereka mengakses layanan
-
Terakhir kali mereka mencoba menggunakan tindakan Amazon,, Lambda EC2IAM, atau Amazon S3 tertentu
Untuk menggunakan AWS CLI atau AWS API untuk melihat informasi yang terakhir diaksesIAM, Anda harus memiliki izin yang cocok dengan operasi yang ingin Anda gunakan:
-
iam:GenerateServiceLastAccessedDetails -
iam:GetServiceLastAccessedDetails -
iam:GetServiceLastAccessedDetailsWithEntities -
iam:ListPoliciesGrantingServiceAccess
Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan melihat informasi yang IAM terakhir diakses. Selain itu, ini memungkinkan akses hanya-baca ke semua. IAM Kebijakan ini menetapkan izin untuk akses terprogram dan konsol.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateServiceLastAccessedDetails", "iam:Get*", "iam:List*" ], "Resource": "*" }
Izin untuk informasi AWS Organizations
Untuk menggunakan IAM konsol untuk melihat laporan untuk entitas root, OU, atau akun di Organizations, Anda harus memiliki kebijakan yang mencakup tindakan berikut:
-
iam:GenerateOrganizationsAccessReport -
iam:GetOrganizationsAccessReport -
organizations:DescribeAccount -
organizations:DescribeOrganization -
organizations:DescribeOrganizationalUnit -
organizations:DescribePolicy -
organizations:ListChildren -
organizations:ListParents -
organizations:ListPoliciesForTarget -
organizations:ListRoots -
organizations:ListTargetsForPolicy
Untuk menggunakan AWS CLI atau AWS API untuk melihat layanan informasi yang terakhir diakses untuk Organizations, Anda harus memiliki kebijakan yang mencakup tindakan berikut:
-
iam:GenerateOrganizationsAccessReport -
iam:GetOrganizationsAccessReport -
organizations:DescribePolicy -
organizations:ListChildren -
organizations:ListParents -
organizations:ListPoliciesForTarget -
organizations:ListRoots -
organizations:ListTargetsForPolicy
Contoh ini menunjukkan bagaimana Anda dapat membuat kebijakan berbasis identitas yang memungkinkan melihat layanan informasi yang terakhir diakses untuk Organizations. Selain itu, ini memungkinkan akses baca-saja ke seluruh Organisasi. Kebijakan ini menetapkan izin untuk akses terprogram dan konsol.
{ "Version": "2012-10-17", "Statement": { "Effect": "Allow", "Action": [ "iam:GenerateOrganizationsAccessReport", "iam:GetOrganizationsAccessReport", "organizations:Describe*", "organizations:List*" ], "Resource": "*" } }
Anda juga dapat menggunakan kunci OrganizationsPolicyId kondisi iam: untuk memungkinkan pembuatan laporan hanya untuk kebijakan Organizations tertentu. Untuk contoh kebijakan, lihat IAM: Melihat informasi layanan yang terakhir diakses untuk kebijakan Organizations.
Memecahkan masalah aktivitas untuk dan entitas IAM Organizations
Dalam beberapa kasus, tabel informasi AWS Management Console terakhir Anda yang diakses mungkin kosong. Atau mungkin AWS API permintaan AWS CLI atau Anda mengembalikan sekumpulan informasi kosong atau bidang nol. Dalam kejadian ini, tinjau masalah berikut:
-
Untuk informasi tindakan yang terakhir kali diakses, tindakan yang Anda harapkan untuk dilihat mungkin tidak akan dikembalikan dalam daftar. Ini dapat terjadi baik karena IAM identitas tidak memiliki izin untuk tindakan, atau AWS belum melacak tindakan untuk informasi yang terakhir diakses.
-
Untuk IAM pengguna, pastikan bahwa pengguna memiliki setidaknya satu kebijakan inline atau terkelola yang dilampirkan, baik secara langsung atau melalui keanggotaan grup.
-
Untuk IAM grup, verifikasi bahwa grup memiliki setidaknya satu kebijakan inline atau terkelola yang dilampirkan.
-
Untuk IAM grup, laporan hanya menampilkan layanan informasi yang terakhir diakses untuk anggota yang menggunakan kebijakan grup untuk mengakses layanan. Untuk mempelajari apakah anggota menggunakan kebijakan lain, tinjau informasi yang terakhir diakses untuk pengguna tersebut.
-
Untuk IAM peran, verifikasi bahwa peran tersebut memiliki setidaknya satu kebijakan sebaris atau terkelola yang dilampirkan.
-
Untuk IAM entitas (pengguna atau peran), tinjau jenis kebijakan lain yang mungkin memengaruhi izin entitas tersebut. Ini termasuk kebijakan berbasis sumber daya, daftar kontrol akses, kebijakan, batas IAM izin, atau AWS Organizations kebijakan sesi. Untuk informasi selengkapnya, lihat Jenis kebijakan atau Evaluasi kebijakan untuk permintaan dalam satu akun.
-
Untuk IAM kebijakan, pastikan bahwa kebijakan terkelola yang ditentukan dilampirkan ke setidaknya satu pengguna, grup dengan anggota, atau peran.
-
Untuk entitas Organisasi (root, OU, atau akun), pastikan bahwa Anda masuk menggunakan kredensial akun manajemen Organisasi.
-
Verifikasi SCPsyang diaktifkan di root organisasi Anda.
-
Informasi tindakan yang terakhir diakses hanya tersedia untuk tindakan yang tercantum dalamIAMtindakan terakhir diakses layanan informasi dan tindakan.
Saat Anda membuat perubahan, tunggu setidaknya empat jam hingga aktivitas muncul di laporan IAM konsol Anda. Jika Anda menggunakan AWS CLI atau AWS API, Anda harus membuat laporan baru untuk melihat informasi yang diperbarui.
Tempat AWS melacak informasi terakhir yang diakses
AWS mengumpulkan informasi yang terakhir diakses untuk AWS Wilayah standar. Saat AWS menambahkan Wilayah tambahan, Wilayah tersebut ditambahkan ke tabel berikut, termasuk tanggal yang AWS mulai melacak informasi di setiap Wilayah.
-
Informasi layanan — Periode pelacakan untuk layanan setidaknya 400 hari, atau kurang jika Wilayah Anda mulai melacak fitur ini dalam 400 hari terakhir.
-
Informasi tindakan – Periode pelacakan untuk tindakan manajemen Amazon S3 dimulai pada 12 April 2020. Periode pelacakan untuk Amazon EC2IAM,, dan tindakan manajemen Lambda dimulai pada 7 April 2021. Periode pelacakan untuk tindakan manajemen semua layanan lainnya dimulai pada 23 Mei 2023. Jika tanggal pelacakan suatu Wilayah lebih lambat dari 23 Mei 2023, maka tindakan yang terakhir diakses informasi dari Wilayah tersebut akan dimulai di kemudian hari.
| Nama Wilayah | Region | Tanggal mulai pelacakan |
|---|---|---|
| AS Timur (Ohio) | as-timur-2 | 27 Oktober 2017 |
| AS Timur (Virginia Utara) | as-timur-1 | 1 Oktober 2015 |
| AS Barat (California Utara) | as-barat-1 | 1 Oktober 2015 |
| AS Barat (Oregon) | as-barat-2 | 1 Oktober 2015 |
| Afrika (Cape Town) | af-selatan-1 | 22 April 2020 |
| Asia Pasifik (Hong Kong) | ap-timur-1 | 24 April 2019 |
| Asia Pasifik (Hyderabad) | ap-south-2 | 22 November 2022 |
| Asia Pasifik (Jakarta) | ap-southeast-3 | 13 Desember 2021 |
| Asia Pasifik (Melbourne) | ap-southeast-4 | 23 Januari 2023 |
| Asia Pasifik (Mumbai) | ap-selatan-1 | 27 Juni 2016 |
| Asia Pacific (Osaka) | ap-northeast-3 | Februari 11, 2018 |
| Asia Pasifik (Seoul) | ap-timur laut-2 | 6 Januari 2016 |
| Asia Pasifik (Singapura) | ap-tenggara-1 | 1 Oktober 2015 |
| Asia Pasifik (Sydney) | ap-tenggara-2 | 1 Oktober 2015 |
| Asia Pasifik (Tokyo) | ap-timur laut-1 | 1 Oktober 2015 |
| Kanada (Pusat) | ca-sentral-1 | 28 Oktober 2017 |
| Eropa (Frankfurt) | eu-sentral-1 | 1 Oktober 2015 |
| Eropa (Irlandia) | eu-barat-1 | 1 Oktober 2015 |
| Eropa (London) | eu-barat-2 | 28 Oktober 2017 |
| Eropa (Milan) | eu-selatan-1 | 28 April 2020 |
| Eropa (Paris) | eu-barat-3 | 18 Desember 2017 |
| Eropa (Spanyol) | eu-south-2 | 15 November 2022 |
| Eropa (Stockholm) | eu-utara-1 | 12 Desember 2018 |
| Eropa (Zürich) | eu-central-2 | 8 November 2022 |
| Israel (Tel Aviv) | il-central-1 | 1 Agustus 2023 |
| Timur Tengah (Bahrain) | me-selatan-1 | 29 Juli 2019 |
| Timur Tengah (UAE) | me-central-1 | 30 Agustus 2022 |
| Amerika Selatan (Sao Paulo) | sa-timur-1 | 11 Desember 2015 |
| AWS GovCloud (AS-Timur) | us-gov-east-1 | Juli 1, 2023 |
| AWS GovCloud (AS-Barat) | us-gov-west-1 | Juli 1, 2023 |
Jika region tidak tercantum dalam tabel sebelumnya, maka region tersebut belum memberikan informasi yang terakhir diakses.
AWS Wilayah adalah kumpulan AWS sumber daya di wilayah geografis. Region-region dikelompokkan menjadi beberapa bagian. Region standar adalah region yang termasuk ke bagian aws. Untuk informasi selengkapnya tentang partisi yang berbeda, lihat Format Amazon Resource Names (ARNs) di. Referensi Umum AWS Untuk informasi selengkapnya tentang Wilayah, lihat Tentang AWS Wilayah juga di Referensi Umum AWS.
