本文为您介绍如何通过过度授权分析器识别资源目录或当前账号内过度授权的身份。
概述
什么是过度授权分析器
过度授权分析器可以帮助您识别和查看资源目录或当前账号内过度授权的身份。分析器会持续监测您的资源目录或当前账号内的所有RAM身份(RAM用户和RAM角色),对存在过度授权的身份生成对应的分析结果。分析器产生的分析结果包含超级管理员用户/角色、特权用户/角色、不活跃的用户/角色、过度授权的用户/角色。每条分析结果还会进一步提供身份拥有的权限,以及权限的最近访问信息。
-
超级管理员用户/角色:拥有账号内所有资源管理权限的RAM身份(RAM用户或RAM角色)。例如,被授予AdministratorAccess权限策略的RAM用户或RAM角色。
-
特权用户/角色:拥有高危特权的RAM身份(RAM用户或RAM角色)。拥有这类特权的RAM身份往往可以为自己或其他RAM身份提升权限,使得他们获得更高的访问权限。目前支持识别的特权列表,请参见特权列表。
-
不活跃的用户/角色:在指定的闲置访问周期内,没有任何权限访问活动的RAM身份(RAM用户或RAM角色)。
-
过度授权的用户/角色:在指定的闲置访问周期内,拥有未使用的服务粒度和操作粒度权限的RAM身份(RAM用户或RAM角色)。
过度授权分析器的支持范围
过度授权类型的分析器会查看资源目录或当前账号内所有RAM身份(服务关联角色除外)的权限审计信息,并使用权限审计信息产生分析结果。权限审计功能提供了RAM身份所拥有的权限,以及权限的最近访问时间。因此,过度授权分析器所支持的策略类型、云服务列表及审计粒度与权限审计保持一致。具体信息,请参见权限审计概览。
创建过度授权分析器
-
使用RAM管理员登录RAM控制台。
-
在左侧导航栏,选择。
-
单击创建分析器,然后选择分析类型为过度授权、输入分析器名称、设置闲置访问周期和分析范围,最后单击创建分析器。
其中,闲置访问周期是用来确定闲置的判断范围,取值范围为1~180天,默认值为90天。 例如:将闲置访问周期设置为90,意味着超过90天未使用的权限将被判定为闲置。
说明只支持在资源目录管理账号下创建分析范围为资源目录的分析器。
创建分析器时需选择地域(分析结果不受地域影响)。创建完成后将自动创建服务关联角色
AliyunServiceRoleForAccessAnalyzer。
创建分析器后,会开始检测RAM身份及权限,您需要等待一会才能查看分析结果。
查看并处理过度授权分析结果
查看分析结果
您可以在分析器或分析结果页面,查看分析结果。
在分析器详情页,基本信息区域展示分析器名称、运行状态、分析类型(如过度授权)、分析范围(如当前账号)、创建时间、ARN、最近分析时间和闲置访问周期(如90天)。页面下方包含分析结果和归档规则两个页签。在分析结果页签中,可按结果状态筛选(如待处理),表格展示结果ID、资源、资源所有者、已访问服务/已授予服务、结果状态、更新时间和操作列,每条结果标识发现类型(如不活跃的角色、特权用户)。
分析结果页面:
-
图形化样式
数据概览页签展示待处理的分析结果统计,包括超级管理员用户、超级管理员角色、特权用户、特权角色、不活跃的用户、不活跃的角色、过度授权的用户、过度授权的角色等分类及其数量与占比,并以环形图呈现各类别分布。
资源目录:会额外展示资源目录内待处理分析结果数量Top5成员账号。
-
列表样式
在 访问分析 > 分析结果 页面,左侧选择目标分析器(例如 Test-1,类型为 过度授权),右侧切换到 结果列表 页签。可通过筛选条件(如 结果状态 等于 待处理)过滤结果。结果表格包含 结果 ID、资源、资源所有者、已访问服务/已授予服务、结果状态、更新时间 和 操作 列,展示不活跃角色的分析结果及其已访问与已授予服务数量,可对结果执行 归档结果 操作。
筛选分析结果
对于分析结果,支持基于资源、资源类型、资源所有者、结果状态、结果类型等多个条件进行筛选,方便您快速查看所需分析结果。
具体支持的筛选项以控制台界面显示为准。
例如:设置如下条件,可以快速查看RAM用户的过度授权分析结果。
设置筛选键为资源类型,匹配方式为等于,筛选值为访问控制 - 用户,同时添加筛选条件结果状态等于待处理,单击搜索按钮执行筛选。
查询结果可能会包括超级管理员用户、特权用户、不活跃的用户和过度授权的用户。您可以继续基于查询结果,添加筛选条件(筛选键为结果类型,匹配方式为等于),仅筛选出类型为过度授权的用户的数据。
查看分析结果详情
在分析结果列表中,单击结果 ID,可以查看详情。
分析结果详情页包含基本信息和详细信息两部分。基本信息区域展示结果类型、结果状态、资源类型、分析器名称等字段。详细信息区域展示身份的创建时间、最后访问时间及已访问服务/已授予服务比例。底部为访问记录表格,按服务维度展示已访问操作与已授予操作的对比详情。页面右上角还提供重新扫描按钮。
针对分析结果,您可以:
-
对于符合您预期的授权行为,单击归档结果,直接将其归档。
-
对于不符合您预期的授权行为,单击前往治理(当前账号内的资源)或复制资源 URL(非当前账号内的资源),跳转到对应页面进行治理。
自动归档分析结果
除了可以针对单个分析结果进行手动归档外,您还可以设置归档规则,自动归档无需治理的分析结果。
您可以在分析结果页面设置并保存归档规则,设置完规则后,会对新产生的符合归档规则的分析结果进行自动归档。
在结果列表页面,通过筛选键、匹配方式和筛选值下拉框设置筛选条件后,单击保存为归档规则。
但是,设置规则前的分析结果不会自动归档,如您需要,可以在分析器详情页面单击应用归档规则,将其归档。在归档规则列表的操作列可看到「应用」按钮。
特权列表
拥有高危操作权限的RAM身份(RAM用户或RAM角色)会被识别为特权用户/角色。目前支持识别的权限点如下表所示。
|
云产品 |
高危操作 |
|
访问控制 |
ram:AddUserToGroup |
|
ram:AttachPolicyToGroup |
|
|
ram:AttachPolicyToRole |
|
|
ram:AttachPolicyToUser |
|
|
ram:CreateAccessKey |
|
|
ram:CreatePolicyVersion |
|
|
ram:DeletePolicy |
|
|
ram:DeletePolicyVersion |
|
|
ram:DetachPolicyFromGroup |
|
|
ram:DetachPolicyFromRole |
|
|
ram:DetachPolicyFromUser |
|
|
ram:RemoveUserFromGroup |
|
|
ram:SetDefaultPolicyVersion |
|
|
ram:UpdateAccessKey |
|
|
ram:UpdateRole |
|
|
ram:CreateLoginProfile |
|
|
ram:UpdateLoginProfile |
|
|
ram:SetSecurityPreference |
|
|
ram:RestoreAccessKeyFromRecycleBin |
|
|
ram:SetUserSsoSettings |
|
|
ram:CreateSAMLProvider |
|
|
ram:UpdateSAMLProvider |
|
|
ram:UpdateOIDCProvider |
|
|
ram:AddClientIdToOIDCProvider |
|
|
ram:AddFingerprintToOIDCProvider |
|
|
资源管理 |
ram:AttachPolicy |
|
ram:DetachPolicy |
|
|
resourcemanager:EnableResourceDirectory |
|
|
resourcemanager:CreateResourceAccount |
|
|
resourcemanager:InviteAccountToResourceDirectory |
|
|
resourcemanager:UpdateAccount |
|
|
resourcemanager:DisableControlPolicy |
|
|
resourcemanager:UpdateControlPolicy |
|
|
resourcemanager:DeleteControlPolicy |
|
|
resourcemanager:AttachControlPolicy |
|
|
resourcemanager:DetachControlPolicy |
|
|
resourcemanager:RegisterDelegatedAdministrator |
|
|
云SSO |
cloudsso:EnableDelegateAccount |
|
cloudsso:UpdateUserStatus |
|
|
cloudsso:ResetUserPassword |
|
|
cloudsso:SetLoginPreference |
|
|
cloudsso:AddUserToGroup |
|
|
cloudsso:RemoveUserFromGroup |
|
|
cloudsso:SetExternalSAMLIdentityProvider |
|
|
cloudsso:AddExternalSAMLIdPCertificate |
|
|
cloudsso:AddPermissionPolicyToAccessConfiguration |
|
|
cloudsso:RemovePermissionPolicyFromAccessConfiguration |
|
|
cloudsso:UpdateInlinePolicyForAccessConfiguration |
|
|
cloudsso:ProvisionAccessConfiguration |
|
|
cloudsso:DeprovisionAccessConfiguration |
|
|
cloudsso:CreateAccessAssignment |
|
|
cloudsso:DeleteAccessAssignment |
|
|
cloudsso:CreateSCIMServerCredential |
|
|
cloudsso:UpdateSCIMServerCredentialStatus |
|
|
cloudsso:SetSCIMSynchronizationStatus |