本文为您介绍如何通过外部访问分析器识别资源目录或当前账号内资源允许的外部访问。
概述
什么是外部访问分析器
外部访问分析器可以帮助您识别当前账号或资源目录内与外部账号共享的资源。阿里云的部分资源(例如:OSS Bucket或RAM角色),支持基于资源的策略,允许授予账号外身份对资源的访问。外部访问分析器会持续监测您的资源目录或当前账号内的这类资源,对存在共享给外部身份的资源生成分析结果,帮助您识别非预期的资源分享,降低企业安全风险。 每条分析结果都包含资源授予的外部身份以及授予的操作权限信息。
信任区
创建分析器时,您可以选择分析范围为当前账号或资源目录,这个范围就是分析器的信任区。分析器会监测信任区内支持分析的资源,并且认为信任区内身份对资源的访问是可信的。如果信任区是当前账号,则本账号内身份被认为是可信的,其他账号内身份被认为是非可信的。如果信任区是资源目录,则本账号所属资源目录内的所有账号的身份均被认为是可信的,资源目录外其他账号内身份被认为是非可信的。
支持外部访问分析器的资源类型
OSS Bucket
对于OSS Bucket,外部访问分析器会分析Bucket的ACL和Bucket Policy,并结合“阻止公共访问”的配置生成最终分析结果。如果分析范围(即信任区)内的Bucket允许信任区外的实体访问,也包括匿名用户,分析器会为Bucket生成一条待处理的分析结果。
RAM角色
对于RAM角色,外部访问分析器会分析角色的信任策略。信任策略是一种基于资源的策略,在创建RAM角色时指定。在信任策略中,可以指定允许扮演该RAM角色的可信实体。如果信任区内的RAM角色允许信任区外的实体访问,分析器会为角色生成一条待处理的分析结果。
创建外部访问分析器
使用RAM管理员登录RAM控制台。
在左侧导航栏,选择。
在顶部菜单栏,选择地域。
说明外部访问分析器仅分析分析器所在地域的资源。如需分析其他地域资源,您需要在对应地域创建分析器。中心化部署的资源(如:RAM 角色)可被任意地域的分析器监测分析。
单击创建分析器,然后输入分析器名称、选择分析类型为外部访问、设置分析范围,最后单击创建分析器。
说明只支持在资源目录管理账号下创建分析范围为资源目录的分析器。
创建分析器后,会开始检测资源存在的外部访问情况,您需要等待一会才能看到分析结果。
查看并处理外部访问分析结果
查看分析结果
您可以在分析器页面或分析结果页面,查看分析结果。
分析器页面:
分析结果页面:
筛选分析结果
对于分析结果,支持基于资源、资源类型、资源所有者、结果状态等多个条件进行筛选,方便您快速查看所需分析结果。
具体支持的筛选项以控制台界面显示为准。
例如:设置如下条件,可以快速查看是否存在公开访问。
查看分析结果详情
在分析结果列表中,单击结果ID,可以查看详情。
针对分析结果,您可以:
对于符合您预期的资源共享行为,单击归档结果,直接将其归档。
对于不符合您预期的资源共享行为,单击前往治理(当前账号内的资源)或复制资源URL(非当前账号内的资源),跳转到对应页面进行治理。
自动归档分析结果
除了可以针对单个分析结果进行手动归档外,您还可以设置归档规则,自动归档无需治理的分析结果。
您可以在分析结果页面设置并保存归档规则,设置完规则后,会对新产生的符合归档规则的分析结果进行自动归档。
但是,设置规则前的分析结果不会自动归档,如您需要,可以在分析器详情页面单击应用归档规则,将其归档。
