AWS IAM Access Analyzer新增未使用访问检测功能

AWS最近在其IAM Access Analyzer工具中新增了检测未使用访问权限的功能。该功能可以识别未使用的角色、IAM用户访问密钥和密码，以及在定义的使用窗口内未使用的权限。此分析可以在组织内的多个账户中进行，并通过委派的管理员账户进行控制。

分析器类型与创建方式

AWS IAM Access Analyzer目前有两种类型的分析器：外部访问发现和未使用访问发现。这两种分析器是独立的，需要单独创建。分析器可以在组织级别或账户级别创建，可以通过控制台或API创建。需要注意的是，虽然分析器在区域级别创建，但它分析的是全局的IAM组件。建议仅在存储发现的区域创建未使用发现分析器，因为在多个区域创建多个分析器不会生成新的发现，但会增加成本。

检测机制与结果显示

IAM Access Analyzer使用服务链接角色来审查组织中角色、用户访问密钥和用户密码的最后访问信息。IAM服务和操作的最后访问信息用于识别未使用的权限。分析器可以检测所有服务级别权限和200个服务在操作级别的未使用权限，基于支持跟踪最后访问信息的操作。结果显示在IAM Access Analyzer发现仪表板中，按未使用角色、凭证和权限分类展示。仪表板还展示了具有最多活跃发现的账户。

发现分类与集成

发现被分类为活跃、已解决或已归档。一旦删除未使用的资源，活跃发现将自动移动到已解决。发现可以通过归档手动抑制，可以创建归档规则以根据属性自动归档发现。IAM Access Analyzer与Amazon EventBridge和AWS Security Hub集成，可以通过EventBridge规则在发现新发现时自动通知账户所有者。

付费功能与可用性

新的未使用访问分析器是付费功能，服务费用基于每月每个分析器分析的IAM角色和用户数量。该功能在所有AWS区域中可用，不包括AWS GovCloud（US）区域和AWS中国区域。更多详细信息可以在IAM Access Analyzer文档中找到。