跳至主内容

身份

身份 选项卡展示不同身份类型的概览:用户、角色、群组和服务账户:

CSPM_Asset_Inventory_Identities_page_cp_455087_en.png

  1. 身份概览 。按身份类型分组的身份聚合计数。

    注意

    每列显示各身份类型对应的身份数量,您可使用筛选选项自定义下方表格中列出的信息。

    提供以下列及筛选条件:

    • IAM用户

    • IAM角色

    • IAM组

    • IAM服务账户

    若对一列或多列应用筛选条件,数据将自动填充至搜索筛选器,身份列表将根据您的选择实时刷新。您可通过移除各列中预设选项进一步定制和优化搜索。

    CSPM_Asset_Inventory_Identities_filter_options_cp_455087_en.png

  2. 搜索筛选器 该筛选功能允许您对身份列表应用单个或多个筛选条件。下拉菜单提供以下选项:

    • 身份ID

    • 身份名称

    • 身份状态

    • 身份类型

    • 提供商

    • 扫描账户

    • 扫描组

    • 敏感访问

    搜索筛选器下拉菜单可单独使用,也可与筛选器上方的列联合使用。

    CSPM_Asset_Inventory_Identities_filter_cp_455087_en.png

  3. 身份列表 本区域显示当前检测到的云设备中用于收集数据的身份列表,包含以下列:

    • 身份名称/ID

    • 范围

    • 敏感访问

    • 资源数量

    • 权限

    • 风险发现

身份详情

点击任意列中的行可显示 身份详情 面板,其中包含以下详细信息:

CSPM_Asset_Inventory_Identities_details_panel_cp_455087_en.png

  • 访问图谱 按钮

  • 名称

  • ID

  • 范围

  • 敏感访问

  • 关键风险

您可能在详情面板中看到列出的关键风险包括:

关键风险

定义

发现访问密钥(AWS)

在AWS根账户上发现访问密钥。

未启用多因素认证(AWS、GCP、Azure)

该身份未启用MFA(仅限具有控制台访问权限的身份)。

未使用身份(AWS、GCP)

自创建以来该身份从未被使用过。

非活跃身份(AWS、GCP)

该身份超过90天未使用。

需更新密码(AWS、Azure)

密码最近一次更新超过90天(仅限已分配密码且可登录云控制台的身份)。

需轮换密钥(AWS、Azure)

访问密钥最近一次轮换超过90天(仅限已分配访问密钥的身份)。

身份详情面板 的下半部分 包含以下内容:

  • 发现项

  • 资源

    • 资源类型

    • 权限

  • 策略 包含以下列和可用筛选条件:

    • 策略

      • 预定义

      • 自定义

      • 基于身份

      • 基于资源

    • 敏感访问

      • 根用户

      • 超级管理员

      • IAM管理员

    • 范围

      • 组织

      • 文件夹

      • 项目

      • 账户

      • 订阅

    • 权限

      • 读取 (R)

      • 写入 (W)

      • 标记 (T)

      • 列出 (L)

      • 权限 (P)

      • 其他 (O)

      若存在已分配给身份但未使用的权限,权限链接下方将显示提示链接。

      该链接显示未使用服务数量及身份分配的服务总数。点击链接可查看 未使用权限 窗口。

  • 元数据

访问图谱

访问图谱 按钮提供对云环境中从身份到资源的访问路径的细粒度视图。该图谱会随每次扫描自动更新,无需额外设置步骤。

CSPM_Asset_Inventory_Identities_graph_overview_cp_455085_en.png

默认情况下,图谱会缩略显示所有资源和身份。缩放比例可在地图图例旁查看(点击旁边的眼睛图标也可显示图例)。放大可对图谱进行更细致的检查。

CSPM_Asset_Inventory_Resources_graph_legend_cp_455085_en.png

点击任意节点可在侧边面板显示其详细信息,同时会在图谱中高亮其连接路径。

CSPM_Asset_Inventory_Identities_graph_node_cp_455085_en.png

所有访问图谱组件的列表可 在此 .

未使用权限

注意

该功能目前仅适用于AWS账户。

查看未使用权限的步骤如下:

  1. 进入 资产清单 > 身份 .

  2. 从列表中选择身份并打开 身份详情 面板。

  3. 身份详情 面板中点击 策略 标签页。

  4. 权限 列中点击该行对应的链接。

    CSPM_Asset_Inventory_Identities_unused_permissions_link_cp_455085_en.png

    注意

    仅当存在未使用权限时才会显示该链接。

新窗口将提供关于特定身份所分配权限的更多信息。

CSPM_Asset_Inventory_Identities_unused_permissions_window_cp_455085_en.png

  1. 身份信息 - 此部分提供关于身份的基本信息,包含两个子部分:

    • 身份详情 - 此部分提供以下信息:

      CSPM_Asset_Inventory_Identities_unused_permissions_identy_details_cp_455085_en.png

      • 身份名称 - 该身份的名称。

      • 敏感访问 - 突出显示与该身份关联的特权访问权限。

        • 超级管理员 - 可对任何资源/服务执行任何操作

        • IAM管理员 - 拥有访问控制管理权限

        • 根用户 - 拥有无限制访问权限(云账户所有者)

      • 所属账户 - 该身份归属的云账户。

      • 关键风险 - 与该身份关联的关键风险。

      此部分还提供跳转至 身份详情 访问图谱 页面的链接。

    • 含未使用权限的策略 - 此部分提供以下信息:

      CSPM_Asset_Inventory_Identities_unused_permissions_policy_cp_455085_en.png

      • 策略名称 - 权限所关联的策略名称。

      • 组别/类型 - 策略的组别和类型。

      • 未使用权限 - 未使用权限与总权限的数量。

      此部分还提供跳转至 策略JSON (包含元数据信息)的链接,以及 策略ID ,此处显示策略的完整ID。

  2. 发现项 ——本部分列出了表明该身份已获得哪些权限的发现项。

    CSPM_Asset_Inventory_Identities_unused_permissions_findings_cp_455085_en.png

    • 描述 ——本部分提供关于该身份及相关权限的简要说明。

    • 解决 按钮——此选项会显示 解决 面板,其中提供了如何处理页面所显示发现项的操作选项。

    • 表格/图表 按钮——此切换键可让您在表格视图与图形化视图之间转换发现项的展示形式。

    • 服务 ——本部分列出与该身份关联的所有服务,每个服务均以颜色代码标记:

      • 绿色 ——该服务关联的所有权限在过去90天内均被使用过。

      • 红色 ——该服务关联的所有权限在过去90天内均未被使用过。

      • 黄色 ——该服务关联的部分权限在过去90天内被使用过。

      点击某个服务可在 操作 部分查看其所有关联权限的信息。

    • 紧邻 服务 部分的表格提供了特定服务关联权限的详细信息,并可通过以下两个筛选器进行自定义设置:

      • 权限

      • 使用情况

导出数据

若要导出当前身份页面显示的数据,请点击身份概览区域顶部的导出按钮。

信息将以.CSV文件格式下载。

本节内容 :