跳至主内容

身份

身份 选项卡提供不同身份类型的概览:用户、角色、群组和服务账户:

CSPM_Asset_Inventory_Identities_page_cp_455087_en.png

  1. 身份概览 。按身份类型分组的身份聚合计数。

    注意

    每列显示各身份类型的身份数量,您可使用筛选选项自定义下表所列信息。

    提供以下列及筛选器:

    • IAM用户

    • IAM角色

    • IAM群组

    • IAM服务账户

    若对一个或多个列应用筛选选项,数据将自动填充至搜索筛选器,身份列表将根据您的选择自动刷新。您可通过从每列移除部分预选选项,进一步自定义和优化搜索。

    CSPM_Asset_Inventory_Identities_filter_options_cp_455087_en.png

  2. 搜索筛选器 通过此筛选选项,您可对身份列表应用单个或多个筛选器。下拉菜单中提供以下选项:

    • 身份ID

    • 身份名称

    • 身份状态

    • 身份类型

    • 提供商

    • 扫描账户

    • 扫描组

    • 敏感访问

    搜索筛选器下拉菜单可单独作为自定义选项使用,也可与搜索筛选器上方的列联合使用。

    CSPM_Asset_Inventory_Identities_filter_cp_455087_en.png

  3. 身份列表 本部分显示当前检测到的跨云设备身份列表,这些身份用于收集数据。包含以下列:

    • 身份名称/ID

    • 范围

    • 敏感访问

    • 资源数量

    • 权限

    • 风险发现

身份详情

点击任意列的行可显示 身份详情 面板,其中包含以下详细信息:

CSPM_Asset_Inventory_Identities_details_panel_cp_455087_en.png

  • 访问图谱 按钮

  • 名称

  • ID

  • 范围

  • 敏感访问

  • 关键风险

您可能在详情面板中看到列出的关键风险包括:

关键风险

定义

发现访问密钥(AWS)

在AWS根账户上发现访问密钥。

未启用MFA(AWS、GCP、Azure)

该身份未启用多因素认证(仅限具有控制台访问权限的身份)。

未使用身份(AWS、GCP)

该身份自创建后从未被使用过。

闲置身份(AWS、GCP)

该身份超过90天未使用。

需更新密码(AWS、Azure)

密码最近一次更新超过90天(仅限已分配密码且可登录云控制台的身份)。

需轮换密钥(AWS、Azure)

访问密钥最近一次轮换超过90天(仅限已分配访问密钥的身份)。

下半部分的 身份详情 面板包含以下内容:

  • 发现项

  • 资源

    • 资源类型

    • 权限

  • 策略 包含以下列及可用筛选器:

    • 策略

      • 预定义

      • 自定义

      • 基于身份

      • 基于资源

    • 敏感访问

      • 根用户

      • 超级管理员

      • IAM管理员

    • 范围

      • 组织

      • 文件夹

      • 项目

      • 账户

      • 订阅

    • 权限

      • 读取(R)

      • 写入(W)

      • 标记(T)

      • 列出(L)

      • 权限(P)

      • 其他(O)

      若存在已分配但未使用的权限,权限链接下方将显示一个提示链接。

      该链接显示未使用服务数量及身份分配服务总数。点击链接可查看 未使用权限 窗口。

  • 元数据

访问图谱

访问图谱 按钮 提供云环境中从身份到资源的精细化访问路径视图。图谱会随每次扫描自动更新,无需额外设置步骤。

CSPM_Asset_Inventory_Identities_graph_overview_cp_455085_en.png

默认情况下,图谱会缩略显示所有资源和身份。缩放比例显示在图例旁,点击眼睛图标也可查看。放大可更细致观察图谱。

CSPM_Asset_Inventory_Resources_graph_legend_cp_455085_en.png

点击任意节点可在侧面板查看详情,同时高亮显示其在图谱中的关联路径。

CSPM_Asset_Inventory_Identities_graph_node_cp_455085_en.png

所有访问图谱组件的列表可在此 此处 .

未使用权限

注意

该功能目前仅适用于AWS账户。

查看未使用权限需按以下步骤操作:

  1. 进入 资产清单 > 身份 .

  2. 从列表中选择身份并打开 身份详情 面板。

  3. 身份详情 面板中点击 策略 标签页。

  4. 权限 列中点击该行对应的链接。

    CSPM_Asset_Inventory_Identities_unused_permissions_link_cp_455085_en.png

    注意

    仅当存在未使用权限时才会显示该链接。

新窗口将展示该特定身份所分配权限的详细信息。

CSPM_Asset_Inventory_Identities_unused_permissions_window_cp_455085_en.png

  1. 身份信息 - 本部分包含身份的基本信息,分为两个子部分:

    • 身份详情 - 本部分提供以下信息:

      CSPM_Asset_Inventory_Identities_unused_permissions_identy_details_cp_455085_en.png

      • 身份 - 身份名称

      • 敏感访问 - 突出显示与该身份关联的特权访问权限

        • 超级管理员 - 可对任何资源/服务执行任何操作

        • IAM管理员 - 拥有访问控制管理权限

        • 根用户 - 拥有无限制访问权限(云账户所有者)

      • 账户 - 该身份所属的云账户

      • 关键风险 - 与该身份关联的关键风险

      本部分还提供跳转至 身份详情 访问图谱 页面的链接

    • 含未使用权限的策略 - 本部分提供以下信息:

      CSPM_Asset_Inventory_Identities_unused_permissions_policy_cp_455085_en.png

      • 策略 - 权限所关联的策略名称

      • 组别/类型 - 策略的组别和类型

      • 未使用权限 - 未使用权限数量及总权限数量

      本部分还提供跳转至 策略JSON (包含元数据信息) 策略ID (显示策略完整ID)的链接

  2. 发现项 - 本部分列出表明该身份所获权限的发现项

    CSPM_Asset_Inventory_Identities_unused_permissions_findings_cp_455085_en.png

    • 描述 - 本节提供关于身份及其关联权限的简要描述。

    • 解决 按钮 - 此选项将显示 解决 面板,其中提供解决页面上所显示发现的选项。

    • 表格/图形 按钮 - 此切换键允许您在表格视图和图形化表示之间切换发现内容。

    • 服务 - 本节列出与身份关联的所有服务。每个服务均以颜色代码标记:

      • 绿色 - 该服务关联的所有权限在过去90天内均被使用过。

      • 红色 - 该服务关联的所有权限在过去90天内均未被使用过。

      • 黄色 - 该服务关联的部分权限在过去90天内被使用过。

      点击服务可查看 操作 部分中所有关联权限的信息。

    • 服务 部分 旁的网格提供特定服务关联权限的信息,并可通过两个可用筛选器进行自定义:

      • 权限

      • 使用情况

导出数据

要导出当前在“身份”页面显示的数据,请点击身份概览部分顶部的“导出”按钮。

信息将以.CSV文件格式下载。

在本节中 :