监控和优化 IAM 访问分析器中未使用的访问分析器的成本

作者: Oscar Diaz, Avi Harari |

Amazon Identity and Access Management (IAM) 访问分析器是一项功能,您可以使用它来识别您的亚马逊云科技组织和账户中与外部实体共享的资源,并识别未使用的访问权限。在这篇文章中,我们将探讨 IAM Access Analyzer 中未使用的访问分析器的工作原理,深入探讨成本影响,并分享管理和优化其使用方式的实用方法,主要侧重于成本优化。

注意:虽然管理 Amazon Identity and Access Management (IAM) 资源的安全优秀实践至关重要,但本文强调的是节省成本的策略,而非详细的安全指导。我们不在此处介绍建议的分步实施细节;相反,我们提供了资源链接,您可以将其用作流程指南。

了解 IAM 访问分析器中未使用的访问分析器

IAM 访问分析器有两种生成调查结果的功能:

  • 外部访问分析(不收取额外费用):确定与外部实体共享的资源。每个拥有资源的亚马逊云科技区域都需要一个分析器。
  • 未使用的访问分析(付费):检测未使用的角色、访问密钥和权限。它只需要每个亚马逊云科技账户一个分析器,并通过单个分析器分析跨区域的 IAM 角色和用户。

外部访问分析和未使用访问分析都支持 Amazon Organizations,您可以为每个组织创建一个分析器(对于外部访问分析,每个区域的每个组织)。

IAM 访问分析器未使用访问分析器每月分析的每个 IAM 角色或用户的费用为 0.20 美元。现有角色和用户的费用在月初收取。随着整个月新角色和用户的增加,将按每个角色或用户 0.20 美元的费率对其进行分析和收费。为帮助避免重复收费,如果使用账户级分析器,则每个账户仅创建一个未使用的访问分析器;如果使用组织级分析器,则为整个组织创建一个未使用的访问分析器。应避免删除和重新创建分析器。如果您重新创建分析器,则将再次向您收取分析费用。

审查和优化您的使用情况

在采取任何措施降低成本之前,了解您当前的使用情况至关重要。您可以使用亚马逊云科技成本和使用情况报告 (亚马逊云科技 CUR) 来确定您的环境中有多少未使用的访问分析器。要了解更多信息,请参阅使用 Amazon Athena 查询成本和使用量报告。

对您的 CUR 数据使用以下 Athena 查询来识别组织中未使用的访问分析器。<CUR_TABLE> 替换为 CUR 表的名称。

SELECT
line_item_usage_type,
product_region,
line_item_resource_id,
bill_payer_account_id,
line_item_usage_account_id,
SUM(line_item_unblended_cost)
FROM <CUR_TABLE>
WHERE line_item_product_code = 'AWSIAMAccessAnalyzer'
AND line_item_line_item_type = 'Usage'
GROUP BY
line_item_usage_type,
product_region,
line_item_resource_id,
bill_payer_account_id,
line_item_usage_account_id

此查询将让您全面了解您的组织中的 IAM 访问分析器的使用情况,包括每个分析器的费用。

现在,让我们来看看您今天可以做四件事来优化 IAM 访问分析器的未使用访问分析成本。

整合未使用的分析器

查看您的亚马逊云科技 CUR 分析结果以确定整合机会。如果您使用的是组织未使用的访问分析器,则应使用单个分析器。如果您为每个账户使用未使用的访问分析器,请确保一个账户没有多个分析器。

使用标签排除某些角色或用户

考虑使用标签将某些角色或用户排除在分析之外。这种方法可以避开您不想分析的角色和用户,从而帮助确定分析范围并降低成本。为此,您需要为您的 IAM 角色和用户实施标记策略,确定可能不需要定期访问分析的委托人。然后,在创建或修改分析器时,使用排除来跳过对带标签的 IAM 角色和用户的分析。定期审查您的排除策略,以验证其是否符合组织的安全策略和合规性要求。

要深入了解此流程,包括分步指导和实际示例,请参阅自定义 IAM 访问分析器未使用访问分析的范围。

定期清理 IAM 角色和用户

定期审查和删除不必要的 IAM 角色和用户。由于 IAM Access Analyzer 未使用访问分析的费用基于所分析的角色和用户的数量,因此移除未使用的角色和用户将有助于减少未使用的访问调查成本。这也是 IAM 的安全优秀实践。

监控和调整

设置 Amazon Budgets 或亚马逊云科技成本异常检测来跟踪您的 IAM 访问分析器未使用的访问分析成本。在成本超过预期阈值时创建警报。通过使用主动方法,您可以快速识别和解决意外的成本增加。

结论

IAM Access Analyzer 是一款宝贵的工具,可通过检测未使用的 IAM 角色、IAM 用户未使用的访问密钥、IAM 用户的未使用密码以及活跃 IAM 角色和用户的未使用服务和操作来改善组织的安全状况。然后,您可以根据这些发现采取行动,支持您实现最低权限访问权限的努力。通过了解计费模式并实施这些成本优化策略,您可以最大限度地提高收益,同时控制成本。请记住,成本优化是一个持续的过程。定期查看您的使用情况,并根据需求的变化调整策略。

要了解有关 IAM 访问分析器及其定价的更多信息,请参阅 Amazon Identity and Access Management Access Analyzer 入门。我们随时准备帮助您优化亚马逊云科技环境,因此,如果您需要进一步的帮助,请联系 Amazon Support 和您的亚马逊云科技账户团队。

如果你对这篇文章有反馈,请在下面的评论部分提交评论。

奥斯卡·迪亚兹

Oscar Diaz Cordovez

Oscar 是一名高级技术客户经理,专门研究云运营和安全。他对技术和创新的热情推动了他在云原生架构、DevOps 实践和自动化方面的专业知识。

阿维·哈拉里

Avi Harari

Avi 是亚马逊云科技的高级技术客户经理,支持企业客户采用和使用亚马逊云科技服务。他是亚马逊云科技云运营技术社区的一员,专注于亚马逊云科技的云治理和合规性。

*前述特定亚马逊云科技生成式人工智能相关的服务仅在亚马逊云科技海外区域可用,亚马逊云科技中国仅为帮助您发展海外业务和/或了解行业前沿技术选择推荐该服务。