本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 了解 Security Hub 中未使用的存取調查結果
<a name="unused-access-findings"></a>

 Security Hub 使用 IAM Access Analyzer 來識別您帳戶中未使用的 IAM 許可、角色、存取金鑰和密碼。這些調查結果透過強調未主動使用的 IAM 主體和許可，協助您實作最低權限存取的安全性最佳實務。此功能會提供給所有 Security Hub 客戶，無需額外費用。

## 未使用的存取分析如何運作
<a name="unused-access-how-it-works"></a>

 當您啟用 Security Hub 時，服務會自動在您的帳戶中建立服務連結 IAM Access Analyzer。此分析器會根據 AWS CloudTrail 活動資料評估所有 IAM 主體 （角色和使用者），以判斷哪些主體和許可未在 90 天的回顧期間內使用。回顧期間無法設定。

 IAM Access Analyzer 每 24 小時會重新評估所有作用中的問題清單。當先前未使用的委託人或許可變為作用中時，會自動解析對應的調查結果。

 未使用的存取分析器會在美國東部 （維吉尼亞北部） 執行，因為 IAM 是全球服務。Security Hub 會將問題清單複寫到您已啟用 Security Hub 的所有區域。您不需要在美國東部 （維吉尼亞北部） 啟用 Security Hub，分析器才能執行。

## 未使用的存取問題清單類型
<a name="unused-access-finding-types"></a>

 Security Hub 會產生四種未使用的存取調查結果：


| 調查結果類型 | 說明 | 評估的資源 | 
| --- | --- | --- | 
| UnusedIAMRole | 尚未在 90 天回顧期間內擔任的 IAM 角色。 | IAM 角色 | 
| UnusedIAMUserAccessKey | 尚未用於在 90 天回顧期間內簽署 API 請求的 IAM 使用者存取金鑰。 | IAM 使用者 | 
| UnusedIAMUserPassword | 尚未在 90 天回顧期間內用於主控台登入的 IAM 使用者密碼。 | IAM 使用者 | 
| UnusedPermission | 授予角色或使用者的特定 IAM 動作，但尚未在 90 天的回顧期間內調用。 | IAM 角色或 IAM 使用者 | 

## 服務連結分析器
<a name="unused-access-service-linked-analyzer"></a>

 Security Hub 建立的 IAM Access Analyzer 是服務連結分析器。您可以在 IAM Access Analyzer 主控台中檢視它，但在 Security Hub 啟用時無法修改或刪除它。

 當您在所有區域中停用 Security Hub 時，服務連結分析器會自動刪除。如果自動刪除失敗，您可以呼叫 IAM Access Analyzer `DeleteServiceLinkedAnalyzer` API 操作來刪除分析器。只有在您帳戶的 Security Hub 完全停用之後，此操作才會成功。

 服務連結分析器與您可能在 IAM Access Analyzer 中獨立建立的任何客戶受管分析器是分開的。建立或刪除客戶受管分析器不會影響服務連結分析器，反之亦然。

## 檢視未使用的存取調查結果
<a name="unused-access-viewing"></a>

 未使用的存取調查結果與其他 Security Hub 調查結果一起顯示在 Security Hub 主控台中。您可以依類型篩選問題清單，僅檢視未使用的存取問題清單。未使用的存取問題清單格式採用開放式網路安全結構描述架構 (OCSF)，與所有 Security Hub 問題清單所使用的格式相同。

 對於 UnusedPermission 調查結果，如果您從過度寬鬆政策中移除一些未使用的許可，但並非所有許可，則 Security Hub 會關閉現有的調查結果，並在仍然過度寬鬆的情況下為修訂的政策建立新的調查結果。

 您也可以從 IAM Access Analyzer 主控台存取未使用的存取調查結果。IAM Access Analyzer 主控台中未使用的存取問題清單是唯讀的，並且僅在美國東部 （維吉尼亞北部） 區域可見。

## 公開調查結果中未使用的存取權
<a name="unused-access-in-exposure-findings"></a>

 未使用的存取資訊可以在 Security Hub 公開調查結果中顯示為內容特徵。當連接至資源的 IAM 角色具有未使用的許可時，公開調查結果會包含此作為補充內容。這可協助您了解漏洞的潛在爆量半徑 — 具有高權限 IAM 角色的資源比具有最低權限許可的資源具有更高的風險。

 下列資源類型可以在其公開調查結果中顯示未使用的存取內容特徵：
+ Amazon Elastic Compute Cloud 執行個體
+ AWS Lambda 函數
+ Amazon Elastic Container Service 服務
+ Amazon Elastic Kubernetes Service 叢集
+ IAM 使用者 （直接）

 如需公開調查結果的詳細資訊，請參閱 [Security Hub 中的暴露問題清單](exposure-findings.md)。

## 未使用許可的政策建議
<a name="unused-access-policy-recommendations"></a>

 對於 UnusedPermission 調查結果，Security Hub 可以產生最低權限政策建議。這些建議會顯示縮小範圍的替換政策，只保留委託人實際使用的許可。如需詳細資訊，請參閱[針對未使用的存取問題清單產生政策建議](unused-access-recommendations.md)。

## 定價
<a name="unused-access-pricing"></a>

 服務連結的 IAM Access Analyzer 會提供給所有 Security Hub 客戶，無需額外費用。您不需要另外支付分析器或未使用的存取問題清單的費用。