產生 AWS 帳戶的憑證報告 - AWS Identity and Access Management
所需的許可了解報告格式取得憑證報告 (主控台)取得憑證報告 (AWS CLI)取得憑證報告 (AWS API)

產生 AWS 帳戶的憑證報告

您可以產生並下載憑證報告,其中會列出帳戶中的所有使用者,及其各種憑證的狀態,包括密碼、存取金鑰和 MFA 裝置。您可以從 AWS Management Console、AWS 開發套件以及命令列工具或者 IAM API 取得憑證報告。

您可以使用憑證報告協助您進行稽核和合規性工作。您可以使用報告來稽核憑證生命週期要求的效果,如密碼和存取金鑰更新。您可以向外部稽核員提供報告,或向稽核員授予許可,以便該人員直接下載報告。

您可以依照每四小時一次的頻率來產生憑證報告。請求報告時,IAM 會先檢查在過去四小時內是否產生了 AWS 帳戶 的報告。若是如此,便會下載最新的報告。如果帳戶的最新報告是四小時前產生的,或者如果帳戶無先前報告,則 IAM 會產生並下載新報告。

所需的許可

建立和下載報告必須要有以下許可:

  • 建立憑證報告:iam:GenerateCredentialReport

  • 下載報告:iam:GetCredentialReport

了解報告格式

憑證報告採取逗號分隔值 (CSV) 檔案為格式。您可以使用常用試算表軟體打開 CSV 檔以執行分析,也可以建構應用程式來以程式設計方式使用 CSV 檔並執行自訂分析。

CSV 檔案內含下列欄位:

使用者

易讀的使用者名稱。

arn

使用者的 Amazon Resource Name (ARN)。如需有關 ARN 的詳細資訊,請參閱 IAM ARN

user_creation_time

使用者建立的日期和時間,採用 ISO 8601 日期時間格式

password_enabled

當使用者有密碼時,此值為 TRUE,否則為 FALSE

password_last_used

AWS 帳戶根使用者 或使用者密碼最後用來登入 AWS 網站的日期和時間,其格式為 ISO 8601 日期時間格式。擷取到使用者最後登入時間的 AWS 網站為 AWS Management Console、AWS 開發論壇,以及 AWS Marketplace。如果密碼在 5 分鐘的時間範圍內多次使用,則僅在此欄位中記錄此期間內的第一次使用。

  • 在以下情況中,此欄位的值為 no_information

    • 從未使用使用者密碼。

    • 沒有與密碼關聯的登入資料,例如,在 IAM 於 2014 年 10 月 20 日開始追蹤此資訊後,使用者密碼未曾使用。

  • 當使用者沒有密碼時,此欄位中的值是 N/A (不適用)。

重要

由於服務問題,上次使用密碼的資料不包含從 2018 年 5 月 3 日 22:50 (太平洋日光時間) 到 2018 年 5 月 23 日 14:08 (太平洋日光時間) 使用的密碼。這會影響顯示於 IAM 主控台中的前次登入日期,以及在 IAM 憑證報告中的最後使用密碼日期,並由 GetUser API 操作傳回。如果使用者在受影響的時間登入,傳回的上次使用密碼的日期會是使用者最後一次在 2018 年 5 月 3 日之前登入的日期。對於在 2018 年 5 月 23 日 14:08 (太平洋日光時間) 之後登入的使用者,傳回的上次使用密碼日期會是準確的。

如果您使用上次使用密碼的資訊來識別要刪除的未使用憑證,例如刪除在過去 90 天內沒有登入 AWS 的使用者,我們建議您調整您的評估時段為包含 2018 年 5 月 23 日之後的日期。或者,如果您的使用者以程式設計方式使用存取金鑰來存取 AWS,您可以參閱上次使用的存取金鑰的資訊,因為它的所有日期均是準確的。

password_last_changed

使用者密碼上次設定的日期和時間,採用 ISO 8601 日期時間格式。若使用者沒有密碼,此欄位中的值是 N/A (不適用)。

password_next_rotation

如果帳戶的密碼政策要求密碼輪換,則此欄位包含使用者需要設定新密碼的日期和時間,採用 ISO 8601 日期時間格式。AWS 帳戶 (根) 一律為 not_supported

mfa_active

當使用者啟用多重要素驗證 (MFA) 裝置時,此值為 TRUE,否則為 FALSE

access_key_1_active

當使用者有存取金鑰且存取金鑰狀態為 Active 時,此值為 TRUE,否則為 FALSE。同時適用於帳戶根使用者和 IAM 使用者。

access_key_1_last_rotated

使用者的存取金鑰建立或前次變更的時間與日期,採用 ISO 8601 日期時間格式。若使用者沒有主動式存取金鑰,此欄位中的值是 N/A (不適用)。同時適用於帳戶根使用者和 IAM 使用者。

access_key_1_last_used_date

使用者存取金鑰最近用於登入 AWS API 請求的日期與時間,採用 ISO 8601 日期時間格式。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。

在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者無存取金鑰。

  • 從未使用存取金鑰。

  • 自 IAM 於 2015 年 4 月 22 日開始追蹤此資訊後,存取金鑰未曾使用。

access_key_1_last_used_region

最近使用過存取金鑰的 AWS 區域。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。

在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者無存取金鑰。

  • 從未使用存取金鑰。

  • 存取金鑰最後一次使用的時間為 IAM 於 2015 年 4 月 22 日開始追蹤此資訊之前。

  • 上次使用的服務沒有區域限制,如 Amazon S3。

access_key_1_last_used_service

最近使用存取金鑰存取的 AWS 服務。此欄位中的值會使用服務的命名空間 — 舉例來說,Amazon S3 為 s3、而 Amazon EC2 為 ec2。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。

在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者無存取金鑰。

  • 從未使用存取金鑰。

  • 存取金鑰最後一次使用的時間為 IAM 於 2015 年 4 月 22 日開始追蹤此資訊之前。

access_key_2_active

當使用者有第二個存取金鑰且第二個存取金鑰狀態為 Active 時,此值為 TRUE。否則為 FALSE。同時適用於帳戶根使用者和 IAM 使用者。

注意

使用者最多可有兩個存取金鑰,首先更新金鑰,然後刪除先前的金鑰,從而使輪換變得更簡單。如需有關更新存取金鑰的詳細資訊,請參閱 更新存取金鑰

access_key_2_last_rotated

使用者的第二個存取金鑰建立或前次更新的時間與日期,採用 ISO 8601 日期時間格式。若使用者沒有第二個主動式存取金鑰,此欄位中的值是 N/A (不適用)。同時適用於帳戶根使用者和 IAM 使用者。

access_key_2_last_used_date

使用者第二個存取金鑰最近用於登入 AWS API 請求的日期與時間,採用 ISO 8601 日期時間格式。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。

在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者沒有第二個存取金鑰。

  • 從未使用第二個存取金鑰。

  • 使用者的第二個存取金鑰最後一次使用的時間為 IAM 於 2015 年 4 月 22 日開始追蹤此資訊之前。

access_key_2_last_used_region

使用者的第二個最近使用過存取金鑰的 AWS 區域。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者沒有第二個存取金鑰。

  • 從未使用第二個存取金鑰。

  • 使用者的第二個存取金鑰最後一次使用的時間為 IAM 於 2015 年 4 月 22 日開始追蹤此資訊之前。

  • 上次使用的服務沒有區域限制,如 Amazon S3。

access_key_2_last_used_service

最近以使用者第二個存取金鑰存取的 AWS 服務。此欄位中的值會使用服務的命名空間 — 舉例來說,Amazon S3 為 s3、而 Amazon EC2 為 ec2。如果存取金鑰在 15 分鐘的時間範圍內多次使用,則僅在此欄位中記錄第一次使用。同時適用於帳戶根使用者和 IAM 使用者。在以下情況中,此欄位的值為 N/A (不適用):

  • 使用者沒有第二個存取金鑰。

  • 從未使用第二個存取金鑰。

  • 使用者的第二個存取金鑰最後一次使用的時間為 IAM 於 2015 年 4 月 22 日開始追蹤此資訊之前。

cert_1_active

當使用者有 X.509 簽署的憑證且該憑證的狀態為 Active 時,此值為 TRUE,否則為 FALSE

cert_1_last_rotated

使用者的簽署憑證建立或前次變更的時間與日期,採用 ISO 8601 日期時間格式。若使用者沒有主動式簽署憑證,此欄位中的值是 N/A (不適用)。

cert_2_active

當使用者有第二個 X.509 簽署的憑證且該憑證的狀態為 Active 時,此值為 TRUE,否則為 FALSE

注意

使用者最多可有兩個 X.509 簽署憑證,讓輪換更容易。

cert_2_last_rotated

使用者的第二個簽署憑證建立或前次變更的時間與日期,採用 ISO 8601 日期時間格式。若使用者沒有第二個主動式簽署憑證,此欄位中的值是 N/A (不適用)。

取得憑證報告 (主控台)

您可以使用 AWS Management Console 下載逗號分隔值 (CSV) 檔案格式的憑證報告。

下載憑證報告 (主控台)

  1. 簽署 AWS Management Console,並開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. 在導覽窗格中,選擇 Credential report (憑證報告)

  3. 選擇 Download Report (下載報告)

取得憑證報告 (AWS CLI)

下載憑證報告 (AWS CLI)

  1. 產生憑證報告。AWS 儲存單一報告。如果報告存在,產生憑證報告會覆寫先前的報告。aws iam generate-credential-report

  2. 檢視上次產生的報告:aws iam get-credential-report

取得憑證報告 (AWS API)

下載憑證報告 (AWS API)

  1. 產生憑證報告。AWS 儲存單一報告。如果報告存在,產生憑證報告會覆寫先前的報告。GenerateCredentialReport

  2. 檢視上次產生的報告:GetCredentialReport