IAM Access Analyzer 策略生成

为 IAM 角色生成策略

1. 登录 Amazon Web Services Management Console，然后通过以下网址打开 IAM 控制台：https://console.aws.amazon.com/iam/。

2. 在左侧的导航窗格中，选择角色。

   注意

   基于 IAM 用户的活动生成策略的步骤几乎完全相同。要执行此操作，请选择 Users (用户)，不要选择 Roles (角色)。

3. 在账户的角色列表中，选择要将其活动用于生成策略的角色的名称。

4. 在 Permissions (权限) 选项卡的基于 CloudTrail 事件生成策略部分，选择 Generate policy (生成策略)。

5. 在 Generate policy (生成策略)页面，指定希望 IAM Access Analyzer 分析 CloudTrail 事件（以对角色采取操作）的时间段。最多可以选择 90 天。我们建议您选择尽可能短的时间段以缩短策略生成时间。

6. 在 CloudTrail 访问部分中，选择合适的现有角色或创建新角色（如果不存在合适角色）。此角色授予 IAM Access Analyzer 代表您访问 CloudTrail 数据的权限，以查看访问活动并识别已使用的服务和操作。要了解该角色所需的权限，请参阅 生成策略所需的权限。

7. 在要分析的 CloudTrail 跟踪部分，指定记录账户事件的 CloudTrail 跟踪。

   如果您选择将日志存储在其他账户中的 CloudTrail 跟踪记录，则会显示一个有关跨账户访问的信息框。跨账户访问需要额外的设置。要了解更多信息，请稍后参阅本主题中的 Choose a role for cross-account access。

8. 选择 Generate Policy (生成策略)。

9. 在策略生成过程中，您将返回到 Permissions（权限）选项卡上的 Roles（角色）Summary（摘要）页面。等到 Policy request details (策略请求详细信息) 部分中的状态显示为 Success (成功) 后，选择 View generated policy (查看生成的策略)。您可以在策略生成后的七天内进行查看。如果生成另一个策略，则会将现有策略替换为生成的新策略。

1. 查看以下部分：

   • 在 Review permissions (查看权限) 页面，查看 Actions included in the generated policy (生成的策略中包含的操作) 列表。该列表显示了角色在指定日期范围内使用的 IAM Access Analyzer 已识别到的服务和操作。

   • Services used (使用的服务) 部分显示了角色在指定日期范围内使用的 IAM Access Analyzer 已识别到的其他服务。有关使用了哪些操作的信息可能不适用于本部分中列出的服务。使用列出的各项服务的菜单手动选择您希望在策略中包含的操作。

2. 添加完操作后，选择 Next (下一步)。

自定义生成的策略

1. 请更新策略模板。策略模板包含支持资源级权限的操作的资源 ARN 占位符，如下图所示。资源级权限指的是能够指定允许用户对哪些资源执行操作的能力。我们建议您使用 ARN 在策略中为支持资源级权限的操作指定个人资源。您可以将占位符资源 ARN 替换为使用案例的有效资源 ARN。

   如果操作不支持资源级权限，则必须使用通配符 (*) 来指定所有资源都可能受到操作的影响。要了解哪些 Amazon 服务支持资源级权限，请参阅 Amazon services that work with IAM（能够与 IAM 搭配使用的亚马逊云科技服务）。有关各项服务中的操作列表，以及要了解哪些操作支持资源级权限，请参阅 Amazon 服务的操作、资源和条件键。

   

2. （可选）在模板中添加、修改或删除 JSON 策略语句。要了解有关编写 JSON 策略的更多信息，请参阅创建 IAM policy（控制台）。

3. 自定义策略模板后，可以选择以下选项：

   • （可选）您可以复制模板中的 JSON，以便在 Generated policy (生成的策略) 页面之外单独使用。例如，您想要使用 JSON 在其他账户中创建策略时。如果模板中策略的字符超过 JSON 策略的字符上限 6144，则会将该策略拆分为多个策略。

   • 选择 Next (下一步)，以在同一账户中查看并创建托管策略。

查看并创建策略

1. 在 Review and create managed policy (查看并创建托管策略) 页面，为创建的策略输入 Name (名称) 和 Description (描述)（可选）。

2. （可选）在 Summary (摘要) 部分，您可以查看策略中将包含的权限。

3. （可选）通过以密钥值对的形式附加标签来向策略添加元数据。有关将在 IAM 中使用标签的更多信息，请参阅 Tagging IAM resources（标记 IAM 资源）。

4. 完成后，请执行以下操作之一：

   • 您可以将新策略直接附加到用于生成策略的角色。为此，请在页面底部附近，选中 Attach policy to YourRoleName (将策略附加到 YourRoleName) 旁边的复选框。然后选择 Create and attach policy (创建并附加策略)。

   • 否则，请选择 Create policy (创建策略)。您创建的策略位于 IAM 控制台上，可以在 Policies (策略) 导航窗格的策略列表中找到它。

5. 您可以将创建的策略附加到账户中的实体。附加策略后，您可以删除可以附加到该实体的任何其他过于宽泛的策略。要了解如何附加托管策略，请参阅添加 IAM 身份权限（控制台）。

步骤 1：选择或创建用于跨账户访问的角色

• 在 Generate policy（生成策略）屏幕上，如果您的账户中存在具有所需权限的角色，则会为您预先选择 Use an existing role（使用现有角色）的选项。否则，请选择 Create and use a new service role（创建和使用新的服务角色）。新角色用于向 IAM Access Analyzer 授予对账户 B 中 CloudTrail 日志的访问权限。

步骤 2：验证或更新账户 B 中的 Amazon S3 存储桶配置

1. 登录到Amazon Web Services Management Console，然后通过以下网址打开 Amazon S3 控制台：https://console.aws.amazon.com/s3/。

2. 在 Buckets（存储桶）列表中，请选择存储 CloudTrail 日志的存储桶名称。

3. 请选择 Permissions（权限）选项卡，然后转到 Object Ownership（对象所有权）部分。

   使用 Amazon S3 对象所有权存储桶设置来控制上传到存储桶的对象的所有权。默认情况下，当其他 Amazon Web Services 账户 将对象上传到存储桶时，这些对象仍为上传账户所有。要生成策略，存储桶中的所有对象都必须归存储桶拥有者所有。您可能需要更改您存储桶的 Object Ownership（对象所有权）设置，具体视您的 ACL 使用案例而定。将 Object Ownership（对象所有权）设置为以下选项之一。

   • 强制存储桶拥有者（推荐）

   • 首选存储桶拥有者

   重要

   要成功生成策略，存储桶中的对象必须归存储桶拥有者所有。如果您选择使用 Bucket owner preferred（首选存储桶拥有者），您只能在对象所有权更改后的时间段生成策略。

   如需了解关于 Amazon S3 中的对象所有权的更多信息，请参阅《Amazon S3 用户指南》中的控制存储桶的对象所有权和禁用 ACL。

4. 向账户 B 中的 Amazon S3 存储桶策略添加权限，以允许对账户 A 中的角色进行访问。

   以下示例策略针对名为 DOC-EXAMPLE-BUCKET 的存储桶允许 ListBucket 和 GetObject。如果访问存储桶的角色属于您企业中的账户并且名称以 AccessAnalyzerMonitorServiceRole 开头，则其会允许访问权限。使用 aws:PrincipalArn 作为 Resource 元素中的 Condition 可确保角色只能访问账户活动（如果其属于账户 A）。您可以将 DOC-EXAMPLE-BUCKET 替换为存储桶名称，将 optional-prefix 替换为存储桶的可选前缀，将 organization-id 替换为组织 ID。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "PolicyGenerationBucketPolicy",
         "Effect": "Allow",
         "Principal": {
           "AWS": "*"
         },
         "Action": [
           "s3:GetObject",
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET",
           "arn:aws:s3:::DOC-EXAMPLE-BUCKET/optional-prefix/AWSLogs/organization-id/${aws:PrincipalAccount}/*"
         ],
         "Condition": {
           "StringEquals": {
             "aws:PrincipalOrgID": "organization-id"
           },
           "StringLike": {
             "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
           }
         }
       }
     ]
   }

5. 如果您使用 Amazon KMS 加密日志，请在您存储 CloudTrail 日志的账户中更新您的 Amazon KMS 密钥政策，以授予 IAM Access Analyzer 访问权限来使用密钥，如以下策略示例所示。将 CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN 替换为您跟踪记录的 ARN，将 organization-id 替换为您的企业 ID。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "*"
         },
         "Action": "kms:Decrypt",
         "Resource": "*",
         "Condition": {
           "StringEquals": {
             "kms:EncryptionContext:aws:cloudtrail:arn": "CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN",
             "aws:PrincipalOrgID": "organization-id"
           },
           "StringLike": {
             "kms:ViaService": [
               "access-analyzer.*.amazonaws.com",
               "s3.*.amazonaws.com"
             ]
             "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
           }
         }
       }
     ]
   }