创建 IAM Access Analyzer 未使用的访问分析器
为当前账户创建未使用的访问分析器
使用以下过程为单个 Amazon Web Services 账户 创建未使用的访问分析器。对于未使用的访问,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。
IAM Access Analyzer 根据每个分析器每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在访问分析器下,选择分析器设置。
-
选择 Create analyzer (创建分析器)。
-
在分析部分,选择未使用的访问分析。
-
输入分析器的名称。
-
对于跟踪周期,输入分析的天数。分析器将仅评估选定账户内整个跟踪周期存在的 IAM 实体的权限。例如,如果将跟踪周期设置为 90 天,则只会分析至少 90 天的权限,如果在此期间未显示任何使用情况,则会生成调查发现。您可以输入 1 至 365 天之间的值。
-
在分析器详细信息部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
-
在分析范围中,选择当前账户。
注意
如果您的账户不是 Amazon Organizations 管理账户或委派管理员账户,则只能创建一个将您的账户作为信任区域的分析器。
-
可选。在排除带有标签的 IAM 用户和角色部分中,您可以为 IAM 用户和角色指定键值对,以从未使用的访问分析中排除。不会为与键值对匹配的已排除 IAM 用户和角色生成调查发现。为标签键输入长度为 1 到 128 个字符并且不以
aws:
为前缀的值。对于值,您可以输入长度为 0 到 256 个字符的值。如果您未输入值,则规则将应用于具有指定的标签键的所有主体。选择添加新的排除项以添加要排除的其他键值对。 -
可选。添加要应用于分析器的所有标签。
-
选择 Create analyzer (创建分析器)。
创建未使用的访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 AWSServiceRoleForAccessAnalyzer
的服务相关角色。
使用当前组织创建未使用的访问分析器
使用以下过程为组织创建一个未使用的访问分析器,以集中查看组织中的所有 Amazon Web Services 账户。对于未使用的访问分析,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。
IAM Access Analyzer 根据每个分析器每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价
注意
如果成员账户从组织中删除,未使用的访问分析器将在 24 小时后停止为该账户生成新的调查发现和更新现有调查发现。与从组织中删除的成员账户关联的调查发现将在 90 天后永久删除。
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
选择 Access analyzer (访问分析器)。
-
选择分析器设置。
-
选择 Create analyzer (创建分析器)。
-
在分析部分,选择未使用的访问分析。
-
输入分析器的名称。
-
对于跟踪周期,输入分析的天数。分析器将仅评估选定组织的账户内整个跟踪周期存在的 IAM 实体的权限。例如,如果将跟踪周期设置为 90 天,则只会分析至少 90 天的权限,如果在此期间未显示任何使用情况,则会生成调查发现。您可以输入 1 至 365 天之间的值。
-
在分析器详细信息部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
-
在分析范围中,选择当前组织。
-
可选。在从分析中排除 Amazon Web Services 账户部分中,您可以在组织中选择 Amazon Web Services 账户,以从未使用的访问分析中排除。不会为排除的账户生成调查发现。
-
若要指定要排除的个人账户 ID,请选择指定 Amazon Web Services 账户 ID,然后在 Amazon Web Services 账户 ID 字段中输入用逗号分隔的账户 ID。选择排除。然后,这些账户将列在要排除的 Amazon Web Services 账户表中。
-
要从您的组织的账户列表中选择要排除的账户,请选择从组织中选择。
-
您可以在从组织中排除账户字段中按名称、电子邮件和账户 ID 搜索账户。
-
选择层级以按组织单位查看您的账户,或选择列表以查看组织中所有个人账户的列表。
-
选择排除所有当前账户以排除组织单位中的所有账户,或者选择排除以排除个人账户。
-
然后,这些账户将列在要排除的 Amazon Web Services 账户表中。
注意
排除的账户不能包含组织分析器的所有者账户。向您的组织添加新账户后,它们不会被排除在分析范围之外,即使您之前已排除某个组织单位内的所有当前账户。有关创建未使用的访问分析器后排除账户的更多信息,请参阅管理 IAM Access Analyzer 未使用的访问分析器。
-
-
可选。在排除带有标签的 IAM 用户和角色部分中,您可以为 IAM 用户和角色指定键值对,以从未使用的访问分析中排除。不会为与键值对匹配的已排除 IAM 用户和角色生成调查发现。为标签键输入长度为 1 到 128 个字符并且不以
aws:
为前缀的值。对于值,您可以输入长度为 0 到 256 个字符的值。如果您未输入值,则规则将应用于具有指定的标签键的所有主体。选择添加新的排除项以添加要排除的其他键值对。 -
可选。添加要应用于分析器的所有标签。
-
选择 Create analyzer (创建分析器)。
创建未使用的访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 AWSServiceRoleForAccessAnalyzer
的服务相关角色。