创建 IAM Access Analyzer 未使用的访问分析器 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

创建 IAM Access Analyzer 未使用的访问分析器

为当前账户创建未使用的访问分析器

使用以下过程为单个 Amazon Web Services 账户 创建未使用的访问分析器。对于未使用的访问,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。

IAM Access Analyzer 根据每个分析器每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 访问分析器下,选择分析器设置

  3. 选择 Create analyzer (创建分析器)

  4. 分析部分,选择未使用的访问分析

  5. 输入分析器的名称。

  6. 对于跟踪周期,输入分析的天数。分析器将仅评估选定账户内整个跟踪周期存在的 IAM 实体的权限。例如,如果将跟踪周期设置为 90 天,则只会分析至少 90 天的权限,如果在此期间未显示任何使用情况,则会生成调查发现。您可以输入 1 至 365 天之间的值。

  7. 分析器详细信息部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。

  8. 分析范围中,选择当前账户

    注意

    如果您的账户不是 Amazon Organizations 管理账户或委派管理员账户,则只能创建一个将您的账户作为信任区域的分析器。

  9. 可选。在排除带有标签的 IAM 用户和角色部分中,您可以为 IAM 用户和角色指定键值对,以从未使用的访问分析中排除。不会为与键值对匹配的已排除 IAM 用户和角色生成调查发现。为标签键输入长度为 1 到 128 个字符并且不以 aws: 为前缀的值。对于,您可以输入长度为 0 到 256 个字符的值。如果您未输入,则规则将应用于具有指定的标签键的所有主体。选择添加新的排除项以添加要排除的其他键值对。

  10. 可选。添加要应用于分析器的所有标签。

  11. 选择 Create analyzer (创建分析器)

创建未使用的访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。

使用当前组织创建未使用的访问分析器

使用以下过程为组织创建一个未使用的访问分析器,以集中查看组织中的所有 Amazon Web Services 账户。对于未使用的访问分析,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。

IAM Access Analyzer 根据每个分析器每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价

注意

如果成员账户从组织中删除,未使用的访问分析器将在 24 小时后停止为该账户生成新的调查发现和更新现有调查发现。与从组织中删除的成员账户关联的调查发现将在 90 天后永久删除。

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 选择 Access analyzer (访问分析器)

  3. 选择分析器设置

  4. 选择 Create analyzer (创建分析器)

  5. 分析部分,选择未使用的访问分析

  6. 输入分析器的名称。

  7. 对于跟踪周期,输入分析的天数。分析器将仅评估选定组织的账户内整个跟踪周期存在的 IAM 实体的权限。例如,如果将跟踪周期设置为 90 天,则只会分析至少 90 天的权限,如果在此期间未显示任何使用情况,则会生成调查发现。您可以输入 1 至 365 天之间的值。

  8. 分析器详细信息部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。

  9. 分析范围中,选择当前组织

  10. 可选。在从分析中排除 Amazon Web Services 账户部分中,您可以在组织中选择 Amazon Web Services 账户,以从未使用的访问分析中排除。不会为排除的账户生成调查发现。

    1. 若要指定要排除的个人账户 ID,请选择指定 Amazon Web Services 账户 ID,然后在 Amazon Web Services 账户 ID 字段中输入用逗号分隔的账户 ID。选择排除。然后,这些账户将列在要排除的 Amazon Web Services 账户表中。

    2. 要从您的组织的账户列表中选择要排除的账户,请选择从组织中选择

      1. 您可以在从组织中排除账户字段中按名称、电子邮件和账户 ID 搜索账户。

      2. 选择层级以按组织单位查看您的账户,或选择列表以查看组织中所有个人账户的列表。

      3. 选择排除所有当前账户以排除组织单位中的所有账户,或者选择排除以排除个人账户。

    然后,这些账户将列在要排除的 Amazon Web Services 账户表中。

    注意

    排除的账户不能包含组织分析器的所有者账户。向您的组织添加新账户后,它们不会被排除在分析范围之外,即使您之前已排除某个组织单位内的所有当前账户。有关创建未使用的访问分析器后排除账户的更多信息,请参阅管理 IAM Access Analyzer 未使用的访问分析器

  11. 可选。在排除带有标签的 IAM 用户和角色部分中,您可以为 IAM 用户和角色指定键值对,以从未使用的访问分析中排除。不会为与键值对匹配的已排除 IAM 用户和角色生成调查发现。为标签键输入长度为 1 到 128 个字符并且不以 aws: 为前缀的值。对于,您可以输入长度为 0 到 256 个字符的值。如果您未输入,则规则将应用于具有指定的标签键的所有主体。选择添加新的排除项以添加要排除的其他键值对。

  12. 可选。添加要应用于分析器的所有标签。

  13. 选择 Create analyzer (创建分析器)

创建未使用的访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。