开始使用 Amazon Identity and Access Management Access Analyzer 结果 - Amazon Identity and Access Management
使用 IAM Access Analyzer 所需的权限启用 IAM Access AnalyzerIAM Access Analyzer 状态
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

开始使用 Amazon Identity and Access Management Access Analyzer 结果

通过本主题中的信息了解使用和管理 Amazon Identity and Access Management Access Analyzer 的要求,以及如何启用 IAM Access Analyzer。要了解有关 IAM Access Analyzer 的服务相关角色的更多信息,请参阅 将服务相关角色用于 Amazon Identity and Access Management Access Analyzer

使用 IAM Access Analyzer 所需的权限

要成功配置和使用 IAM Access Analyzer,您使用的账户必须获得所需的权限。

IAM Access Analyzer 的 Amazon 托管策略

Amazon Identity and Access Management Access Analyzer 提供 Amazon 托管策略,可帮助您快速入门。

  • IAMAccessAnalyzerFullAccess — 允许管理员完全访问 IAM Access Analyzer 的权限。此策略还允许创建与服务关联的角色,以便允许 IAM Access Analyzer 分析您的账户或 Amazon 企业。

  • IAMAccessAnalyzerReadOnlyAccess — 允许对 IAM Access Analyzer 的只读访问权限。您必须将其他策略添加到 IAM 身份(用户、用户组或角色),以允许他们查看他们的发现结果。

Amazon Identity and Access Management Access Analyzer 定义的资源

若要查看 IAM Access Analyzer 定义的资源,请参阅服务授权参考中的 Amazon Identity and Access Management Access Analyzer 定义的资源类型

所需的 IAM Access Analyzer 服务权限

IAM Access Analyzer 使用名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色授予服务只读访问权限,以代表您使用基于资源的策略分析 Amazon 资源。在创建将账户作为信任区域的分析器时,此服务会为您的账户创建角色。有关更多信息,请参阅将服务相关角色用于 Amazon Identity and Access Management Access Analyzer

注意

IAM Access Analyzer 是区域性的。您必须在每个区域内单独启用 IAM Access Analyzer。

在某些情况下,启用 IAM Access Analyzer 后,Findings(结果)页将加载,但不显示任何结果。此情况可能是因用于填充结果的控制台中出现延迟导致的。您需要手动刷新浏览器才能查看您的结果。如果您仍未看到任何结果,则原因是您的账户中没有可供外部实体访问的受支持的资源。如果将向外部实体授予访问权限的策略应用于资源,则 IAM Access Analyzer 会生成结果。

注意

在修改策略后,IAM Access Analyzer 可能最多需要 30 分钟来分析资源,然后生成新的结果或更新现有结果以便访问资源。

启用 IAM Access Analyzer

要在一个区域中启用 IAM Access Analyzer,您必须在该区域中创建分析器。您必须在要监控对资源的访问的每个区域中创建一个分析器。

创建将账户作为可信区域的分析器

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择 Access analyzer (访问分析器)

  3. 选择 Create analyzer (创建分析器)

  4. Create analyzer(创建分析器)页面上,确认显示的区域是要启用 IAM Access Analyzer 的区域。

  5. 输入分析器的名称。

  6. 请选择该账户作为分析器的信任区域。

    注意

    如果您的账户不是 Amazon Organizations 管理账户或委托管理员账户,则您只能创建一个将您的账户作为信任区域的分析器。

  7. 可选。添加要应用于分析器的所有标签。

  8. 选择 Create Analyzer (创建分析器)

在创建分析器来启用 IAM Access Analyzer 时,会在您的账户中创建一个名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。

创建将组织作为信任区域的分析器

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择 Access analyzer (访问分析器)

  3. 选择 Create analyzer (创建分析器)

  4. Create analyzer(创建分析器)页面上,确认显示的区域是要启用 IAM Access Analyzer 的区域。

  5. 输入分析器的名称。

  6. 选择您的组织作为分析器的信任区域。

  7. 可选。添加要应用于分析器的所有标签。

  8. 选择 Create Analyzer (创建分析器)

在创建将组织作为信任区域的分析器时,系统会在组织的每个账户中创建一个名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。

IAM Access Analyzer 状态

要查看分析器的状态,请选择 Analyzers (分析器)。为组织或账户创建的分析器可具有以下状态:

状态 描述

处于活动状态

分析器将主动监控其信任区域内的资源。分析器会主动生成新的结果并更新现有结果。

创建

分析器的创建过程仍在进行中。在创建过程完成后,分析器将变为活动状态。

已禁用

分析器因 Amazon Organizations 管理员执行的操作而被禁用。例如,删除作为 IAM Access Analyzer 的委派管理员的分析器的账户。当分析器处于禁用状态时,它不会生成新的结果或更新现有结果。

失败

由于配置问题,分析器创建失败。分析器将不会生成任何结果。删除该分析器并创建新的分析器。