开始使用 Amazon Identity and Access Management Access Analyzer 结果 - Amazon Identity and Access Management
使用 IAM Access Analyzer 所需的权限启用 IAM Access AnalyzerIAM Access Analyzer 状态
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

开始使用 Amazon Identity and Access Management Access Analyzer 结果

通过本主题中的信息了解使用和管理 Amazon Identity and Access Management Access Analyzer 的要求,以及如何启用 IAM Access Analyzer。要了解有关 IAM Access Analyzer 的服务相关角色的更多信息,请参阅 将服务相关角色用于 Amazon Identity and Access Management Access Analyzer

使用 IAM Access Analyzer 所需的权限

要成功配置和使用 IAM Access Analyzer,您使用的账户必须获得所需的权限。

IAM Access Analyzer 的 Amazon 托管策略

Amazon Identity and Access Management Access Analyzer 提供 Amazon 托管策略,可帮助您快速入门。

  • IAMAccessAnalyzerFullAccess:允许管理员完全访问 IAM Access Analyzer。此策略还允许创建与服务关联的角色,以便允许 IAM Access Analyzer 分析您的账户或 Amazon 企业。

  • IAMAccessAnalyzerReadOnlyAccess:允许只读访问 IAM Access Analyzer。您必须将其他策略添加到 IAM 身份(用户、用户组或角色),以允许他们查看他们的发现结果。

IAM Access Analyzer 定义的资源

要查看 IAM Access Analyzer 定义的资源,请参阅《服务授权参考》中的 IAM Access Analyzer 定义的资源类型

所需的 IAM Access Analyzer 服务权限

IAM Access Analyzer 使用名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色(SLR)。此 SLR 授予服务只读访问权限,以使用基于资源的策略分析 Amazon 资源,并代表您分析未使用的访问。在以下情况下,服务会在您的账户中创建角色:

  • 您可以创建一个外部访问分析器,将您的账户作为信任区域。

  • 还可以创建一个未使用的访问分析器,将您的账户作为选定账户。

有关更多信息,请参阅 将服务相关角色用于 Amazon Identity and Access Management Access Analyzer

注意

IAM Access Analyzer 是区域性的。对于外部访问,您必须在每个区域单独启用 IAM Access Analyzer。

对于未使用的访问,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。

在某些情况下,在 IAM Access Analyzer 中创建外部访问或未使用的访问分析器后,加载的调查发现页面或控制面板没有调查发现或摘要。此情况可能是因用于填充结果的控制台中出现延迟导致的。您可能需要手动刷新浏览器,或稍后返回查看您的调查发现或摘要。如果您仍然没有看到外部访问分析器的任何调查发现,这是因为您的账户中没有可供外部实体访问的受支持资源。如果将向外部实体授予访问权限的策略应用于资源,则 IAM Access Analyzer 会生成结果。

注意

对于外部访问分析器,修改策略后,IAM Access Analyzer 可能需要长达 30 分钟的时间来分析资源,然后生成新的外部访问调查发现或更新现有的资源访问调查发现。对于外部和未使用的访问分析器,调查发现的更新可能不会立即反映在控制面板中。

查看调查发现控制面板所需的 IAM Access Analyzer 权限

要查看 IAM Access Analyzer 调查发现控制面板,必须授予您使用的账户访问权限,以执行以下所需的操作:

查看 IAM Access Analyzer 定义的所有操作,请参阅《服务授权参考》中的 IAM Access Analyzer 定义的操作

启用 IAM Access Analyzer

要创建一个外部访问分析器,将 Amazon Web Services 账户 作为信任区域。

要在某个区域启用外部访问分析器,必须在该区域创建一个分析器。您必须在要监控资源访问的每个区域中创建一个外部访问分析器。

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 选择 Access analyzer (访问分析器)

  3. 选择分析器设置

  4. 选择 Create analyzer (创建分析器)

  5. 分析部分,选择外部访问分析

  6. 分析器详细信息部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。

  7. 输入分析器的名称。

  8. 选择当前 Amazon Web Services 账户 作为分析器的信任区域。

    注意

    如果您的账户不是 Amazon Organizations 管理账户或委托管理员账户,则您只能创建一个将您的账户作为信任区域的分析器。

  9. 可选。添加要应用于分析器的所有标签。

  10. 选择提交

创建外部访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。

要创建一个外部访问分析器,将组织作为信任区域。

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 选择 Access analyzer (访问分析器)

  3. 选择分析器设置

  4. 选择 Create analyzer (创建分析器)

  5. 分析部分,选择外部访问分析

  6. 分析器详细信息部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。

  7. 输入分析器的名称。

  8. 选择当前组织作为分析器的信任区域。

  9. 可选。添加要应用于分析器的所有标签。

  10. 选择提交

创建以组织作为信任区域的外部访问分析器时,系统会在组织的每个账户中创建一个名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。

要为当前账户创建未使用的访问分析器

使用以下过程为单个 Amazon Web Services 账户 创建未使用的访问分析器。对于未使用的访问,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。

IAM Access Analyzer 根据每个分析器每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 选择 Access analyzer (访问分析器)

  3. 选择分析器设置

  4. 选择 Create analyzer (创建分析器)

  5. 分析部分,选择未使用的访问分析

  6. 输入分析器的名称。

  7. 对于跟踪期限,输入为未使用的权限生成调查发现的天数。例如,如果您输入 90 天,对于自分析器上次扫描以来 90 天或更长时间内未使用的任何权限,分析器将为选定账户内的 IAM 实体生成调查发现。您可以选择 1 到 180 天之间的值。

  8. 对于选定账户,选择当前 Amazon Web Services 账户

    注意

    如果您的账户不是 Amazon Organizations 管理账户或委派管理员账户,则只能创建一个将您的账户作为信任区域的分析器。

  9. 可选。添加要应用于分析器的所有标签。

  10. 选择提交

创建未使用的访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。

要使用当前组织创建未使用的访问分析器

使用以下过程为组织创建一个未使用的访问分析器,以集中查看组织中的所有 Amazon Web Services 账户。对于未使用的访问分析,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。

IAM Access Analyzer 根据每个分析器每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价

注意

如果成员账户从组织中删除,未使用的访问分析器将在 24 小时后停止为该账户生成新的调查发现和更新现有调查发现。与从组织中删除的成员账户关联的调查发现将在 90 天后永久删除。

  1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

  2. 选择 Access analyzer (访问分析器)

  3. 选择分析器设置

  4. 选择 Create analyzer (创建分析器)

  5. 分析部分,选择未使用的访问分析

  6. 输入分析器的名称。

  7. 对于跟踪期限,输入为未使用的权限生成调查发现的天数。例如,如果您输入 90 天,对于自分析器上次扫描以来 90 天或更长时间内未使用的任何权限,分析器将为选定组织的账户内的 IAM 实体生成调查发现。您可以选择 1 到 180 天之间的值。

  8. 对于选定账户,选择当前组织作为分析器的选定账户。

  9. 可选。添加要应用于分析器的所有标签。

  10. 选择提交

创建未使用的访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。

IAM Access Analyzer 状态

要查看分析器的状态,请选择 Analyzers (分析器)。为组织或账户创建的分析器可具有以下状态:

Status 描述

Active

对于外部访问分析器,分析器将主动监控其信任区域内的资源。分析器会主动生成新的结果并更新现有结果。

对于未使用的访问分析器,分析器将主动监控选定组织或 Amazon Web Services 账户 在指定跟踪期限内的未使用访问。分析器会主动生成新的结果并更新现有结果。

Creating

分析器的创建过程仍在进行中。在创建过程完成后,分析器将变为活动状态。

已禁用

分析器因 Amazon Organizations 管理员执行的操作而被禁用。例如,删除作为 IAM Access Analyzer 的委派管理员的分析器的账户。当分析器处于禁用状态时,不会生成新的调查发现或更新现有调查发现。

失败

由于配置问题,分析器创建失败。分析器将不会生成任何结果。删除该分析器并创建新的分析器。