开始使用 AWS IAM Access Analyzer - AWS Identity and Access Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

开始使用 AWS IAM Access Analyzer

通过本主题中的信息了解使用和管理 AWS IAM Access Analyzer 的要求,以及如何启用 Access Analyzer。要了解有关 Access Analyzer 的服务相关角色的更多信息,请参阅对 AWS IAM Access Analyzer 使用服务相关角色

使用 Access Analyzer 所需的权限

要成功配置和使用 Access Analyzer,您使用的账户必须获得所需的权限。要访问和使用 Access Analyzer 的所有功能,您可以将 IAMAccessAnalyzerFullAccess 托管策略应用于该账户。完全访问策略可授予以下权限:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "access-analyzer:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "access-analyzer.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots" ], "Resource": "*" } ] }

用于管理 Access Analyzer 的自定义策略必须包含以下权限:

  • access-analyzer: *

  • iam:CreateServiceLinkedRole

要允许对 Access Analyzer 进行只读访问,请使用 IAMAccessAnalyzerReadOnlyAccess 托管策略。此策略授予以下权限:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "access-analyzer:Get*", "access-analyzer:List*" ], "Resource": "*" } ] }

如果您计划对 AWS Organizations 中的组织使用 Access Analyzer,则需要在 AWS Organizations 中为 Access Analyzer 启用可信访问。您还需要以下权限:

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:ListAccounts

  • organizations:ListAccountsForParent

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListChildren

  • organizations:ListDelegatedAdministrators

  • organizations:ListOrganizationalUnitsForParent

  • organizations:ListParents

  • organizations:ListRoots

AWS IAM Access Analyzer 定义的资源

Access Analyzer 定义以下资源:

资源 ARN
分析器 arn:${Partition}:access-analyzer:${Region}:${Account}:analyzer/${analyzerName}
archive-rule arn:${Partition}:access-analyzer:${Region}:${Account}:analyzer/${analyzerName}/archive-rule/${ruleName}

所需的 Access Analyzer 服务权限

Access Analyzer 使用名为 AWSAccessAnalyzerServiceRole 的服务相关角色授予服务只读访问权限,以代表您使用基于资源的策略分析 AWS 资源。在创建将账户作为信任区域的分析器时,此服务会为您的账户创建角色。在创建将组织作为信任区域的分析器时,此服务会在属于您组织的每个账户中创建一个汇总。有关更多信息,请参阅对 AWS IAM Access Analyzer 使用服务相关角色

注意

Access Analyzer 是区域性的。您必须在每个区域内单独启用 Access Analyzer。

在某些情况下,启用 Access Analyzer 后,Findings (结果) 页将加载,但不显示任何结果。此情况可能是因用于填充结果的控制台中出现延迟导致的。您需要手动刷新浏览器才能查看您的结果。如果您仍未看到任何结果,则原因是您的账户中没有可供外部实体访问的受支持的资源。如果将向外部实体授予访问权限的策略应用于资源,则 Access Analyzer 会生成结果。

注意

在修改策略后,Access Analyzer 可能最多需要 30 分钟来分析资源,然后生成新的结果或更新现有结果以便访问资源。

启用 Access Analyzer

要在一个区域中启用 Access Analyzer,您必须在该区域中创建分析器。您必须在要监控对资源的访问的每个区域中创建一个分析器。

创建将账户作为可信区域的分析器

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 选择 Access analyzer (访问分析器)

  3. 选择 Create analyzer (创建分析器)

  4. Create analyzer (创建分析器) 页面上,确认显示的区域是要启用 Access Analyzer 的区域。

  5. 输入分析器的名称。

  6. 选择该账户作为分析器的信任区域。

    注意

    如果您的账户不是 AWS Organizations 管理账户或委托管理员账户,则您只能创建一个将您的账户作为信任区域的分析器。

  7. 可选。添加要应用于分析器的所有标签。

  8. 选择 Create Analyzer (创建分析器)

在创建分析器来启用 Access Analyzer 时,会在您的账户中创建一个名为 AWSAccessAnalyzerServiceRole 的服务相关角色。

创建将组织作为信任区域的分析器

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. 选择 Access analyzer (访问分析器)

  3. 选择 Create analyzer (创建分析器)

  4. Create analyzer (创建分析器) 页面上,确认显示的区域是要启用 Access Analyzer 的区域。

  5. 输入分析器的名称。

  6. 选择您的组织作为分析器的信任区域。

  7. 可选。添加要应用于分析器的所有标签。

  8. 选择 Create Analyzer (创建分析器)

在创建将组织作为信任区域的分析器时,系统会在组织的每个账户中创建一个名为 AWSAccessAnalyzerServiceRole 的服务相关角色。

Access Analyzer 状态

要查看分析器的状态,请选择 Analyzers (分析器)。为组织或账户创建的分析器可具有以下状态:

状态 说明

处于活动状态

分析器将主动监控其信任区域内的资源。分析器会主动生成新的结果并更新现有结果。

创建

分析器的创建过程仍在进行中。在创建过程完成后,分析器将变为活动状态。

Disabled

分析器因 AWS Organizations 管理员执行的操作而被禁用。例如,删除作为 IAM Access Analyzer 的委派管理员的分析器的账户。当分析器处于禁用状态时,它不会生成新的结果或更新现有结果。

已失败

由于配置问题,分析器创建失败。分析器将不会生成任何结果。删除该分析器并创建新的分析器。

Access Analyzer 配额

Access Analyzer 具有以下配额:

资源 默认配额 最大配额

具有信任账户区域的最大分析器数

1

1

具有组织信任区域的分析器的最大数目

5

20*

每个分析器的最大存档规则数

100

对于每个标准,每个存档规则可具有最多 20 个值。

1000*

*某些配额可由客户通过 Service Quotas 进行配置。