开始使用 Amazon Identity and Access Management Access Analyzer - Amazon Identity and Access Management
使用 IAM Access Analyzer 所需的权限IAM Access Analyzer 状态
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

开始使用 Amazon Identity and Access Management Access Analyzer

通过本主题中的信息了解使用和管理 Amazon Identity and Access Management Access Analyzer 的要求。

使用 IAM Access Analyzer 所需的权限

要成功配置和使用 IAM Access Analyzer,您使用的账户必须获得所需的权限。

IAM Access Analyzer 的 Amazon 托管策略

Amazon Identity and Access Management Access Analyzer 提供 Amazon 托管策略,可帮助您快速入门。

  • IAMAccessAnalyzerFullAccess:允许管理员完全访问 IAM Access Analyzer。此策略还允许创建与服务关联的角色,以便允许 IAM Access Analyzer 分析您的账户或 Amazon 企业。

  • IAMAccessAnalyzerReadOnlyAccess:允许只读访问 IAM Access Analyzer。您必须将其他策略添加到 IAM 身份(用户、用户组或角色),以允许他们查看他们的发现结果。

IAM Access Analyzer 定义的资源

要查看 IAM Access Analyzer 定义的资源,请参阅《服务授权参考》中的 IAM Access Analyzer 定义的资源类型

所需的 IAM Access Analyzer 服务权限

IAM Access Analyzer 使用名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色(SLR)。此 SLR 授予服务只读访问权限,以使用基于资源的策略分析 Amazon 资源,并代表您分析未使用的访问。在以下情况下,服务会在您的账户中创建角色:

  • 您可以创建一个外部访问分析器,将您的账户作为信任区域。

  • 还可以创建一个未使用的访问分析器,将您的账户作为选定账户。

有关更多信息,请参阅 将服务相关角色用于 Amazon Identity and Access Management Access Analyzer

注意

IAM Access Analyzer 是区域性的。对于外部访问,您必须在每个区域单独启用 IAM Access Analyzer。

对于未使用的访问,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。

在某些情况下,在 IAM Access Analyzer 中创建外部访问或未使用的访问分析器后,加载的调查发现页面或控制面板没有调查发现或摘要。此情况可能是因用于填充结果的控制台中出现延迟导致的。您可能需要手动刷新浏览器,或稍后返回查看您的调查发现或摘要。如果您仍然没有看到外部访问分析器的任何调查发现,这是因为您的账户中没有可供外部实体访问的受支持资源。如果将向外部实体授予访问权限的策略应用于资源,则 IAM Access Analyzer 会生成结果。

注意

对于外部访问分析器,修改策略后,IAM Access Analyzer 可能需要长达 30 分钟的时间来分析资源,然后生成新的外部访问调查发现或更新现有的资源访问调查发现。对于外部和未使用的访问分析器,调查发现的更新可能不会立即反映在控制面板中。

查看调查发现控制面板所需的 IAM Access Analyzer 权限

要查看 IAM Access Analyzer 调查发现控制面板,必须授予您使用的账户访问权限,以执行以下所需的操作:

查看 IAM Access Analyzer 定义的所有操作,请参阅《服务授权参考》中的 IAM Access Analyzer 定义的操作

IAM Access Analyzer 状态

要查看分析器的状态,请选择 Analyzers (分析器)。为组织或账户创建的分析器可具有以下状态:

Status 描述

Active

对于外部访问分析器,分析器将主动监控其信任区域内的资源。分析器会主动生成新的结果并更新现有结果。

对于未使用的访问分析器,分析器将主动监控选定组织或 Amazon Web Services 账户 在指定跟踪期限内的未使用访问。分析器会主动生成新的结果并更新现有结果。

Creating

分析器的创建过程仍在进行中。在创建过程完成后,分析器将变为活动状态。

已禁用

分析器因 Amazon Organizations 管理员执行的操作而被禁用。例如,删除作为 IAM Access Analyzer 的委派管理员的分析器的账户。当分析器处于禁用状态时,不会生成新的调查发现或更新现有调查发现。

失败

由于配置问题,分析器创建失败。分析器将不会生成任何结果。删除该分析器并创建新的分析器。