开始使用 Amazon IAM Access Analyzer - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

开始使用 Amazon IAM Access Analyzer

通过本主题中的信息了解使用和管理 Amazon IAM Access Analyzer 的要求,以及如何启用 Access Analyzer。要了解有关 Access Analyzer 的服务相关角色的更多信息,请参阅 将服务关联角色用于 Amazon IAM Access Analyzer

使用 Access Analyzer 所需的权限

要成功配置和使用 Access Analyzer,您使用的账户必须获得所需的权限。

Access Analyzer 的 Amazon 托管策略

Amazon IAM Access Analyzer 提供 Amazon 托管策略,可帮助您快速入门。

  • IAMAccessAnalyzerFullAccess — 允许管理员完全访问 Access Analyzer 的权限。此策略还允许创建与服务关联的角色,以便允许 Access Analyzer 分析您的账户或 Amazon 企业。

  • IAMAccessAnalyzerReadOnlyAccess — 允许对 Access Analyzer 的只读访问权限。您必须将其他策略添加到 IAM 身份(用户、用户组或角色),以允许他们查看

Amazon IAM Access Analyzer 定义的资源

若要查看 Access Analyzer 定义的资源,请参阅服务授权参考中的 Amazon IAM Access Analyzer 定义的资源类型

所需的 Access Analyzer 服务权限

Access Analyzer 使用名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色授予服务只读访问权限,以代表您使用基于资源的策略分析 Amazon 资源。在创建将账户作为信任区域的分析器时,此服务会为您的账户创建角色。在创建将组织作为信任区域的分析器时,此服务会在属于您组织的每个账户中创建一个角色。有关更多信息,请参阅 将服务关联角色用于 Amazon IAM Access Analyzer

注意

Access Analyzer 是区域性的。您必须在每个区域内单独启用 Access Analyzer。

在某些情况下,启用 Access Analyzer 后,Findings(结果)页将加载,但不显示任何结果。此情况可能是因用于填充结果的控制台中出现延迟导致的。您需要手动刷新浏览器才能查看您的结果。如果您仍未看到任何结果,则原因是您的账户中没有可供外部实体访问的受支持的资源。如果将向外部实体授予访问权限的策略应用于资源,则 Access Analyzer 会生成结果。

注意

在修改策略后,Access Analyzer 可能最多需要 30 分钟来分析资源,然后生成新的结果或更新现有结果以便访问资源。

启用 Access Analyzer

要在一个区域中启用 Access Analyzer,您必须在该区域中创建分析器。您必须在要监控对资源的访问的每个区域中创建一个分析器。

创建将账户作为可信区域的分析器

  1. 打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择 Access analyzer (访问分析器)

  3. 选择 Create analyzer (创建分析器)

  4. Create analyzer(创建分析器)页面上,确认显示的区域是要启用 Access Analyzer 的区域。

  5. 输入分析器的名称。

  6. 选择该账户作为分析器的信任区域。

    注意

    如果您的账户不是 Amazon Organizations 管理账户或委托管理员账户,则您只能创建一个将您的账户作为信任区域的分析器。

  7. 可选。添加要应用于分析器的所有标签。

  8. 选择 Create Analyzer (创建分析器)

在创建分析器来启用 Access Analyzer 时,会在您的账户中创建一个名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。

创建将组织作为信任区域的分析器

  1. 打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 选择 Access analyzer (访问分析器)

  3. 选择 Create analyzer (创建分析器)

  4. Create analyzer(创建分析器)页面上,确认显示的区域是要启用 Access Analyzer 的区域。

  5. 输入分析器的名称。

  6. 选择您的组织作为分析器的信任区域。

  7. 可选。添加要应用于分析器的所有标签。

  8. 选择 Create Analyzer (创建分析器)

在创建将组织作为信任区域的分析器时,系统会在组织的每个账户中创建一个名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。

Access Analyzer 状态

要查看分析器的状态,请选择 Analyzers (分析器)。为组织或账户创建的分析器可具有以下状态:

状态 描述

处于活动状态

分析器将主动监控其信任区域内的资源。分析器会主动生成新的结果并更新现有结果。

创建

分析器的创建过程仍在进行中。在创建过程完成后,分析器将变为活动状态。

已禁用

分析器因 Amazon Organizations 管理员执行的操作而被禁用。例如,删除作为 IAM Access Analyzer 的委派管理员的分析器的账户。当分析器处于禁用状态时,它不会生成新的结果或更新现有结果。

已失败

由于配置问题,分析器创建失败。分析器将不会生成任何结果。删除该分析器并创建新的分析器。

Access Analyzer 配额

Access Analyzer 具有以下配额:

资源 默认配额 最大配额

具有信任账户区域的最大分析器数

1

1

具有组织信任区域的分析器的最大数目

5

20*

每个分析器的最大存档规则数

100

对于每个标准,每个存档规则可具有最多 20 个值。

1000*

每个分析器每小时的最大访问预览数

1000

1000

每个策略生成处理的 Amazon CloudTrail 日志文件

100000

100000

并发策略生成器

1

1

策略生成 Amazon CloudTrail 数据大小

25 GB

25 GB

策略生成 Amazon CloudTrail 时间范围

90 天

90 天

每天生成策略

5

已取消的策略生成请求适用于每日配额。

5

*某些配额可由客户通过 Service Quotas 进行配置。