Access Analyzer 的设置 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Access Analyzer 的设置

如果您在 Amazon Organizations 管理户中配置 Amazon IAM Access Analyzer,则可以在企业中添加成员账户作为委托管理员来管理企业的 Access Analyzer。委托管理员有权创建和管理将组织作为信任区域的分析器。只有管理账户才能添加委派管理员。

Access Analyzer 的委托管理。

Access Analyzer 的委托管理员是企业中的一个成员账户,该账户有权创建和管理将企业作为信任区域的分析器。只有管理账户才能添加、删除或更改委托管理员。

如果您添加了委派管理员,则可稍后更改为委派管理员的其他账户。在执行此操作时,以前的委托管理员账户将丢失对使用该账户创建的所有分析器(这些分析器将组织作为信任区域)的权限。这些分析器将变为禁用状态,并且不再生成新的结果或更新现有结果。这些分析器的现有结果也不再可供访问。您可在以后通过将账户配置为委派管理员来再次访问它们。如果您知道您不会使用与委派管理员相同的账户,请考虑在更改委派管理员之前删除分析器。这将删除生成的所有结果。当新的委派管理员创建新分析器时,会生成相同结果的新实例。您不会丢失任何结果,只是会在其他账户中为新分析器生成结果。您可以继续使用企业管理账户(也具有管理员权限)访问企业的结果。新的委派管理员必须为 Access Analyzer 创建新的分析器,以便它开始监控企业中的资源。

如果委托管理员离开 Amazon 组织,则将从账户中删除委托管理权限。账户中所有将组织作为信任区域的分析器都将变为禁用状态。这些分析器的现有结果也不再可供访问。

首次在管理账户中配置分析器时,可以选择 Add delegated administrator(添加委托管理员)选项,该选项显示在 IAM 控制台中的 Access Analyzer 主页上。

使用控制台添加委派管理员

  1. 使用企业的管理账户登录 Amazon 控制台。

  2. 打开 IAM 控制台:https://console.aws.amazon.com/iam/

  3. Access Analyzer (访问分析器) 下,选择 Settings (设置)

  4. 选择 Add delegated administrator (添加委派管理员)

  5. 输入组织成员账户的账号以生成委派管理员。

    该账户必须是您组织的成员。

  6. 选择保存更改

使用 Amazon CLI 或 Amazon 开发工具包添加委托管理员

当您使用 Amazon CLI、Amazon API(使用 Amazon 开发工具包)或 Amazon CloudFormation 在委托管理员账户中创建将企业作为信任区域的分析器时,您必须使用 Amazon Organizations API 为 Access Analyzer 启用服务访问,并将成员账户注册为委托管理员。

  1. 在 Amazon Organizations 中为 Access Analyzer 启用受信任的服务访问。请参阅《Amazon Organizations 用户指南》中的如何启用或禁用可信访问

  2. 使用 Amazon Organizations RegisterDelegatedAdministrator API 操作或 register-delegated-administrator Amazon CLI 命令将 Amazon 企业的有效成员账户注册为委托管理员。

更改委派管理员后,新管理员必须创建分析器才能开始监控对组织中资源的访问。