适用于 Access Analyzer 的设置 - AWS Identity and Access Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

适用于 Access Analyzer 的设置

如果您在 AWS Organizations 管理账户中配置 AWS IAM Access Analyzer,则可以在组织中添加成员账户作为委托管理员来管理组织的 Access Analyzer。委托管理员有权创建和管理将组织作为信任区域的分析器。只有管理账户可以添加委派管理员。

Access Analyzer 的委托管理员

Access Analyzer 的委托管理员是组织中的一个成员账户,该账户有权创建和管理将组织作为信任区域的分析器。只有管理账户可以添加、删除或更改委派管理员。

如果您添加了委派管理员,则可稍后更改为委派管理员的其他账户。在执行此操作时,以前的委托管理员账户将丢失对使用该账户创建的所有分析器(这些分析器将组织作为信任区域)的权限。这些分析器将变为禁用状态,并且不再生成新的结果或更新现有结果。这些分析器的现有结果也不再可供访问。您可在以后通过将账户配置为委派管理员来再次访问它们。如果您知道您不会使用与委派管理员相同的账户,请考虑在更改委派管理员之前删除分析器。这将删除生成的所有结果。当新的委派管理员创建新分析器时,会生成相同结果的新实例。您不会丢失任何结果,只是会在其他账户中为新分析器生成结果。您可以继续使用组织管理账户(也具有管理员权限)访问组织的结果。新的委派管理员必须为 Access Analyzer 创建新的分析器,以便它开始监控组织中的资源。

如果委托管理员离开 AWS 组织,则将从账户中删除委托管理权限。账户中所有将组织作为信任区域的分析器都将变为禁用状态。这些分析器的现有结果也不再可供访问。

首次在管理账户中配置分析器时,可以选择添加委托管理员选项,该选项显示在 IAM 控制台中的 Access Analyzer 主页上。

使用控制台添加委派管理员

  1. 使用组织的管理账户登录 AWS 控制台。

  2. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  3. Access Analyzer (访问分析器) 下,选择 Settings (设置)

  4. 选择 Add delegated administrator (添加委派管理员)

  5. 输入组织成员账户的账号以生成委派管理员。

    该账户必须是您组织的成员。

  6. 选择 Save changes

使用 AWS CLI 或 AWS 开发工具包添加委托管理员

当您使用 AWS CLI、AWS API(使用 AWS 开发工具包)或 AWS CloudFormation 在委托管理员账户中创建将组织作为信任区域的分析器时,您必须使用 AWS Organizations API 为 Access Analyzer 启用服务访问,并将成员账户注册为委托管理员。

  1. 在 AWS Organizations 中为 Access Analyzer 启用受信任的服务访问。请参阅《AWS Organizations 用户指南》中的如何启用或禁用可信访问

  2. 使用 AWS Organizations RegisterDelegatedAdministrator API 操作或 register-delegated-administrator AWS CLI 命令将 AWS 组织的有效成员账户注册为委托管理员。

更改委派管理员后,新管理员必须创建分析器才能开始监控对组织中资源的访问。