IAM Access Analyzer 的设置 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

IAM Access Analyzer 的设置

如果您在 Amazon Organizations 管理账户中配置 Amazon Identity and Access Management Access Analyzer,则可以在企业中添加成员账户作为委托管理员来管理企业的 IAM Access Analyzer。委托管理员有权创建和管理将组织作为信任区域的分析器。只有管理账户才能添加委派管理员。

IAM Access Analyzer 的委托管理员。

IAM Access Analyzer 的委托管理员是企业中的一个成员账户,该账户有权创建和管理将企业作为信任区域的分析器。只有管理账户才能添加、删除或更改委托管理员。

如果您添加了委派管理员,则可稍后更改为委派管理员的其他账户。在执行此操作时,以前的委托管理员账户将丢失对使用该账户创建的所有分析器(这些分析器将组织作为信任区域)的权限。这些分析器将变为禁用状态,并且不再生成新的结果或更新现有结果。这些分析器的现有结果也不再可供访问。您可在以后通过将账户配置为委派管理员来再次访问它们。如果您知道您不会使用与委派管理员相同的账户,请考虑在更改委派管理员之前删除分析器。这将删除生成的所有结果。当新的委派管理员创建新分析器时,会生成相同结果的新实例。您不会丢失任何结果,只是会在其他账户中为新分析器生成结果。您可以继续使用企业管理账户(也具有管理员权限)访问企业的结果。新的委托管理员必须为 IAM Access Analyzer 创建新的分析器,以便它开始监控企业中的资源。

如果委托管理员离开 Amazon 组织,则将从账户中删除委托管理权限。账户中所有将组织作为信任区域的分析器都将变为禁用状态。这些分析器的现有结果也不再可供访问。

首次在管理账户中配置分析器时,可以选择 Add delegated administrator(添加委托管理员)选项,该选项显示在 IAM 控制台中的 IAM Access Analyzer 主页上。

使用控制台添加委派管理员

  1. 使用企业的管理账户登录 Amazon 控制台。

  2. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  3. Access Analyzer (访问分析器) 下,选择 Settings (设置)

  4. 选择 Add delegated administrator (添加委派管理员)

  5. 输入组织成员账户的账号以生成委派管理员。

    该账户必须是您组织的成员。

  6. 选择保存更改

使用 Amazon CLI 或 Amazon 开发工具包添加委托管理员

当您使用 Amazon CLI、Amazon API(使用 Amazon 开发工具包)或 Amazon CloudFormation 在委托管理员账户中创建将企业作为信任区域的分析器时,您必须使用 Amazon Organizations API 为 IAM Access Analyzer 启用服务访问,并将成员账户注册为委托管理员。

  1. 在 Amazon Organizations 中为 IAM Access Analyzer 启用受信任的服务访问。请参阅《Amazon Organizations 用户指南》中的如何启用或禁用可信访问

  2. 使用 Amazon Organizations RegisterDelegatedAdministrator API 操作或 register-delegated-administrator Amazon CLI 命令将 Amazon 企业的有效成员账户注册为委托管理员。

更改委派管理员后,新管理员必须创建分析器才能开始监控对组织中资源的访问。