IAM Access Analyzer 的设置
如果您在 Amazon Organizations 管理账户中配置 Amazon Identity and Access Management Access Analyzer,则可以在企业中添加成员账户作为委托管理员来管理企业的 IAM Access Analyzer。委派管理员有权在组织内创建和管理分析器。只有管理账户才能添加委派管理员。
IAM Access Analyzer 的委托管理员。
IAM Access Analyzer 委派管理员是组织内的成员账户,拥有创建和管理分析器的权限,这些分析器用于分析整个组织的访问。只有管理账户才能添加、删除或更改委托管理员。
如果您添加了委派管理员,则可稍后更改为委派管理员的其他账户。执行此操作时,以前的委派管理员账户将失去对使用该账户创建的所有分析器的权限,这些分析器用于分析整个组织的访问。这些分析器将变为禁用状态,并且不再生成新的结果或更新现有结果。这些分析器的现有结果也不再可供访问。您可在以后通过将账户配置为委派管理员来再次访问它们。如果您知道您不会使用与委派管理员相同的账户,请考虑在更改委派管理员之前删除分析器。这将删除生成的所有结果。当新的委派管理员创建新分析器时,会生成相同结果的新实例。您不会丢失任何结果,只是会在其他账户中为新分析器生成结果。您可以继续使用企业管理账户(也具有管理员权限)访问企业的结果。新的委托管理员必须为 IAM Access Analyzer 创建新的分析器,以便它开始监控企业中的资源。
如果委托管理员离开 Amazon 组织,则将从账户中删除委托管理权限。账户中所有将组织作为信任区域的分析器都将变为禁用状态。这些分析器的现有结果也不再可供访问。
首次在管理账户中配置分析器时,可以在 IAM Access Analyzer 控制台的分析器设置页面上选择添加委派管理员。
注意
IAM Access Analyzer 根据每月每个分析器分析的 IAM 角色和用户数量对未使用的访问分析器收费。如果您在管理账户和委派管理员账户中创建了未使用的访问分析器,则要为这两个未使用的访问分析器付费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价
使用控制台添加委派管理员
-
使用企业的管理账户登录 Amazon 控制台。
通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在访问分析器下,选择分析器设置。
-
选择 Add delegated administrator (添加委派管理员)。
-
在委派管理员字段中,输入组织成员账户的 Amazon Web Services 账户 号,使其成为委派管理员。
该账户必须是您组织的成员。
-
选择保存更改。
使用 Amazon CLI 或 Amazon 开发工具包添加委托管理员
当您使用 Amazon CLI、Amazon API(使用 Amazon SDK)或 Amazon CloudFormation 在委派管理员账户中创建将分析器以分析整个组织的访问时,必须使用 Amazon Organizations API 为 IAM Access Analyzer 启用服务访问,并将成员账户注册为委派管理员。
-
在 Amazon Organizations 中为 IAM Access Analyzer 启用受信任的服务访问。请参阅《Amazon Organizations 用户指南》中的如何启用或禁用可信访问。
-
使用 Amazon Organizations
RegisterDelegatedAdministratorAPI 操作或register-delegated-administratorAmazon CLI 命令将 Amazon 企业的有效成员账户注册为委托管理员。
更改委派管理员后,新管理员必须创建分析器才能开始监控对组织中资源的访问。
删除分析器
您可以在分析器设置页面中删除现有的外部和未使用的访问分析器。删除分析器后,将不再监控分析器中指定的资源,也不会生成新的调查发现。分析器生成的所有调查发现都将被删除。
对于因生成调查发现的分析器被删除而被删除的调查发现,事件将在分析器被删除后的两天内发送到 EventBridge。删除分析器后,最长可能需要 90 天才能删除 Security Hub 的调查发现。
要删除分析器
通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在访问分析器下,选择分析器设置。
-
选择要删除的分析器,然后选择删除。
-
在确认文本框中键入
delete,然后选择删除。