将服务相关角色用于 Amazon Identity and Access Management Access Analyzer - Amazon Identity and Access Management
Amazon Identity and Access Management Access Analyzer 的服务相关角色权限创建 IAM Access Analyzer 的服务相关角色编辑 IAM Access Analyzer 的服务相关角色删除 IAM Access Analyzer 的服务相关角色IAM Access Analyzer 服务相关角色的支持区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将服务相关角色用于 Amazon Identity and Access Management Access Analyzer

Amazon Identity and Access Management Access Analyzer 使用 IAM 服务相关角色。服务相关角色是一种独特的 IAM 角色类型,直接关联到 IAM Access Analyzer。服务相关角色由 IAM Access Analyzer 预定义,并包含该功能代表您调用其他 Amazon 服务所需的一切权限。

服务相关角色让您可以轻松设置 IAM Access Analyzer,因为您不必手动添加必要的权限。IAM Access Analyzer 定义其服务相关角色的权限,除非另外定义,否则只有 IAM Access Analyzer 可以代入其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其它 IAM 实体的权限策略。

有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的 Amazon 服务并查找 Service-Linked Role(服务相关角色)列中显示为 Yes(是)的服务。请选择 Yes 与查看该服务的服务相关角色文档的链接。

Amazon Identity and Access Management Access Analyzer 的服务相关角色权限

Amazon Identity and Access Management Access Analyzer 使用名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色:允许 Access Analyzer 分析外部访问的资源元数据,并分析活动以识别未使用的访问。

AWSServiceRoleForAccessAnalyzer 服务相关角色信任以下服务来代入该角色:

  • access-analyzer.amazonaws.com

名为 AccessAnalyzerServiceRolePolicy 的角色权限策略允许 IAM Access Analyzer 完成对特定资源的操作。

必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

创建 IAM Access Analyzer 的服务相关角色

无需手动创建服务相关角色。当您在 Amazon Web Services Management Console 或 Amazon API 中启用 IAM Access Analyzer 时,IAM Access Analyzer 将为您创建服务相关角色。在您启用 IAM Access Analyzer 的所有区域中使用相同的服务相关角色。外部访问和未使用的访问调查发现使用相同的服务相关角色。

注意

IAM Access Analyzer 是区域性的。您必须在每个区域内单独启用 IAM Access Analyzer。

如果您删除此服务相关角色,则在您下次创建分析器时,IAM Access Analyzer 会重新创建该角色。

您也可以使用 IAM 控制台为 Access Analyzer 使用案例创建服务相关角色。在 Amazon CLI 或 Amazon API 中,使用 access-analyzer.amazonaws.com 服务名称创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。如果您删除了此服务相关角色,则可以使用此相同过程再次创建角色。

编辑 IAM Access Analyzer 的服务相关角色

IAM Access Analyzer 不允许编辑 AWSServiceRoleForAccessAnalyzer 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参见 IAM 用户指南中的编辑服务相关角色

删除 IAM Access Analyzer 的服务相关角色

如果不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

注意

尝试删除资源时,如果 IAM Access Analyzer 正在使用该角色,删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。

要删除 AWSServiceRoleForAccessAnalyzer 使用的 IAM Access Analyzer 资源

  1. 通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. Access reports (访问报告) 部分中的 Access analyzer (访问分析器) 下,选择 Analyzers (分析器)

  3. 选中 Analyzer (分析器) 表中分析器列表左上方的复选框以选择所有分析器。

  4. 选择删除

  5. 要确认您要删除分析器,请输入 delete,然后选择 Delete (删除)

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、Amazon CLI 或Amazon API 删除 AWSServiceRoleForAccessAnalyzer 服务相关角色。有关更多信息,请参见 IAM 用户指南中的删除服务相关角色

IAM Access Analyzer 服务相关角色的支持区域

IAM Access Analyzer 支持在服务可用的所有区域使用服务相关角色。有关更多信息,请参阅 Amazon 区域和终端节点