对 AWS IAM Access Analyzer 使用服务相关角色 - AWS Identity and Access Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

对 AWS IAM Access Analyzer 使用服务相关角色

AWS IAM Access Analyzer 使用 IAM 服务相关角色。服务相关角色是一种与 Access Analyzer 直接关联的独特类型的 IAM 角色。服务相关角色由 Access Analyzer 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。

服务相关角色使 Access Analyzer 的设置更轻松,因为您不必手动添加必要的权限。Access Analyzer 定义其服务相关角色的权限,除非另行定义,否则仅 Access Analyzer 可以代入其角色。定义的权限包括信任策略和权限策略,并且权限策略不能附加到任何其他 IAM 实体。

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 一起使用的 AWS 服务并查找服务相关角色列为的服务。选择 Yes 与查看该服务的服务相关角色文档的链接。

AWS IAM Access Analyzer 的服务相关角色权限

AWS IAM Access Analyzer 使用名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色 – 允许访问分析器分析资源元数据。

AWSServiceRoleForAccessAnalyzer 服务相关角色信任以下服务来代入该角色:

  • access-analyzer.amazonaws.com

角色权限策略允许 Access Analyzer 对指定资源完成以下操作:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListAccessPoints", "s3:GetAccessPoint", "s3:GetAccessPointPolicy", "s3:GetAccessPointPolicyStatus", "iam:GetRole", "iam:ListRoles", "kms:DescribeKey", "kms:GetKeyPolicy", "kms:ListGrants", "kms:ListKeyPolicies", "kms:ListKeys", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeByoipCidrs", "ec2:DescribeAddresses", "lambda:ListFunctions", "lambda:GetPolicy", "lambda:ListLayers", "lambda:ListLayerVersions", "lambda:GetLayerVersionPolicy", "sqs:GetQueueAttributes", "sqs:ListQueues", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit" ], "Resource": "*" } ] }

您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的服务相关角色权限

为 Access Analyzer 创建服务相关角色

您无需手动创建服务相关角色。在 AWS 管理控制台 或 AWS API 中enable Access Analyzer时,Access Analyzer 将为您创建服务相关角色。在您启用 Access Analyzer 的所有区域中使用相同的服务相关角色。

注意

Access Analyzer 是区域性的。您必须在每个区域内单独启用 Access Analyzer。

如果您删除此服务相关角色,则在您下次创建分析器时,Access Analyzer 会重新创建该角色。

您还可以使用 IAM 控制台用 Access Analyzer 使用案例创建服务相关角色。在 AWS CLI 或 AWS API 中,使用 access-analyzer.amazonaws.com.cn 服务名称创建服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。如果您删除了此服务相关角色,则可以使用此相同过程再次创建角色。

编辑 Access Analyzer 的服务相关角色

Access Analyzer 不允许您编辑 AWSAccessAnalyzerServiceRole 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 Access Analyzer 的服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。

注意

在您尝试删除资源时,如果 Access Analyzer 正在使用该角色,删除操作可能会失败。如果发生这种情况,则请等待几分钟后重试。

删除 AWSAccessAnalyzerServiceRole 所用的 Access Analyzer 资源

  1. 通过以下网址打开 IAM 控制台:https://console.amazonaws.cn/iam/

  2. Access reports (访问报告) 部分中的 Access analyzer (访问分析器) 下,选择 Analyzers (分析器)

  3. 选中 Analyzer (分析器) 表中分析器列表左上方的复选框以选择所有分析器。

  4. 选择 Delete

  5. 要确认您要删除分析器,请输入 delete,然后选择 Delete (删除)

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSAccessAnalyzerServiceRole 服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色

Access Analyzer 服务相关角色的受支持区域

Access Analyzer 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅AWS Regions and Endpoints