Erstellen Sie einen internen Zugriffsanalysator für IAM Access Analyzer

Um einen internen Zugriffsanalysator in einer Region zu aktivieren, müssen Sie einen Analyzer in dieser Region erstellen. Sie müssen in jeder Region, in der Sie den Zugriff auf Ihre Ressourcen überwachen möchten, einen internen Zugriffsanalysator erstellen.

IAM Access Analyzer berechnet Gebühren für die interne Zugriffsanalyse auf der Grundlage der Anzahl der pro Analyzer pro Monat überwachten Ressourcen. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAM Access Analyzer.

Anmerkung

Nachdem Sie einen Analyzer erstellt oder aktualisiert haben, kann es einige Zeit dauern, bis die Ergebnisse verfügbar sind.

IAM Access Analyzer kann keine internen Zugriffsergebnisse für Organisationen mit mehr als 70.000 Principals (IAM-Benutzer und Rollen zusammen) generieren.

Sie können in einer Organisation nur einen internen Zugriffsanalysator auf Organisationsebene erstellen. AWS

Erstellen Sie einen internen Zugriffsanalysator mit AWS-Konto der Vertrauenszone

1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

2. Wählen Sie unter Analyzer für externen Zugriff die Option Analyzer-Einstellungen aus.

3. Wählen Sie Analysator erstellen.

4. Wählen Sie im Bereich Analyse die Option Ressourcenanalyse — Interner Zugriff aus.

5. Kontrollieren Sie im Abschnitt Analyzer-Details, ob es sich bei der angezeigten Region um die Region handelt, in der Sie IAM Access Analyzer aktivieren möchten.

6. Geben Sie einen Namen für den Analysator ein.

7. Wählen Sie Girokonto als Vertrauenszone für den Analyzer.

   Anmerkung

   Wenn es sich bei Ihrem Konto nicht um das AWS Organizations Verwaltungskonto oder das delegierte Administratorkonto handelt, können Sie nur einen Analyzer mit Ihrem Konto als Vertrauenszone erstellen.

8. Fügen Sie im Abschnitt Zu analysierende Ressourcen Ressourcen hinzu, die der Analyzer überwachen soll.

   • Um Ressourcen nach Konto hinzuzufügen, wählen Sie Hinzufügen > Ressourcen aus ausgewählten Konten hinzufügen.

     1. Wählen Sie Alle unterstützten Ressourcentypen oder wählen Sie Bestimmte Ressourcentypen definieren und wählen Sie die Ressourcentypen aus der Liste Ressourcentyp aus.

        Interne Zugriffsanalysatoren unterstützen die folgenden Ressourcentypen:

        • Amazon-Simple-Storage-Service-Buckets

        • Amazon-Simple-Storage-Service-Verzeichnis-Buckets

        • DB-Snapshots von Amazon Relational Database Service

        • Snapshots von Service-DB-Clustern von Amazon Relational Database

        • Amazon DynamoDB Streams

        • Amazon-DynamoDB-Tabellen

     2. Wählen Sie Ressourcen hinzufügen aus.

   • Um Ressourcen anhand des Amazon-Ressourcennamens (ARN) hinzuzufügen, wählen Sie Hinzufügen > Ressourcen hinzufügen, indem Sie den Ressourcen-ARN einfügen.

     1. Geben Sie für jeden Ressourcen-ARN die Kontoinhaber-ID und den Ressourcen-ARN durch ein Komma getrennt ein. Geben Sie eine Kontoinhaber-ID und einen Ressourcen-ARN pro Zeile ein.

     2. Wählen Sie Ressourcen hinzufügen aus.

   • Um Ressourcen über eine CSV-Datei hinzuzufügen, wählen Sie Ressourcen hinzufügen > Ressourcen durch Hochladen einer CSV-Datei hinzufügen.

     Sie können AWS Resource Explorerdamit in Ihren Konten nach Ressourcen suchen und eine CSV-Datei exportieren. Anschließend können Sie die CSV-Datei hochladen, um die Ressourcen für die Überwachung durch den Analyzer zu konfigurieren.

     1. Wählen Sie Datei auswählen und wählen Sie die CSV-Datei von Ihrem Computer aus.

     2. Wählen Sie Ressourcen hinzufügen aus.

9. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.

10. Wählen Sie Analysator erstellen.

Wenn Sie einen internen Access Analyzer erstellen, um IAM Access Analyzer zu aktivieren, AWSServiceRoleForAccessAnalyzer wird in Ihrem Konto eine dienstbezogene Rolle mit dem Namen erstellt.

Erstellen Sie einen internen Access Analyzer mit der Organisation als Vertrauenszone

1. Öffnen Sie unter https://console.aws.amazon.com/iam/ die IAM-Konsole.

2. Wählen Sie unter Analyzer für externen Zugriff die Option Analyzer-Einstellungen aus.

3. Wählen Sie Analysator erstellen.

4. Wählen Sie im Abschnitt Analyse die Option Ressourcenanalyse — Interner Zugriff aus.

5. Kontrollieren Sie im Abschnitt Analyzer-Details, ob es sich bei der angezeigten Region um die Region handelt, in der Sie IAM Access Analyzer aktivieren möchten.

6. Geben Sie einen Namen für den Analysator ein.

7. Wählen Sie Gesamtes Unternehmen als Vertrauenszone für den Analyzer aus.

8. Fügen Sie im Abschnitt Zu analysierende Ressourcen Ressourcen hinzu, die der Analyzer überwachen soll.

   • Um Ressourcen für das Konto hinzuzufügen, wählen Sie Ressourcen hinzufügen > Ressourcen aus ausgewählten Konten hinzufügen.

     1. Wählen Sie Alle unterstützten Ressourcentypen oder wählen Sie Bestimmte Ressourcentypen definieren und wählen Sie die Ressourcentypen aus der Liste Ressourcentyp aus.

        Interne Zugriffsanalysatoren unterstützen die folgenden Ressourcentypen:

        • Amazon-Simple-Storage-Service-Buckets

        • Amazon-Simple-Storage-Service-Verzeichnis-Buckets

        • DB-Snapshots von Amazon Relational Database Service

        • Snapshots von Service-DB-Clustern von Amazon Relational Database

        • Amazon DynamoDB Streams

        • Amazon-DynamoDB-Tabellen

     2. Um Konten aus Ihrer Organisation auszuwählen, wählen Sie Aus Organisation auswählen. Wählen Sie im Abschnitt Konten auswählen die Option Hierarchie aus, um Konten nach Organisationsstruktur auszuwählen, oder Liste, um Konten aus einer Liste aller Konten in Ihrer Organisation auszuwählen.

        Um Konten aus Ihrer Organisation manuell einzugeben, wählen Sie AWS Konto-ID eingeben. Geben Sie eine oder mehrere durch Kommas AWS-Konto IDs getrennte Konten in das Feld AWS Konto-ID ein.

     3. Wählen Sie Ressourcen hinzufügen aus.

   • Um Ressourcen anhand des Amazon-Ressourcennamens (ARN) hinzuzufügen, wählen Sie Ressourcen hinzufügen > Ressourcen hinzufügen, indem Sie den Ressourcen-ARN einfügen.

     1. Geben Sie für jeden Ressourcen-ARN die Kontoinhaber-ID und den Ressourcen-ARN durch ein Komma getrennt ein. Geben Sie eine Kontoinhaber-ID und einen Ressourcen-ARN pro Zeile ein.

     2. Wählen Sie Ressourcen hinzufügen aus.

   • Um Ressourcen über eine CSV-Datei hinzuzufügen, wählen Sie Ressourcen hinzufügen > Ressourcen durch Hochladen einer CSV-Datei hinzufügen.

     Sie können AWS Resource Explorerdamit in Ihren Konten nach Ressourcen suchen und eine CSV-Datei exportieren. Anschließend können Sie die CSV-Datei hochladen, um die Ressourcen für die Überwachung durch den Analyzer zu konfigurieren.

     1. Wählen Sie Datei auswählen und wählen Sie die CSV-Datei von Ihrem Computer aus.

     2. Wählen Sie Ressourcen hinzufügen aus.

9. Optional. Fügen Sie alle Tags hinzu, die auf den Analysator angewendet werden sollen.

10. Wählen Sie Absenden aus.

Wenn Sie einen internen Access Analyzer mit der Organisation als Vertrauenszone erstellen, AWSServiceRoleForAccessAnalyzer wird in jedem Konto Ihrer Organisation eine mit einem Dienst verknüpfte Rolle mit dem Namen erstellt.