AWS kebijakan terkelola untuk AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management
IAM ReadOnlyAccessIAM UserChangePasswordIAM AccessAnalyzerFullAccessIAM AccessAnalyzerReadOnlyAccessAccessAnalyzerServiceRolePolicyPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk AWS Identity and Access Management Access Analyzer

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau operasi API baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat Kebijakan yang dikelola AWS dalam Panduan Pengguna IAM.

IAM ReadOnlyAccess

Gunakan kebijakan IAMReadOnlyAccess terkelola untuk mengizinkan akses baca saja ke sumber daya IAM. Kebijakan ini memberikan izin untuk mendapatkan dan mencantumkan semua sumber daya IAM. Ini memungkinkan melihat detail dan laporan aktivitas untuk pengguna, grup, peran, kebijakan, penyedia identitas, dan perangkat MFA. Ini tidak termasuk kemampuan untuk membuat atau menghapus sumber daya atau akses ke sumber daya IAM Access Analyzer. Lihat kebijakan untuk daftar lengkap layanan dan tindakan yang didukung oleh kebijakan ini.

IAM UserChangePassword

Gunakan kebijakan IAMUserChangePassword terkelola untuk memungkinkan pengguna IAM mengubah kata sandi mereka.

Anda mengonfigurasi pengaturan Akun IAM dan kebijakan Kata Sandi untuk memungkinkan pengguna IAM mengubah kata sandi akun IAM mereka. Saat Anda mengizinkan tindakan ini, IAM melampirkan kebijakan berikut ke setiap pengguna:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

IAM AccessAnalyzerFullAccess

Gunakan kebijakan IAMAccessAnalyzerFullAccess AWS terkelola untuk mengizinkan administrator mengakses IAM Access Analyzer.

Pengelompokan izin

Kebijakan ini dikelompokkan ke dalam pernyataan berdasarkan kumpulan izin yang diberikan.

  • IAM Access Analyzer - Memungkinkan izin administratif penuh untuk semua sumber daya di IAM Access Analyzer.

  • Buat peran terkait layanan — Memungkinkan administrator membuat peran terkait layanan, yang memungkinkan IAM Access Analyzer menganalisis sumber daya di layanan lain atas nama Anda. Izin ini memungkinkan pembuatan peran terkait layanan hanya untuk digunakan oleh IAM Access Analyzer.

  • AWS Organizations— Memungkinkan administrator untuk menggunakan IAM Access Analyzer untuk organisasi di. AWS Organizations Setelah mengaktifkan akses tepercaya untuk IAM Access Analyzer di AWS Organizations, anggota akun manajemen dapat melihat temuan di seluruh organisasi mereka.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "access-analyzer:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "access-analyzer.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots"
      ],
      "Resource": "*"
    }
  ]
}

IAM AccessAnalyzerReadOnlyAccess

Gunakan kebijakan IAMAccessAnalyzerReadOnlyAccess AWS terkelola untuk mengizinkan akses hanya-baca ke IAM Access Analyzer.

Untuk juga mengizinkan akses hanya-baca ke IAM Access Analyzer AWS Organizations, buat kebijakan terkelola pelanggan yang memungkinkan tindakan Deskripsikan dan Daftar dari kebijakan terkelola. IAM AccessAnalyzerFullAccess AWS

Izin tingkat layanan

Kebijakan ini menyediakan akses hanya-baca ke IAM Access Analyzer. Tidak ada izin layanan lain yang disertakan dalam kebijakan ini.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMAccessAnalyzerReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "access-analyzer:CheckAccessNotGranted",
        "access-analyzer:CheckNoNewAccess",
        "access-analyzer:Get*",
        "access-analyzer:List*",
        "access-analyzer:ValidatePolicy"
      ],
      "Resource": "*"
    }
  ]
}

AccessAnalyzerServiceRolePolicy

Anda tidak dapat melampirkan AccessAnalyzerServiceRolePolicy ke entitas IAM Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan IAM Access Analyzer untuk melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS Identity and Access Management Access Analyzer.

Pengelompokan izin

Kebijakan ini memungkinkan akses ke IAM Access Analyzer untuk menganalisis metadata sumber daya dari beberapa. Layanan AWS

  • Amazon DynamoDB - Memungkinkan izin untuk melihat aliran dan tabel DynamoDB.

  • Amazon Elastic Compute Cloud - Memungkinkan izin untuk mendeskripsikan alamat IP, snapshot, dan VPC.

  • Amazon Elastic Container Registry - Memungkinkan izin untuk mendeskripsikan repositori gambar dan mengambil kebijakan repositori.

  • Amazon Elastic File System - Memungkinkan izin untuk melihat deskripsi sistem file Amazon EFS dan melihat kebijakan tingkat sumber daya untuk sistem file Amazon EFS.

  • AWS Identity and Access Management— Memungkinkan izin untuk mengambil informasi tentang peran tertentu dan daftar peran IAM yang memiliki awalan jalur tertentu. Memungkinkan izin untuk mengambil informasi tentang pengguna, grup pengguna, profil login, kunci akses, dan layanan data yang terakhir diakses.

  • AWS Key Management Service— Memungkinkan izin untuk melihat informasi rinci tentang kunci KMS dan kebijakan dan hibah utamanya.

  • AWS Lambda— Memungkinkan izin untuk melihat informasi tentang alias, fungsi, lapisan, dan alias Lambda.

  • AWS Organizations— Memungkinkan izin untuk Organizations dan memungkinkan pembuatan analyzer dalam AWS organisasi sebagai zona kepercayaan.

  • Amazon Relational Database Service - Memungkinkan izin untuk melihat informasi terperinci tentang snapshot Amazon RDS DB dan snapshot cluster Amazon RDS DB.

  • Amazon Simple Storage Service - Memungkinkan izin untuk melihat informasi terperinci tentang jalur akses Amazon S3, bucket, dan bucket direktori Amazon S3 yang menggunakan kelas penyimpanan Amazon S3 Express One.

  • AWS Secrets Manager— Memungkinkan izin untuk melihat informasi rinci tentang rahasia dan kebijakan sumber daya yang melekat pada rahasia.

  • Amazon Simple Notification Service - Memungkinkan izin untuk melihat informasi rinci tentang suatu topik.

  • Amazon Simple Queue Service - Memungkinkan izin untuk melihat informasi rinci tentang antrian tertentu.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessAnalyzerServiceRolePolicy",
      "Effect": "Allow",
      "Action": [
        "dynamodb:GetResourcePolicy",
        "dynamodb:ListStreams",
        "dynamodb:ListTables",
        "ec2:DescribeAddresses",
        "ec2:DescribeByoipCidrs",
        "ec2:DescribeSnapshotAttribute",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ec2:GetSnapshotBlockPublicAccessState",
        "ecr:DescribeRepositories",
        "ecr:GetRepositoryPolicy",
        "elasticfilesystem:DescribeFileSystemPolicy",
        "elasticfilesystem:DescribeFileSystems",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:GetAccessKeyLastUsed"
        "iam:GetGroup",
        "iam:GetLoginProfile",
        "iam:GetRole",
        "iam:GetServiceLastAccessedDetails",
        "iam:GetUser",
        "iam:ListAccessKeys",
        "iam:ListEntitiesForPolicy",
        "iam:ListRoles",
        "iam:ListUsers",
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:ListGrants",
        "kms:ListKeyPolicies",
        "kms:ListKeys",
        "lambda:GetFunctionUrlConfig",
        "lambda:GetLayerVersionPolicy",
        "lambda:GetPolicy",
        "lambda:ListAliases",
        "lambda:ListFunctions",
        "lambda:ListLayers",
        "lambda:ListLayerVersions",
        "lambda:ListVersionsByFunction",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots",
        "rds:DescribeDBClusterSnapshotAttributes",
        "rds:DescribeDBClusterSnapshots",
        "rds:DescribeDBSnapshotAttributes",
        "rds:DescribeDBSnapshots",
        "s3:DescribeMultiRegionAccessPointOperation",
        "s3:GetAccessPoint",
        "s3:GetAccessPointPolicy",
        "s3:GetAccessPointPolicyStatus",
        "s3:GetAccountPublicAccessBlock",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPolicy",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetMultiRegionAccessPoint",
        "s3:GetMultiRegionAccessPointPolicy",
        "s3:GetMultiRegionAccessPointPolicyStatus",
        "s3:ListAccessPoints",
        "s3:ListAllMyBuckets",
        "s3:ListMultiRegionAccessPoints",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "sns:GetTopicAttributes",
        "sns:ListTopics",
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:ListSecrets",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues"
      ],
      "Resource": "*"
    }
  ]
}

IAM dan IAM Access Analyzer memperbarui kebijakan terkelola AWS

Lihat detail tentang pembaruan IAM dan kebijakan AWS terkelola sejak layanan mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen Penganalisis Akses IAM dan IAM.

Perubahan Deskripsi Tanggal
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAM Access Analyzer menambahkan dukungan untuk izin untuk mengambil status saat ini dari blokir akses publik untuk snapshot Amazon EC2 ke izin tingkat layanan. AccessAnalyzerServiceRolePolicy 23 Januari 2024
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAM Access Analyzer menambahkan dukungan untuk aliran dan tabel DynamoDB ke izin tingkat layanan. AccessAnalyzerServiceRolePolicy Januari 11, 2024
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAM Access Analyzer menambahkan dukungan untuk bucket direktori Amazon S3 ke izin tingkat layanan. AccessAnalyzerServiceRolePolicy 1 Desember 2023

IAM AccessAnalyzerReadOnlyAccess - Izin Ditambahkan

IAM Access Analyzer menambahkan izin untuk memungkinkan Anda memeriksa apakah pembaruan kebijakan Anda memberikan akses tambahan.

Izin ini diperlukan oleh IAM Access Analyzer untuk melakukan pemeriksaan kebijakan pada kebijakan Anda.

 26 November 2023
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAM Access Analyzer menambahkan tindakan IAM ke izin tingkat layanan untuk mendukung tindakan berikut: AccessAnalyzerServiceRolePolicy

  • Daftar entitas untuk kebijakan

  • Menghasilkan detail layanan yang terakhir diakses

  • Daftar informasi kunci akses

 26 November 2023
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAM Access Analyzer menambahkan dukungan untuk jenis sumber daya berikut ke izin tingkat layanan: AccessAnalyzerServiceRolePolicy

  • Cuplikan volume Amazon EBS

  • Repositori Amazon ECR

  • Sistem file Amazon EFS

  • Cuplikan Amazon RDS DB

  • Cuplikan cluster Amazon RDS DB

  • Topik Amazon SNS

 25 Oktober 2022
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAM Access Analyzer menambahkan lambda:GetFunctionUrlConfig tindakan ke izin tingkat layanan. AccessAnalyzerServiceRolePolicy April 6, 2022
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAM Access Analyzer menambahkan tindakan Amazon S3 baru untuk menganalisis metadata yang terkait dengan titik akses multi-wilayah. 2 September 2021

IAM AccessAnalyzerReadOnlyAccess - Izin Ditambahkan

IAM Access Analyzer menambahkan tindakan baru untuk memberikan ValidatePolicy izin agar Anda dapat menggunakan pemeriksaan kebijakan untuk validasi.

Izin ini diperlukan oleh IAM Access Analyzer untuk melakukan pemeriksaan kebijakan pada kebijakan Anda.

 16 Maret 2021

IAM Access Analyzer mulai melacak perubahan

IAM Access Analyzer mulai melacak perubahan untuk kebijakan yang AWS dikelola.

 1 Maret 2021