创建 IAM Access Analyzer 内部访问分析器
要在某个区域启用内部访问分析器,必须在该区域创建一个分析器。您必须在要监控资源访问的每个区域中创建一个内部访问分析器。
IAM Access Analyzer 根据每个分析器每月监控的资源数量对内部访问分析收费。有关定价的更多详细信息,请参阅 IAM Access Analyzer 定价
注意
创建或更新分析器后,可能需要一些时间才能获得调查发现。
IAM Access Analyzer 无法为包含超过 70,000 个主体(IAM 用户和角色合并)的组织生成内部访问调查发现。
您只能在 AWS 组织中创建一个组织级别内部访问分析器。
创建以 AWS 账户作为信任区域的内部访问分析器
-
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在访问分析器下,选择分析器设置。
-
选择 Create analyzer (创建分析器)。
-
在分析部分,选择资源分析 - 内部访问。
-
在分析器详细信息部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
-
输入分析器的名称。
-
选择当前账户作为分析器的信任区域。
注意
如果您的账户不是 AWS Organizations 管理账户或委托管理员账户,则您只能创建一个将您的账户作为信任区域的分析器。
-
在要分析的资源部分,添加分析器要监控的资源。
-
要按账户添加资源,请选择添加 > 添加选定账户中的资源。
-
选择所有支持的资源类型,或者选择定义特定的资源类型,然后从资源类型列表中选择资源类型。
内部访问分析器支持以下资源类型:
-
选择添加资源。
-
-
要按 Amazon 资源名称 (ARN) 添加资源,请选择添加 > 通过粘贴资源 ARN 来添加资源。
-
对于每个资源 ARN,输入账户所有者 ID 和资源 ARN(以逗号分隔)。每行输入一个账户所有者 ID 和资源 ARN。
-
选择添加资源。
-
-
要通过 CSV 文件添加资源,请选择添加资源 > 通过上传 CSV 添加资源。
您可以使用 AWS 资源探索器 搜索您账户中的资源并导出 CSV 文件。然后,您可以上传 CSV 文件来配置分析器要监控的资源。
-
选择选择文件,然后从您的计算机中选择 CSV 文件。
-
选择添加资源。
-
-
-
可选。添加要应用于分析器的所有标签。
-
选择 Create analyzer (创建分析器)。
创建内部访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。
创建以组织作为信任区域的内部访问分析器
-
通过 https://console.aws.amazon.com/iam/
打开 IAM 控制台。 -
在访问分析器下,选择分析器设置。
-
选择 Create analyzer (创建分析器)。
-
在分析部分,选择资源分析 - 内部访问。
-
在分析器详细信息部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
-
输入分析器的名称。
-
选择整个组织作为分析器的信任区域。
-
在要分析的资源部分,添加分析器要监控的资源。
-
要为账户添加资源,请选择添加资源 > 添加选定账户中的资源。
-
选择所有支持的资源类型,或者选择定义特定的资源类型,然后从资源类型列表中选择资源类型。
内部访问分析器支持以下资源类型:
-
要从您的组织选择账户,请选择从组织中选择。在选择账户部分,选择层次结构以按组织结构选择账户,或选择列表以从您的组织中所有账户的列表中选择账户。
要手动输入组织中的账户,请选择输入 AWS 账户 ID。在 AWS 账户 IDAWS 账户 字段中输入一个或多个 ID(用逗号分隔)。
-
选择添加资源。
-
-
要按 Amazon 资源名称 (ARN) 添加资源,请选择添加资源 > 通过粘贴资源 ARN 来添加资源。
-
对于每个资源 ARN,输入账户所有者 ID 和资源 ARN(以逗号分隔)。每行输入一个账户所有者 ID 和资源 ARN。
-
选择添加资源。
-
-
要通过 CSV 文件添加资源,请选择添加资源 > 通过上传 CSV 添加资源。
您可以使用 AWS 资源探索器 搜索您账户中的资源并导出 CSV 文件。然后,您可以上传 CSV 文件来配置分析器要监控的资源。
-
选择选择文件,然后从您的计算机中选择 CSV 文件。
-
选择添加资源。
-
-
-
可选。添加要应用于分析器的所有标签。
-
选择提交。
在创建以组织作为信任区域的内部访问分析器时,系统会在组织的每个账户中创建名为 AWSServiceRoleForAccessAnalyzer 的服务相关角色。
