管理 IAM Access Analyzer 内部访问分析器

要在某个区域启用内部访问分析器，必须在该区域创建一个分析器。您必须在要监控资源访问的每个区域中创建一个内部访问分析器。

注意

创建或更新分析器后，可能需要一些时间才能获得调查发现。

更新内部访问分析器

按照以下过程更新内部访问分析器。

1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

2. 在访问分析器下，选择分析器设置。

3. 在分析器部分中，选择要管理的内部访问分析器的名称。

4. 在存档规则选项卡上，您可以为分析器创建、编辑或删除存档规则。有关更多信息，请参阅 存档规则。

5. 在标签选项卡上，您可以为分析器管理和创建标签。有关更多信息，请参阅 AWS Identity and Access Management 资源的标签。

6. 在资源选项卡上，在要分析的资源部分中选择编辑。

   1. 要按账户添加资源，请选择添加资源 > 添加选定账户中的资源。

      1. 选择所有支持的资源类型，或者选择定义特定的资源类型，然后从资源类型列表中选择资源类型。

         内部访问分析器支持以下资源类型：

         • Amazon Simple Storage Service 存储桶

         • Amazon Simple Storage Service 目录存储桶

         • Amazon Relational Database Service 数据库快照

         • Amazon Relational Database Service 数据库集群快照

         • Amazon DynamoDB Streams

         • Amazon DynamoDB 表

      2. 选择添加资源。

   2. 要按 Amazon 资源名称 (ARN) 添加资源，请选择添加资源 > 通过粘贴资源 ARN 来添加资源。

      1. 对于每个资源 ARN，输入账户所有者 ID 和资源 ARN（以逗号分隔）。每行输入一个账户所有者 ID 和资源 ARN。

      2. 选择添加资源。

   3. 要通过 CSV 文件添加资源，请选择添加资源 > 通过上传 CSV 添加资源。

      您可以使用 AWS 资源探索器 搜索您账户中的资源并导出 CSV 文件。然后，您可以上传 CSV 文件来配置分析器要监控的资源。

      1. 选择选择文件，然后从您的计算机中选择 CSV 文件。

      2. 选择添加资源。

   4. 要从分析器中删除资源，请选中要删除的资源旁边的复选框，然后选择删除。

   5. 选择保存更改。

注意

分析器的任何更新都将在 24 小时内的下一次自动重新扫描中进行评估。

删除内部访问分析器

按照以下过程删除内部访问分析器。删除分析器后，将不再监控资源，也不会生成新的调查发现。分析器生成的所有调查发现都将被删除。

1. 通过 https://console.aws.amazon.com/iam/ 打开 IAM 控制台。

2. 在访问分析器下，选择分析器设置。

3. 在分析器部分中，选择要删除的内部访问分析器的名称。

4. 选择删除分析器。

5. 输入 delete 并选择删除以确认删除分析器。