建立 IAM Access Analyzer 內部存取分析器

若要在區域中啟用內部存取分析器，您必須在該區域中建立分析器。您必須在要監控資源存取權的每個區域中建立內部存取分析器。

根據每個分析器每月監控的資源數量，IAM Access Analyzer 會收取內部存取分析的費用。如需定價的詳細資訊，請參閱 IAM Access Analyzer 定價。

注意

建立或更新分析器之後，可能需要一些時間才能使用問題清單。

IAM Access Analyzer 無法為包含超過 70，000 個主體的組織產生內部存取調查結果 (IAM 使用者和角色合計）。

您只能在 AWS 組織中建立一個組織層級的內部存取分析器。

使用 AWS 帳戶 作為信任區域來建立內部存取分析器

1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

2. 在 Access Analyzer 下，選擇分析器設定。

3. 選擇 Create analyzer (建立分析器)。

4. 在分析區段中，選擇資源分析 - 內部存取。

5. 在分析器詳細資訊區段中，確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。

6. 輸入分析器的名稱。

7. 選擇目前帳戶作為分析器的信任區域。

   注意

   如果您的帳戶不是 AWS Organizations 管理帳戶或委派管理員帳戶，您只能使用您的帳戶建立一個分析器做為信任區域。

8. 在要分析的資源區段中，新增要監控的分析器資源。

   • 若要依帳戶新增資源，請選擇新增 > 從所選帳戶新增資源。

     1. 選擇所有支援的資源類型，或選擇定義特定資源類型，然後從資源類型清單中選擇資源類型。

        內部存取分析器支援下列資源類型：

        • Amazon Simple Storage Service 儲存貯體

        • Amazon Simple Storage Service 目錄儲存貯體

        • Amazon Relational Service 資料庫快照

        • Amazon Relational Database Service 資料庫叢集快照

        • Amazon DynamoDB Streams

        • Amazon DynamoDB 資料表

     2. 選擇新增資源。

   • 若要依 Amazon Resource Name (ARN) 新增資源，請選擇透過貼上資源 ARN 來新增 > 新增資源。

     1. 對於每個資源 ARN，輸入帳戶擁有者 ID 和以逗號分隔的資源 ARN。每行輸入一個帳戶擁有者 ID 和資源 ARN。

     2. 選擇新增資源。

   • 若要依 CSV 檔案新增資源，請選擇新增資源 > 透過上傳 CSV 新增資源。

     您可以使用 來AWS 資源總管搜尋帳戶中的資源，並匯出 CSV 檔案。然後，您可以上傳 CSV 檔案來設定分析器要監控的資源。

     1. 選擇選擇檔案，然後從您的電腦中選取 CSV 檔案。

     2. 選擇新增資源。

9. 選用。新增您要套用至分析器的標籤。

10. 選擇 Create analyzer (建立分析器)。

當您建立內部存取分析器以啟用 IAM Access Analyzer 時，會在您的帳戶中AWSServiceRoleForAccessAnalyzer建立名為 的服務連結角色。

使用組織作為信任區域來建立內部存取分析器

1. 前往 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

2. 在 Access Analyzer 下，選擇分析器設定。

3. 選擇 Create analyzer (建立分析器)。

4. 在分析區段中，選擇資源分析 - 內部存取。

5. 在分析器詳細資訊區段中，確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。

6. 輸入分析器的名稱。

7. 選擇整個組織做為分析器的信任區域。

8. 在要分析的資源區段中，新增要監控的分析器資源。

   • 若要為帳戶新增資源，請選擇新增資源 > 從所選帳戶新增資源。

     1. 選擇所有支援的資源類型，或選擇定義特定資源類型，然後從資源類型清單中選擇資源類型。

        內部存取分析器支援下列資源類型：

        • Amazon Simple Storage Service 儲存貯體

        • Amazon Simple Storage Service 目錄儲存貯體

        • Amazon Relational Service 資料庫快照

        • Amazon Relational Database Service 資料庫叢集快照

        • Amazon DynamoDB Streams

        • Amazon DynamoDB 資料表

     2. 若要從您的組織選取帳戶，請選擇從組織選取。在選取帳戶區段中，選擇階層以依組織結構選取帳戶，或選擇清單以從組織中的所有帳戶清單中選取帳戶。

        若要從組織手動輸入帳戶，請選擇輸入 AWS 帳戶 ID。在帳戶 AWS 帳戶 IDs欄位中輸入以逗號分隔的一或多個 ID。 AWS

     3. 選擇新增資源。

   • 若要依 Amazon Resource Name (ARN) 新增資源，請選擇透過貼上資源 ARN 來新增資源 > 新增資源。

     1. 對於每個資源 ARN，輸入帳戶擁有者 ID 和以逗號分隔的資源 ARN。每行輸入一個帳戶擁有者 ID 和資源 ARN。

     2. 選擇新增資源。

   • 若要依 CSV 檔案新增資源，請選擇新增資源 > 透過上傳 CSV 新增資源。

     您可以使用 AWS 資源總管搜尋帳戶中的資源，並匯出 CSV 檔案。然後，您可以上傳 CSV 檔案來設定分析器要監控的資源。

     1. 選擇選擇檔案，然後從您的電腦中選取 CSV 檔案。

     2. 選擇新增資源。

9. 選用。新增您要套用至分析器的標籤。

10. 選擇提交。

當您使用組織做為信任區域建立內部存取分析器時，AWSServiceRoleForAccessAnalyzer會在組織的每個帳戶中建立名為 的服務連結角色。