AWS Identity and Access Management Access Analyzer 問題清單入門 - AWS Identity and Access Management

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Identity and Access Management Access Analyzer 問題清單入門

使用本主題中的資訊來了解使用和管理所需的需求 AWS Identity and Access Management Access Analyzer,以及如何啟用 IAM 存取分析器。若要進一步了解 IAM Access Analyzer 的服務連結角色,請參閱 使用 AWS Identity and Access Management Access Analyzer 的服務連結角色

使用 IAM Access Analyzer 的必要許可

若要成功設定和使用 IAM Access Analyzer,您使用的帳戶必須獲得必要的許可。

AWS IAM 存取分析器的受管政策

AWS Identity and Access Management Access Analyzer 提供 AWS 受管理的原則,協助您快速開始使用。

  • IAM AccessAnalyzerFullAccess-允許管理員完全訪問 IAM 訪問分析器。此政策也允許建立必要的服務連結角色,讓 IAM Access Analyzer 分析您帳戶或 AWS 組織中的資源。

  • IAM AccessAnalyzerReadOnlyAccess-允許對 IAM 訪問分析器進行只讀訪問。您必須將其他政策新增到 IAM 身分 (使用者、使用者群組或角色),以允許他們檢視其問題清單。

IAM Access Analyzer 定義的資源

若要檢視 IAM Access Analyzer 定義的資源,請參閱服務授權參考中的 IAM Access Analyzer 定義的資源類型

必要的 IAM Access Analyzer 服務許可

IAM Access Analyzer 會使用名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色 (SLR)。此 SLR 授予服務唯讀存取權,以利用以 AWS 資源為基礎的政策分析資源,並代表您分析未使用的存取。此服務會在以下情境中為您的帳戶建立角色:

  • 您以自己的帳戶為信任區域建立外部存取權分析器。

  • 您以自己的帳戶為選定帳戶來建立未使用的存取權分析器。

如需詳細資訊,請參閱 使用 AWS Identity and Access Management Access Analyzer 的服務連結角色

注意

IAM Access Analyzer 是區域性的。針對外部存取權,您必須在每個區域中分別啟用 IAM Access Analyzer。

針對未使用的存取權,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。

某些情況下,在 IAM Access Analyzer 中建立外部存取權或未使用的存取權分析器後,系統會載入調查結果頁面或儀表板,但不含任何調查結果或摘要。這可能是因為主控台在填入您的問題清單時出現延遲。您可能須手動重新整理瀏覽器,或稍後再回來檢視調查結果或摘要。若仍沒有看到外部存取權分析器的調查結果,是因為您的帳戶沒有外部實體可存取的支援資源。若資源套用的政策會將存取權授與外部實體,則 IAM Access Analyzer 會產生問題清單。

注意

針對外部存取權分析器,修改政策後,IAM Access Analyzer 最多可能需要 30 分鐘才能分析資源並產生新的調查結果,或者更新資源存取權的現有調查結果。針對外部和未使用的存取權分析器,調查結果的更新內容可能不會立即反映在儀表板中。

檢視調查結果儀表板所需的 IAM Access Analyzer 許可

若要檢視 IAM Access Analyzer 調查結果儀告板,您使用的帳戶必須擁有存取權,才能執行以下必要動作:

若要檢視 IAM Access Analyzer 定義的所有動作,請參閱服務授權參考中的 IAM Access Analyzer 定義的動作

啟用 IAM Access Analyzer

建立以 AWS 帳戶 做為信任區域的外部存取分析器

若要在某區域內啟用外部存取權分析器,您必須在該區域建立分析器。您想監控資源存取權的每個區域,都必須建立外部存取權分析器。

  1. 前往網址 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇 Access analyzer (存取分析器)

  3. 選擇分析器設定

  4. 選擇 Create analyzer (建立分析器)

  5. 分析區段中,選擇外部存取權分析

  6. 分析器詳細資訊區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。

  7. 輸入分析器的名稱。

  8. 選擇目前的 AWS 帳戶做為分析器的信任區域。

    注意

    如果您的帳戶不是 AWS Organizations 管理帳戶或委派的系統管理員帳戶,您只能建立一個以您的帳戶做為信任區域的分析器。

  9. 選用。新增您要套用至分析器的標籤。

  10. 選擇提交

建立外部存取權分析器來啟用 IAM Access Analyzer 時,您的帳戶會建立名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色。

以組織為信任區域建立外部存取權分析器
  1. 前往網址 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇 Access analyzer (存取分析器)

  3. 選擇分析器設定

  4. 選擇 Create analyzer (建立分析器)

  5. 分析區段中,選擇外部存取權分析

  6. 分析器詳細資訊區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。

  7. 輸入分析器的名稱。

  8. 選擇目前組織做為分析器的信任區域。

  9. 選用。新增您要套用至分析器的標籤。

  10. 選擇提交

當您建立以組織做為信任區域的外部存取權分析器時,組織的每個帳戶都會建立名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色。

為目前帳戶建立未使用的存取權分析器

使用下列程序,為單一 AWS 帳戶建立未使用的存取權分析器。針對未使用的存取權,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。

IAM Access Analyzer 會根據每月每個分析器分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價

  1. 前往網址 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇 Access analyzer (存取分析器)

  3. 選擇分析器設定

  4. 選擇 Create analyzer (建立分析器)

  5. 分析區段中,選擇未使用的存取權分析

  6. 輸入分析器的名稱。

  7. 追蹤期間輸入要針對未使用的許可產生調查結果的天數。例如,如果您輸入 90 天,分析器就會針對分析器上次掃描後 90 天或更長時間內任何未使用的許可,為選定帳戶內的 IAM 實體產生調查結果。可選擇 1 到 180 天之間的值。

  8. 選定帳戶選擇目前的 AWS 帳戶

    注意

    如果您的帳戶不是 AWS Organizations 管理帳戶或委派管理員帳戶,您只能以您的帳戶建立一個分析器作為選取的帳戶。

  9. 選用。新增您要套用至分析器的標籤。

  10. 選擇提交

建立未使用的存取權分析器來啟用 IAM Access Analyzer 時,您的帳戶會建立名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色。

使用目前組織建立未使用的存取權分析器

使用下列程序為組織建立未使用的存取分析器,以集中檢閱組織 AWS 帳戶 中的所有內容。針對未使用的存取權分析,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。

IAM Access Analyzer 會根據每月每個分析器分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價

注意

如果從組織中移除成員帳戶,未使用的存取權分析器將在 24 小時後停止產生新的調查結果,並更新該帳戶的現有調查結果。與從組織中移除的成員帳戶相關聯的調查結果,將在 90 天後永久移除。

  1. 前往網址 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  2. 選擇 Access analyzer (存取分析器)

  3. 選擇分析器設定

  4. 選擇 Create analyzer (建立分析器)

  5. 分析區段中,選擇未使用的存取權分析

  6. 輸入分析器的名稱。

  7. 追蹤期間輸入要針對未使用的許可產生調查結果的天數。例如,如果您輸入 90 天,分析器就會針對分析器上次掃描後 90 天或更長時間內任何未使用的許可,為選定組織中所有帳戶的 IAM 實體產生調查結果。可選擇 1 到 180 天之間的值。

  8. 選定帳戶,選擇目前組織做為分析器的選定帳戶。

  9. 選用。新增您要套用至分析器的標籤。

  10. 選擇提交

建立未使用的存取權分析器來啟用 IAM Access Analyzer 時,您的帳戶會建立名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色。

IAM Access Analyzer 狀態

若要檢視分析器的狀態,請選擇 Analyzers (分析器)。為組織或帳戶建立的分析器可能具備下列狀態:

狀態 描述

作用中

外部存取權分析器會主動監控信任區域內的資源。分析器會主動產生新的問題清單,並更新現有的問題清單。

對於未使用的存取分析器,分析器會主動監視所選組織內或指定追蹤期間 AWS 帳戶 內未使用的存取。分析器會主動產生新的問題清單,並更新現有的問題清單。

正在建立

分析器仍在建立中。建立完成後,分析器就會變成作用中狀態。

已停用

由於管理員採取的處 AWS Organizations 理行動,分析器已停用。例如,移除身分為 IAM Access Analyzer 委派管理員的分析器帳戶。當分析器處於停用狀態時,不會產生新的調查結果或更新現有的調查結果。

失敗

由於組態發生問題,分析器建立失敗。分析器不會產生任何問題清單。請刪除該分析器並建立新的分析器。