AWS IAM Access Analyzer 入門 - AWS Identity and Access Management

AWS IAM Access Analyzer 入門

藉由此主題內的資訊,了解 AWS IAM Access Analyzer 使用及管理的必備需求,並學習如何啟用 Access Analyzer。若要進一步了解 Access Analyzer 的服務連結角色,請參閱 使用 AWS IAM Access Analyzer 的服務連結角色

使用 Access Analyzer 的必要許可

若要成功設定和使用 Access Analyzer,您使用的帳戶必須獲得必要的許可。

AWS Access Analyzer 的受管政策

AWS IAM Access Analyzer 提供 AWS 受管政策,協助您快速入門。

  • IAMAccessAnalyzerFullAccess - 允許管理員完整存取 Access Analyzer。此政策也允許建立服務連結的角色,這些角色允許 Access Analyzer 分析您帳戶或 AWS 組織中的資源。

  • IAMAccessAnalyzerReadOnlyAccess - 允許對 Access Analyzer 的唯讀存取權。您必須將其他政策新增到 IAM 身分 (使用者、使用者群組或角色),以允許他們檢視其問題清單。

AWS IAM Access Analyzer 定義的資源

若要檢視 Access Analyzer 定義的資源,請參閱服務授權參考中的 AWS IAM Access Analyzer 定義的資源類型。

必要的 Access Analyzer 服務許可

Access Analyzer 會使用名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色來授與服務唯讀存取權,即可代表您透過資源型政策來分析 AWS 資源。當您建立以帳戶做為信任區域的分析器時,服務會在您的帳戶中建立角色。另一方面,當您建立以組織做為信任區域的分析器時,該服務會在屬於組織的每個帳戶中建立角色。如需更多詳細資訊,請參閱 使用 AWS IAM Access Analyzer 的服務連結角色

注意

Access Analyzer 是區域性的。您必須在每個區域中個別啟用 Access Analyzer。

在部分案例中,Access Analyzer 啟用後,Findings (問題清單) 頁面不會載入任何問題清單,這可能是因為主控台在填入您的問題清單時出現延遲。您必須手動重新整理瀏覽器,才能檢視問題清單。若仍看不到問題清單,原因是您的帳戶沒有外部實體可存取的支援資源。若資源套用的政策會將存取權授與外部實體,則 Access Analyzer 會產生問題清單。

注意

修改政策後,Access Analyzer 至多可能需要 30 分鐘才能分析資源並產生新的問題清單,或者更新資源存取現有的問題清單。

啟用 Access Analyzer

若要在某區域內啟用 Access Analyzer,您必須在該區域建立分析器。您想在其中監控資源存取的每個區域,都必須建立分析器。

建立以帳戶做為信任區域的分析器

  1. 在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/

  2. 選擇 Access analyzer (存取分析器)

  3. 選擇 Create analyzer (建立分析器)

  4. Create analyzer (建立分析器) 頁面上,確認所顯示的區域是您要啟用 Access Analyzer 的區域。

  5. 輸入分析器的名稱。

  6. 選擇帳戶做為分析器的信任區域。

    注意

    如果您的帳戶不是 AWS Organizations 管理帳戶或委派管理員帳戶,做為信任區域的帳戶就只能建立一個分析器。

  7. 選用。新增您要套用至分析器的標籤。

  8. 選擇 Create Analyzer (建立分析器)

建立分析器來啟用 Access Analyzer 時,您的帳戶會建立名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色。

建立以組織做為信任區域的分析器

  1. 在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/

  2. 選擇 Access analyzer (存取分析器)

  3. 選擇 Create analyzer (建立分析器)

  4. Create analyzer (建立分析器) 頁面上,確認所顯示的區域是您要啟用 Access Analyzer 的區域。

  5. 輸入分析器的名稱。

  6. 選擇組織做為分析器的信任區域。

  7. 選用。新增您要套用至分析器的標籤。

  8. 選擇 Create Analyzer (建立分析器)

當您建立以組織做為信任區域的分析器時,名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色會在組織的每個帳戶中建立。

Access Analyzer 狀態

若要檢視分析器的狀態,請選擇 Analyzers (分析器)。為組織或帳戶建立的分析器可能具備下列狀態:

狀態 描述

作用中

分析器正在監控信任區域內的資源。分析器會主動產生新的問題清單,並更新現有的問題清單。

正在建立

分析器仍在建立中。建立完成後,分析器就會變成作用中狀態。

已停用

分析器已停用,這是因 AWS Organizations 管理員所採取的動作而導致。例如,移除身分為 Access Analyzer 委派管理員的分析器帳戶。當分析器處於已停用狀態時,不會產生新的問題清單或更新現有的問題清單。

失敗

由於組態發生問題,分析器建立失敗。分析器不會產生任何問題清單。請刪除該分析器並建立新的分析器。

Access Analyzer 配額

Access Analyzer 具有以下配額:

資源 預設配額 最大配額

單一帳戶信任區域的分析器數量上限

1

1

組織信任區域的分析器數量上限

5

20¹

每個分析器的存檔規則數量上限

100

每個封存規則的每個條件最多可擁有 20 個值。

1,000¹

每小時每個分析器的存取預覽數目上限

1,000

1,000

AWS CloudTrail 每個政策產生處理的日誌檔

100,000

100,000

並行政策產生

1

1

政策產生 AWS CloudTrail 資料大小

25 GB

25 GB

政策產生 AWS CloudTrail 時間範圍

90 天

90 天

每天政策產生

非洲 (開普敦):5

亞太區域 (香港):5

歐洲 (米蘭):5

中東 (巴林):5

所有其他支援的區域:50

注意

取消的政策產生要求會套用至每日配額。

非洲 (開普敦):5

亞太區域 (香港):5

歐洲 (米蘭):5

中東 (巴林):5

所有其他支援的區域:50

¹客戶可使用 Service Quotas 設定某些配額。