Access Analyzer 的設定 - AWS Identity and Access Management

Access Analyzer 的設定

如果您是在 AWS Organizations 管理帳戶中配置 AWS IAM Access Analyzer,則可將組織中的成員帳戶新增為委派管理員,以管理組織的 Access Analyzer。委派管理員擁有建立及管理以組織做為信任區域之分析器的許可。只有管理帳戶可以新增委派管理員。

Access Analyzer 的委派管理員

Access Analyzer 的委派管理員是組織內的成員帳戶,其擁有建立及管理以組織做為信任區域之分析器的許可。只有管理帳戶可以新增、移除或變更委派管理員。

如果您新增委派管理員,您可以在稍後將委派管理員變更為不同帳戶。當您這麼做時,先前的委派管理員帳戶會失去使用該帳戶所建立且信任區域為組織的所有分析器的許可。這類分析器會進入已停用狀態,且不會再產生新的問題清單或更新現有的問題清單。您也無法無法再存取這類分析器的現有問題清單。您未來可透過將該帳戶配置為委派管理員,而再次存取那些問題清單。如果您知道您不會使用該相同的帳戶作為委派管理員,請考慮在變更委派管理員之前刪除分析器。這會刪除所有產生的問題清單。當新的委派管理員建立新的分析器時,則會產生相同問題清單的新執行個體。你不會遺失任何問題清單,它們只是在不同的帳戶中為新的分析器而產生。而且您可以使用組織管理帳戶 (該帳戶也具有管理員許可) 繼續存取組織的問題清單。新委派的管理員必須為 Access Analyzer 建立新的分析器,才能開始在組織中監控資源。

如果委派管理員離開 AWS 組織,則委派管理權限會從該帳戶中移除。帳戶中所有以組織做為信任區域的分析器都會進入已停用狀態,您也無法無法再存取這類分析器的現有問題清單。

第一次在管理帳戶中配置分析器時,您可以選擇 IAM 主控台 Access Analyzer 首頁上顯示的 Add delegated administrator (新增委派管理員) 選項。

使用主控台新增委派管理員

  1. 使用您組織的管理帳戶登入 AWS 主控台。

  2. 在以下網址開啟 IAM 主控台:https://console.aws.amazon.com/iam/

  3. Access Analyzer (存取分析器) 下,選擇 Settings (設定)

  4. 選擇 Add delegated administrator (新增委派管理員)

  5. 輸入組織成員帳戶的帳戶號碼,以新增委派管理員。

    此帳戶必須是您組織的成員。

  6. 選擇 Save changes (儲存變更)。

使用 AWS CLI 或 AWS 開發套件新增委派管理員

當您透過 AWS CLI、AWS API (使用 AWS 開發套件) 或 AWS CloudFormation 在委派管理員帳戶中建立以組織做為信任區域的分析器時,請務必使用 AWS Organizations API 為 Access Analyzer 啟用服務存取,並將成員帳戶註冊為委派管理員。

  1. 為 AWS Organizations 中的 Access Analyzer 啟用信任的服務存取。請參閱 AWS Organizations 使用者指南中的如何啟用或停用信任的存取

  2. 使用 AWS Organizations RegisterDelegatedAdministrator API 操作或 register-delegated-administrator AWS CLI 命令,將 AWS 組織的有效成員帳戶註冊為委派管理員。

變更委派管理員後,新的管理員必須建立分析器,以開始在組織中監控資源的存取權。