IAM Access Analyzer 的設定 - AWS Identity and Access Management
IAM Access Analyzer 的委派管理員刪除分析器

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

IAM Access Analyzer 的設定

如果您是在 AWS Organizations 管理帳戶中配置 AWS Identity and Access Management Access Analyzer,則可將組織中的成員帳戶新增為委派管理員,以管理組織的 IAM Access Analyzer。委派管理員擁有許可,有權建立及管理以組織做為信任區域的分析器。只有管理帳戶可以新增委派管理員。

IAM Access Analyzer 的委派管理員

IAM Access Analyzer 的委派管理員是組織內擁有許可的成員帳戶,有權建立及管理為整個組織分析存取權的分析器。只有管理帳戶可以新增、移除或變更委派管理員。

如果您新增委派管理員,您可以在稍後將委派管理員變更為不同帳戶。當您這麼做時,先前的委派管理員帳戶會失去許可,無法再管理使用該帳戶建立來為整個組織分析存取權的所有分析器。這類分析器會進入已停用狀態,且不會再產生新的問題清單或更新現有的問題清單。您也無法無法再存取這類分析器的現有問題清單。您未來可透過將該帳戶配置為委派管理員,而再次存取那些問題清單。如果您知道您不會使用該相同的帳戶作為委派管理員,請考慮在變更委派管理員之前刪除分析器。這會刪除所有產生的問題清單。當新的委派管理員建立新的分析器時,則會產生相同問題清單的新執行個體。你不會遺失任何問題清單,它們只是在不同的帳戶中為新的分析器而產生。而且您可以使用組織管理帳戶 (該帳戶也具有管理員許可) 繼續存取組織的問題清單。新委派的管理員必須為 IAM Access Analyzer 建立新的分析器,才能開始在組織中監控資源。

如果委派管理員離開 AWS 組織,則委派管理權限會從該帳戶中移除。帳戶中所有以組織做為信任區域的分析器都會進入已停用狀態,您也無法無法再存取這類分析器的現有問題清單。

第一次在管理帳戶中設定分析器時,您可以在 IAM Access Analyzer 主控台的分析器設定頁面中,選擇新增委派管理員

注意

IAM Access Analyzer 會根據每月每個分析器所分析的 IAM 角色和使用者數量,收取未使用的存取權分析器費用。如果您在管理帳戶和委派管理員帳戶中都建立了未使用的存取權分析器,將需支付兩個未使用的存取權分析器的費用。如需定價的詳細資訊,請參閱 IAM Access Analyzer 定價

使用主控台新增委派管理員

  1. 使用您組織的管理帳戶登入 AWS 主控台。

  2. 前往網址 https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

  3. Access Analyzer 下,選擇分析器設定

  4. 選擇 Add delegated administrator (新增委派管理員)

  5. 委派管理員欄位中,輸入組織成員帳戶的 AWS 帳戶號碼以設為委派管理員。

    此帳戶必須是您組織的成員。

  6. 選擇 Save changes (儲存變更)

使用 AWS CLI 或 AWS 開發套件新增委派管理員

當您透過 AWS CLI、AWS API (使用 AWS SDK) 或 AWS CloudFormation 在委派管理員帳戶中建立為整個組織分析存取權的分析器時,請務必使用 AWS Organizations API 為 IAM Access Analyzer 啟用服務存取,並將成員帳戶註冊為委派管理員。

  1. 為 AWS Organizations 中的 IAM Access Analyzer 啟用信任的服務存取。請參閱 AWS Organizations 使用者指南中的如何啟用或停用信任的存取

  2. 使用 AWS Organizations RegisterDelegatedAdministrator API 操作或 register-delegated-administrator AWS CLI 命令,將 AWS 組織的有效成員帳戶註冊為委派管理員。

變更委派管理員後,新的管理員必須建立分析器,以開始在組織中監控資源的存取權。

刪除分析器

您可以從分析器設定頁面刪除現有外部和未使用的存取權分析器。刪除分析器後,系統將不再監視分析器中指定的資源,也不會產生新的調查結果。分析器產生的所有調查結果都會刪除。

若刪除分析器導致其產生的調查結果遭刪除,系統會在分析器刪除後兩天內將事件傳送到 EventBridge。刪除分析器後最多可能需要 90 天才能刪除 Security Hub 調查結果。

刪除分析器

  1. 開啟位於 https://console.aws.amazon.com/iam/ 的 IAM 主控台。

  2. Access Analyzer 下,選擇分析器設定

  3. 選取要刪除的分析器,然後選擇刪除

  4. 在確認方塊中輸入 delete,然後選擇刪除