本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSAWS Identity and Access Management 存取分析器的受管理原則
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新 AWS 服務 的 API 操作可用於現有服務時,最有可能更新 AWS 受管理策略。
如需詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策。
IAM ReadOnlyAccess
若要允許 IAM 資源的唯讀存取,請使用 IAMReadOnlyAccess 受管政策。此政策授予取得和列出所有 IAM 資源的許可。它允許檢視使用者、群組、角色、政策、身分提供者和 MFA 裝置的詳細資訊與活動報告。它不包括建立或刪除資源或存取 IAM Access Analyzer 資源的能力。查看政策
IAM UserChangePassword
使用 IAMUserChangePassword 受管政策可允許 IAM 使用者變更自己的密碼。
您可以設定 IAM 帳戶設定與密碼政策,以允許 IAM 使用者變更其 IAM 帳戶密碼。當您允許此動作時,IAM 會將下列政策連接至每位使用者:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ChangePassword" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy" ], "Resource": "*" } ] }
IAM AccessAnalyzerFullAccess
使用受IAMAccessAnalyzerFullAccess AWS 管政策允許管理員存取 IAM 存取分析器。
許可群組
此政策會根據提供的許可集分組到陳述式中。
-
IAM Access Analyzer – 允許對 IAM Access Analyzer 中所有資源的完整管理許可。
-
建立服務連結角色 – 允許管理員建立服務連結角色,允許 IAM Access Analyzer 代表您分析其他服務中的資源。此許可允許建立僅供 IAM Access Analyzer 使用的服務連結角色。
-
AWS Organizations – 允許管理員在 AWS Organizations中針對組織使用 IAM Access Analyzer。在中啟用 IAM Access Analyzer 的受信任存取權後 AWS Organizations,管理帳戶的成員可以檢視其組織中的發現結果。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "access-analyzer:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "access-analyzer.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots" ], "Resource": "*" } ] }
IAM AccessAnalyzerReadOnlyAccess
使用受IAMAccessAnalyzerReadOnlyAccess AWS 管政策允許 IAM 存取分析器的唯讀存取權。
若要允許存取 IAM Access Analyzer 的唯讀存取權 AWS Organizations,請建立客戶受管政策,以允許受IAM AccessAnalyzerFullAccess AWS 管政策中的「描述」和「列出」動作。
服務層級許可
此政策提供 IAM Access Analyzer 的唯讀存取權。此政策中不包含任何其他服務許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMAccessAnalyzerReadOnlyAccess", "Effect": "Allow", "Action": [ "access-analyzer:CheckAccessNotGranted", "access-analyzer:CheckNoNewAccess", "access-analyzer:Get*", "access-analyzer:List*", "access-analyzer:ValidatePolicy" ], "Resource": "*" } ] }
AccessAnalyzerServiceRolePolicy
您無法附加 AccessAnalyzerServiceRolePolicy 到 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 IAM Access Analyzer 代表您執行動作。如需詳細資訊,請參閱針對 AWS Identity and Access Management 存取分析器使用服務連結角色。
許可群組
此政策允許存取 IAM Access Analyzer,分析來自多個 AWS 服務的資源中繼資料。
-
Amazon DynamoDB 支援 — 允許檢視 DynamoDB 庫串流和表格。
-
Amazon Elastic Compute Cloud — 允許描述 IP 地址、快照和 VPC 的許可。
-
Amazon Elastic Container Registry — 允許描述映像儲存庫和擷取儲存庫政策的許可。
-
Amazon Elastic File System — 允許檢視 Amazon EFS 檔案系統的說明,並檢視 Amazon EFS 檔案系統資源層級政策的許可。
-
AWS Identity and Access Management — 允許擷取有關指定角色的資訊,並列出具有指定路徑前置詞的 IAM 角色的許可。允許擷取有關使用者、使用者群組、登入設定檔、存取金鑰和服務上次存取資料的資訊。
-
AWS Key Management Service — 允許檢視有關 KMS 金鑰及其金鑰政策和授予詳細資訊的許可。
-
AWS Lambda — 允許檢視 Lambda 別名、函數、層和別名相關資訊的許可。
-
AWS Organizations— 允許組 Organizations 權限,並允許在 AWS 組織內建立分析器作為信任區域。
-
Amazon Relational Database Service — 允許檢視有關 Amazon RDS 資料庫快照和 Amazon RDS 資料庫叢集快照詳細資訊的許可。
-
亞馬遜簡單儲存服務 — 允許許可檢視有關使用 Amazon S3 Express One 儲存類別的 Amazon S3 存取點、儲存貯體和 Amazon S3 目錄儲存貯體的詳細資訊。
-
AWS Secrets Manager — 允許檢視有關附加至秘密的秘密和資源政策詳細資訊的許可。
-
Amazon Simple Notification Service — 允許檢視有關主題詳細資訊的許可。
-
Amazon Simple Queue Service — 允許檢視有關指定佇列詳細資訊的許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessAnalyzerServiceRolePolicy", "Effect": "Allow", "Action": [ "dynamodb:GetResourcePolicy", "dynamodb:ListStreams", "dynamodb:ListTables", "ec2:DescribeAddresses", "ec2:DescribeByoipCidrs", "ec2:DescribeSnapshotAttribute", "ec2:DescribeSnapshots", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:GetSnapshotBlockPublicAccessState", "ecr:DescribeRepositories", "ecr:GetRepositoryPolicy", "elasticfilesystem:DescribeFileSystemPolicy", "elasticfilesystem:DescribeFileSystems", "iam:GenerateServiceLastAccessedDetails", "iam:GetAccessKeyLastUsed" "iam:GetGroup", "iam:GetLoginProfile", "iam:GetRole", "iam:GetServiceLastAccessedDetails", "iam:GetUser", "iam:ListAccessKeys", "iam:ListEntitiesForPolicy", "iam:ListRoles", "iam:ListUsers", "kms:DescribeKey", "kms:GetKeyPolicy", "kms:ListGrants", "kms:ListKeyPolicies", "kms:ListKeys", "lambda:GetFunctionUrlConfig", "lambda:GetLayerVersionPolicy", "lambda:GetPolicy", "lambda:ListAliases", "lambda:ListFunctions", "lambda:ListLayers", "lambda:ListLayerVersions", "lambda:ListVersionsByFunction", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBSnapshotAttributes", "rds:DescribeDBSnapshots", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetAccessPoint", "s3:GetAccessPointPolicy", "s3:GetAccessPointPolicyStatus", "s3:GetAccountPublicAccessBlock", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketPolicyStatus", "s3:GetBucketPolicy", "s3:GetBucketPublicAccessBlock", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListAccessPoints", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "sns:GetTopicAttributes", "sns:ListTopics", "secretsmanager:DescribeSecret", "secretsmanager:GetResourcePolicy", "secretsmanager:ListSecrets", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" } ] }
IAM 和 IAM Access Analyzer 對 AWS 受管政策的更新
檢視自服務開始追蹤這些變更以來,IAM 和 AWS 受管政策的更新詳細資料。如需有關此頁面變更的自動提醒,請訂閱 IAM 和 IAM Access Analyzer 文件歷程記錄頁面上的 RSS 摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
| AccessAnalyzerServiceRolePolicy |
IAM 存取分析器新增了許可支援,可將 Amazon EC2 快照的區塊公共存取目前狀態擷取到的服務層級許可。AccessAnalyzerServiceRolePolicy |
2024 年 1 月 23 日 |
| AccessAnalyzerServiceRolePolicy |
IAM 存取分析器將 DynamoDB 串流和表格的支援新增到的服務層級許可。AccessAnalyzerServiceRolePolicy |
2024年1月11日 |
| AccessAnalyzerServiceRolePolicy |
IAM 存取分析器將 Amazon S3 目錄儲存貯體的AccessAnalyzerServiceRolePolicy支援新增至的服務層級許可。 |
2023 年 12 月 1 日 |
|
IAM AccessAnalyzerReadOnlyAccess — 新增的許可 |
IAM Access Analyzer 新增了許可,可用來檢查政策更新是否授予其他存取權。 IAM Access Analyzer 需要此許可,才能對您的政策執行政策檢查。 |
2023 年 11 月 26 日 |
| AccessAnalyzerServiceRolePolicy |
IAM Access Analyzer 為 AccessAnalyzerServiceRolePolicy 服務層級許可新增了 IAM 動作,以支援下列動作:
|
2023 年 11 月 26 日 |
| AccessAnalyzerServiceRolePolicy |
IAM Access Analyzer 在 AccessAnalyzerServiceRolePolicy 服務層級許可中已新增對下列資源類型的支援:
|
2022 年 10 月 25 日 |
| AccessAnalyzerServiceRolePolicy |
IAM Access Analyzer 對 AccessAnalyzerServiceRolePolicy 的服務層級許可新增了 lambda:GetFunctionUrlConfig 動作。 |
2022 年 4 月 6 日 |
| AccessAnalyzerServiceRolePolicy |
IAM Access Analyzer 新增了新的 Amazon S3 動作,以分析與多區域存取點相關聯的中繼資料。 | 2021 年 9 月 2 日 |
|
IAM AccessAnalyzerReadOnlyAccess — 新增的許可 |
IAM Access Analyzer 新增了新的動作,以授予 IAM Access Analyzer 需要此許可,才能對您的政策執行政策檢查。 |
2021 年 3 月 16 日 |
|
IAM Access Analyzer 開始追蹤變更 |
IAM 存取分析器開始追蹤其 AWS 受管政策的變更。 |
2021 年 3 月 1 日 |
