AWS Identity and Access Management Access Analyzer 的 AWS 受管政策 - AWS Identity and Access Management

AWS Identity and Access Management Access Analyzer 的 AWS 受管政策

若要新增許可給使用者、群組和角色,使用 AWS 受管政策比自己撰寫政策更容易。建立 IAM 客戶受管政策需要時間和專業知識,而受管政策可為您的團隊提供其所需的許可。若要快速開始使用,您可以使用 AWS 受管政策。這些政策涵蓋常見的使用案例,並可在您的 AWS 帳戶中可用。如需 AWS 受管政策的詳細資訊,請參閱《IAM 使用者指南》中的 AWS 受管政策

AWS 服務會維護和更新 AWS 受管政策。您無法更改 AWS 受管政策中的許可。服務偶爾會在 AWS 受管政策中新增其他許可以支援新功能。此類型的更新會影響已連接政策的所有身分識別 (使用者、群組和角色)。當新功能啟動或新操作可用時,服務很可能會更新 AWS 受管政策。服務不會從 AWS 受管政策中移除許可,因此政策更新不會破壞您現有的許可。

此外,AWS 支援跨越多項服務之任務職能的受管政策。例如,ReadOnlyAccess AWS 受管政策提供針對所有 AWS 服務和資源的唯讀存取權限。當服務啟動新功能時,AWS 會為新的操作和資源新增唯讀許可。如需任務職能政策的清單和說明,請參閱《IAM 使用者指南》有關任務職能的 AWS 受管政策

IAMReadOnlyAccess

若要允許 IAM 資源的唯讀存取,請使用 IAMReadOnlyAccess 受管政策。此政策授予取得和列出所有 IAM 資源的許可。它允許檢視使用者、群組、角色、政策、身分提供者和 MFA 裝置的詳細資料與活動報告。它不包括建立或刪除資源或存取 IAM Access Analyzer 資源的能力。查看政策以了解此政策支援之服務和動作的完整清單。

IAMUserChangePassword

使用 IAMUserChangePassword 受管政策可允許 IAM 使用者變更自己的密碼。

您可以設定 IAM 帳戶設定密碼政策,以允許 IAM 使用者變更其 IAM 帳戶密碼。當您允許此動作時,IAM 會將下列政策連接至每位使用者:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ChangePassword" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy" ], "Resource": "*" } ] }

IAMAccessAnalyzerFullAccess

若要允許管理員存取 IAM Access Analyzer,請使用 IAMAccessAnalyzerFullAccess AWS 受管政策。

許可群組

此政策會根據提供的許可集分組到陳述式中。

  • IAM Access Analyzer – 允許對 IAM Access Analyzer 中所有資源的完整管理許可。

  • 建立服務連結角色 – 允許管理員建立服務連結角色,允許 IAM Access Analyzer 代表您分析其他服務中的資源。此許可允許建立僅供 IAM Access Analyzer 使用的服務連結角色。

  • AWS Organizations – 允許管理員在 AWS Organizations 中針對組織使用 IAM Access Analyzer。在 AWS Organizations 中針對 IAM Access Analyzer 啟用受信任的存取權限後,管理帳戶的成員即可檢視其組織中的搜尋結果。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "access-analyzer:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "access-analyzer.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots" ], "Resource": "*" } ] }

IAMAccessAnalyzerReadOnlyAccess

若要允許 IAM Access Analyzer 的唯讀存取,請使用 IAMAccessAnalyzerReadOnlyAccess AWS 受管政策。

若還要允許對 AWS Organizations 的 IAM Access Analyzer 進行唯讀存取,請建立客戶受管政策,允許來自 IAMAccessAnalyzerFullAccess AWS 受管政策的 Describe (描述) 和 List (列出) 動作。

服務層級許可

此政策提供 IAM Access Analyzer 的唯讀存取權。此政策中不包含任何其他服務許可。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "access-analyzer:Get*", "access-analyzer:List*", "access-analyzer:ValidatePolicy" ], "Resource": "*" } ] }

AccessAnalyzerServiceRolePolicy

您無法將 AccessAnalyzerServiceRolePolicy 連接至 IAM 實體。此政策會連接到服務連結角色,而此角色可讓 IAM Access Analyzer 代表您執行動作。如需詳細資訊,請參閱 使用 AWS IAM Access Analyzer 的服務連結角色

服務層級許可

此政策允許存取 IAM Access Analyzer,分析來自多個 AWS 服務 的資源中繼資料。此政策也允許 AWS Organizations 的許可,並允許在 AWS 組織內建立分析器作為信任區域。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetBucketPublicAccessBlock", "s3:GetBucketPolicyStatus", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketPolicy", "s3:ListAccessPoints", "s3:GetAccessPoint", "s3:GetAccessPointPolicy", "s3:GetAccessPointPolicyStatus", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListMultiRegionAccessPoints", "iam:GetRole", "iam:ListRoles", "kms:DescribeKey", "kms:GetKeyPolicy", "kms:ListGrants", "kms:ListKeyPolicies", "kms:ListKeys", "ec2:DescribeVpcs", "ec2:DescribeVpcEndpoints", "ec2:DescribeByoipCidrs", "ec2:DescribeAddresses", "lambda:ListFunctions", "lambda:GetPolicy", "lambda:ListLayers", "lambda:ListLayerVersions", "lambda:GetLayerVersionPolicy", "sqs:GetQueueAttributes", "sqs:ListQueues", "secretsmanager:DescribeSecret", "secretsmanager:GetResourcePolicy", "secretsmanager:ListSecrets", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListChildren", "organizations:ListOrganizationalUnitsForParent", "organizations:ListAccountsForParent", "organizations:ListAccounts", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit" ], "Resource": "*" } ] }

IAM 和 IAM Access Analyzer 對 AWS 受管政策的更新

檢視自這些服務開始追蹤這些變更以來,IAM 和 AWS 受管政策更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 IAM 和 IAM Access Analyzer 文件歷程記錄頁面上的 RSS 摘要。

變更 描述 日期
IAMReadOnlyAccess – IAM 開始追蹤此政策的變更。 IAMReadOnlyAccess 政策允許資源的唯讀存取。 2021 年 12 月 1 日
IAMUserChangePassword – IAM 開始追蹤此政策的變更。 IAMUserChangePassword 政策讓讓使用者變更其密碼。 2021 年 11 月 22 日
AccessAnalyzerServiceRolePolicy – 新增 Amazon S3 多區域存取點的許可 IAM Access Analyzer 新增了新的 Amazon S3 動作,以分析與多區域存取點相關聯的中繼資料。 2021 年 9 月 2 日

IAMAccessAnalyzerReadOnlyAccess – 新增許可以支援政策驗證

IAM Access Analyzer 新增了新的動作,以授予 ValidatePolicy 許可,以允許您使用政策檢查進行驗證。

IAM Access Analyzer 需要此許可,才能對您的政策執行政策檢查。此動作會與 ValidatePolicy API 操作相關聯。

2021 年 3 月 16 日

IAM Access Analyzer 開始追蹤變更

IAM Access Analyzer 開始追蹤其 AWS 受管政策的變更。

2021 年 3 月 1 日