本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWSAWS Identity and Access Management 存取分析器的受管理原則
受 AWS 管理的策略是由建立和管理的獨立策略 AWS。 AWS 受管理的策略旨在為許多常見使用案例提供權限,以便您可以開始將權限指派給使用者、群組和角色。
請記住, AWS 受管理的政策可能不會為您的特定使用案例授與最低權限權限,因為這些權限可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的客戶管理政策,以便進一步減少許可。
您無法變更受 AWS 管理策略中定義的權限。如果 AWS 更新 AWS 受管理原則中定義的權限,則此更新會影響附加原則的所有主體識別 (使用者、群組和角色)。 AWS 當新的啟動或新API作業可供現有服務使 AWS 服務 用時,最有可能更新 AWS 受管理的策略。
如需詳細資訊,請參閱IAM使用指南中的AWS 受管理策略。
IAMReadOnlyAccess
使用受IAMReadOnlyAccess管理的策略允許IAM資源的唯讀存取權。此政策授予取得及列出所有IAM資源的權限。它可讓您檢視使用者、群組、角色、原則、身分識別提供者和MFA裝置的詳細資料和活動報告。它不包括創建或刪除資源或訪問分析器資源的能力。IAM查看政策
IAMUserChangePassword
使用受IAMUserChangePassword管理的策略允許使用IAM者變更其密碼。
您可以設定 [IAM帳戶] 設定和 [密碼] 原則,以允許IAM使用者變更其IAM帳戶密碼。當您允許此動作時,請IAM將下列原則附加至每個使用者:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ChangePassword" ], "Resource": [ "arn:aws:iam::*:user/${aws:username}" ] }, { "Effect": "Allow", "Action": [ "iam:GetAccountPasswordPolicy" ], "Resource": "*" } ] }
IAMAccessAnalyzerFullAccess
使用受IAMAccessAnalyzerFullAccess AWS 管理原則可讓系統管理員存取存IAM取分析器。
許可群組
此政策會根據提供的許可集分組到陳述式中。
-
IAM存取分析器 — 允許存取分析器中所有資源的IAM完整管理權限。
-
建立服務連結角色 — 允許管理員建立服務連結角色,讓 IAM Access Analyzer 代表您分析其他服務中的資源。此權限允許建立僅供IAM存取分析器使用的服務連結角色。
-
AWS Organizations— 可讓系統管理員針對中的組織使用IAM存取分析器 AWS Organizations。在中啟用 IAM Access Analyzer 的受信任存取權之後 AWS Organizations,管理帳戶的成員可以檢視其組織中的發現項目。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "access-analyzer:*" ], "Resource": "*" }, { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": "access-analyzer.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots" ], "Resource": "*" } ] }
IAMAccessAnalyzerReadOnlyAccess
使用受IAMAccessAnalyzerReadOnlyAccess AWS 管理的原則來允許存取分析器的唯讀IAM存取權。
若要同時允許存取分析器的唯讀IAM存取權 AWS Organizations,請建立客戶管理的政策,以允許受IAMAccessAnalyzerFullAccess AWS 管理的策略執行「描述」和「清單」動作。
服務層級許可
此原則提供存取分析器的唯讀IAM存取權。此政策中不包含任何其他服務許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "IAMAccessAnalyzerReadOnlyAccess", "Effect": "Allow", "Action": [ "access-analyzer:CheckAccessNotGranted", "access-analyzer:CheckNoNewAccess", "access-analyzer:Get*", "access-analyzer:List*", "access-analyzer:ValidatePolicy" ], "Resource": "*" } ] }
AccessAnalyzerServiceRolePolicy
您無法附加 AccessAnalyzerServiceRolePolicy 至您的IAM實體。此原則附加至服務連結角色,可讓IAM存取分析器代表您執行動作。如需詳細資訊,請參閱針對 AWS Identity and Access Management 存取分析器使用服務連結角色。
許可群組
此原則允許存取存IAM取分析器,以分析來自多個資源中繼資料 AWS 服務。
-
Amazon DynamoDB 支援 — 允許檢視 DynamoDB 庫串流和表格。
-
Amazon 彈性運算雲端 — 允許許可描述 IP 地址、快照和VPCs.
-
Amazon Elastic Container Registry — 允許描述映像儲存庫和擷取儲存庫政策的許可。
-
Amazon Elastic File System — 允許檢視 Amazon EFS 檔案系統的說明,並檢視 Amazon 檔案系統的資源層級政策。EFS
-
AWS Identity and Access Management— 允許權限擷取有關指定角色的資訊,並列出具有指定路徑前置詞的IAM角色。允許擷取有關使用者、使用者群組、登入設定檔、存取金鑰和服務上次存取資料的資訊。
-
AWS Key Management Service— 允許權限檢視有關KMS金鑰及其金鑰原則和授權的詳細資訊。
-
AWS Lambda — 允許檢視 Lambda 別名、函數、層和別名相關資訊的許可。
-
AWS Organizations— 允許組 Organizations 權限,並允許在 AWS 組織內建立分析器作為信任區域。
-
Amazon Relational Database Service — 允許查看有關 Amazon 資料庫快照和 Amazon RDS 資料RDS庫叢集快照的詳細資訊。
-
亞馬遜簡單儲存服務 — 允許許可檢視有關使用 Amazon S3 Express One 儲存類別的 Amazon S3 存取點、儲存貯體和 Amazon S3 目錄儲存貯體的詳細資訊。
-
AWS Secrets Manager — 允許檢視有關附加至秘密的秘密和資源政策詳細資訊的許可。
-
Amazon Simple Notification Service — 允許檢視有關主題詳細資訊的許可。
-
Amazon Simple Queue Service — 允許檢視有關指定佇列詳細資訊的許可。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "AccessAnalyzerServiceRolePolicy", "Effect": "Allow", "Action": [ "dynamodb:GetResourcePolicy", "dynamodb:ListStreams", "dynamodb:ListTables", "ec2:DescribeAddresses", "ec2:DescribeByoipCidrs", "ec2:DescribeSnapshotAttribute", "ec2:DescribeSnapshots", "ec2:DescribeVpcEndpoints", "ec2:DescribeVpcs", "ec2:GetSnapshotBlockPublicAccessState", "ecr:DescribeRepositories", "ecr:GetRepositoryPolicy", "elasticfilesystem:DescribeFileSystemPolicy", "elasticfilesystem:DescribeFileSystems", "iam:GetRole", "iam:ListEntitiesForPolicy", "iam:ListRoles", "iam:ListUsers", "iam:GetUser", "iam:GetGroup", "iam:GenerateServiceLastAccessedDetails", "iam:GetServiceLastAccessedDetails", "iam:ListAccessKeys", "iam:GetLoginProfile", "iam:GetAccessKeyLastUsed", "iam:ListRolePolicies", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies", "iam:ListUserPolicies", "iam:GetUserPolicy", "iam:ListAttachedUserPolicies", "iam:GetPolicy", "iam:GetPolicyVersion", "iam:ListGroupsForUser", "kms:DescribeKey", "kms:GetKeyPolicy", "kms:ListGrants", "kms:ListKeyPolicies", "kms:ListKeys", "lambda:GetFunctionUrlConfig", "lambda:GetLayerVersionPolicy", "lambda:GetPolicy", "lambda:ListAliases", "lambda:ListFunctions", "lambda:ListLayers", "lambda:ListLayerVersions", "lambda:ListVersionsByFunction", "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:DescribeOrganizationalUnit", "organizations:ListAccounts", "organizations:ListAccountsForParent", "organizations:ListAWSServiceAccessForOrganization", "organizations:ListChildren", "organizations:ListDelegatedAdministrators", "organizations:ListOrganizationalUnitsForParent", "organizations:ListParents", "organizations:ListRoots", "rds:DescribeDBClusterSnapshotAttributes", "rds:DescribeDBClusterSnapshots", "rds:DescribeDBSnapshotAttributes", "rds:DescribeDBSnapshots", "s3:DescribeMultiRegionAccessPointOperation", "s3:GetAccessPoint", "s3:GetAccessPointPolicy", "s3:GetAccessPointPolicyStatus", "s3:GetAccountPublicAccessBlock", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketPolicyStatus", "s3:GetBucketPolicy", "s3:GetBucketPublicAccessBlock", "s3:GetMultiRegionAccessPoint", "s3:GetMultiRegionAccessPointPolicy", "s3:GetMultiRegionAccessPointPolicyStatus", "s3:ListAccessPoints", "s3:ListAllMyBuckets", "s3:ListMultiRegionAccessPoints", "s3express:GetBucketPolicy", "s3express:ListAllMyDirectoryBuckets", "sns:GetTopicAttributes", "sns:ListTopics", "secretsmanager:DescribeSecret", "secretsmanager:GetResourcePolicy", "secretsmanager:ListSecrets", "sqs:GetQueueAttributes", "sqs:ListQueues" ], "Resource": "*" } ] }
IAM和 AWS 受管理策略的IAM訪問分析器更新
檢視自服務開始追蹤這些變更以來的更新IAM和 AWS 受管理原則的詳細資料。如需有關此頁面變更的自動警示,請訂閱IAM和 IAM Access Analyzer 文件歷史記錄頁面上的RSS摘要。
| 變更 | 描述 | 日期 |
|---|---|---|
| AccessAnalyzerServiceRolePolicy |
IAMAccess Analyzer 增加了對檢索有關IAM使用者和角色策略信息的服務級別權限的權限的AccessAnalyzerServiceRolePolicy支持。 |
2024年5月30日 |
| AccessAnalyzerServiceRolePolicy |
IAMAccess Analyzer 新增了對於將 Amazon EC2 快照的區塊公共存取目前狀態擷取到的服務層級許可的AccessAnalyzerServiceRolePolicy權限支援。 |
2024 年 1 月 23 日 |
| AccessAnalyzerServiceRolePolicy |
IAM存取分析器將 DynamoDB 串流和表格的支援新增至的服務層級權限。AccessAnalyzerServiceRolePolicy |
2024年1月11日 |
| AccessAnalyzerServiceRolePolicy |
IAM存取分析器將 Amazon S3 目錄儲存貯體的AccessAnalyzerServiceRolePolicy支援新增至的服務層級許可。 |
2023 年 12 月 1 日 |
|
IAMAccess Analyzer 新增權限,可讓您檢查原則的更新是否授與額外的存取權。 IAM存取分析器需要此權限才能對您的原則執行原則檢查。 |
2023 年 11 月 26 日 | |
| AccessAnalyzerServiceRolePolicy |
IAM存取分析器將IAM動作新增至的服務層級權限,AccessAnalyzerServiceRolePolicy以支援下列動作:
|
2023 年 11 月 26 日 |
| AccessAnalyzerServiceRolePolicy |
IAMAccess Analyzer 將下列資源類型的AccessAnalyzerServiceRolePolicy支援新增至的服務層級權限:
|
2022 年 10 月 25 日 |
| AccessAnalyzerServiceRolePolicy |
IAM存取分析器將lambda:GetFunctionUrlConfig動作新增至的服務層級權限。AccessAnalyzerServiceRolePolicy |
2022 年 4 月 6 日 |
| AccessAnalyzerServiceRolePolicy |
IAM存取分析器新增 Amazon S3 動作,以分析與多區域存取點相關聯的中繼資料。 | 2021 年 9 月 2 日 |
|
IAMAccess Analyzer 新增了一個新動作來授與 IAM存取分析器需要此權限才能對您的原則執行原則檢查。 |
2021 年 3 月 16 日 | |
|
IAM存取分析器開始追蹤變更 |
IAM存取分析程式開始追蹤其 AWS 受管理原則的變更。 |
2021 年 3 月 1 日 |
