Mulai menggunakan AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management
Izin diperlukan untuk menggunakan IAM Access AnalyzerStatus Penganalisis Akses IAM

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Mulai menggunakan AWS Identity and Access Management Access Analyzer

Gunakan informasi dalam topik ini untuk mempelajari tentang persyaratan yang diperlukan untuk digunakan dan dikelola AWS Identity and Access Management Access Analyzer.

Izin diperlukan untuk menggunakan IAM Access Analyzer

Agar berhasil mengkonfigurasi dan menggunakan IAM Access Analyzer, akun yang Anda gunakan harus diberikan izin yang diperlukan.

AWS kebijakan terkelola untuk IAM Access Analyzer

AWS Identity and Access Management Access Analyzer menyediakan kebijakan AWS terkelola untuk membantu Anda memulai dengan cepat.

  • IAMAccessAnalyzerFullAccess- Memungkinkan akses penuh ke IAM Access Analyzer untuk administrator. Kebijakan ini juga memungkinkan pembuatan peran terkait layanan yang diperlukan untuk memungkinkan IAM Access Analyzer menganalisis sumber daya di akun atau organisasi Anda. AWS

  • IAMAccessAnalyzerReadOnlyAccess- Memungkinkan akses read-only ke IAM Access Analyzer. Anda harus menambahkan kebijakan tambahan ke identitas IAM Anda (pengguna, grup pengguna, atau peran) agar mereka dapat melihat temuan mereka.

Sumber daya yang ditentukan oleh IAM Access Analyzer

Untuk melihat sumber daya yang ditentukan oleh IAM Access Analyzer, lihat Jenis sumber daya yang ditentukan oleh IAM Access Analyzer dalam Referensi Otorisasi Layanan.

Izin layanan IAM Access Analyzer yang diperlukan

IAM Access Analyzer menggunakan peran terkait layanan (SLR) bernama. AWSServiceRoleForAccessAnalyzer SLR ini memberikan layanan akses hanya-baca untuk menganalisis AWS sumber daya dengan kebijakan berbasis sumber daya dan menganalisis akses yang tidak digunakan atas nama Anda. Layanan membuat peran di akun Anda dalam skenario berikut:

  • Anda membuat analisa akses eksternal dengan akun Anda sebagai zona kepercayaan.

  • Anda membuat penganalisis akses yang tidak terpakai dengan akun Anda sebagai akun yang dipilih.

  • Anda membuat penganalisis akses internal dengan akun Anda sebagai zona kepercayaan.

Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS Identity and Access Management Access Analyzer.

catatan

IAM Access Analyzer adalah Regional. Untuk akses eksternal dan internal, Anda harus mengaktifkan IAM Access Analyzer di setiap Wilayah secara independen.

Untuk akses yang tidak digunakan, temuan untuk penganalisis tidak berubah berdasarkan Wilayah. Membuat analyzer di setiap Wilayah di mana Anda memiliki sumber daya tidak diperlukan.

Dalam beberapa kasus, setelah Anda membuat analyzer di IAM Access Analyzer, halaman atau dasbor temuan dimuat tanpa temuan atau ringkasan. Hal ini mungkin disebabkan oleh penundaan pada konsol untuk mengisi temuan Anda. Anda mungkin perlu menyegarkan browser secara manual atau memeriksa kembali nanti untuk melihat temuan atau ringkasan Anda. Jika Anda masih tidak melihat temuan untuk penganalisis akses eksternal, itu karena Anda tidak memiliki sumber daya yang didukung di akun Anda yang dapat diakses oleh entitas eksternal. Jika kebijakan yang memberikan akses ke entitas eksternal diterapkan ke sumber daya, IAM Access Analyzer akan menghasilkan temuan.

catatan

Untuk penganalisis akses eksternal, mungkin diperlukan waktu hingga 30 menit setelah kebijakan dimodifikasi untuk IAM Access Analyzer untuk menganalisis sumber daya dan kemudian menghasilkan temuan baru atau memperbarui temuan yang ada untuk akses ke sumber daya.

Saat Anda membuat penganalisis akses internal, mungkin diperlukan beberapa menit atau jam sebelum temuan tersedia. Setelah pemindaian awal, IAM Access Analyzer secara otomatis memindai ulang semua kebijakan setiap 24 jam.

Untuk semua jenis penganalisis akses, pembaruan untuk temuan mungkin tidak segera tercermin di dasbor.

Izin Penganalisis Akses IAM yang diperlukan untuk melihat dasbor temuan

Untuk melihat dasbor temuan IAM Access Analyzer, akun yang Anda gunakan harus diberikan akses untuk melakukan tindakan yang diperlukan berikut:

Untuk melihat semua tindakan yang ditentukan oleh IAM Access Analyzer, lihat Tindakan yang ditentukan oleh IAM Access Analyzer di Referensi Otorisasi Layanan.

Status Penganalisis Akses IAM

Untuk melihat status analyzer Anda, pilih Penganalisis. Penganalisis yang dibuat untuk organisasi atau akun dapat memiliki status sebagai berikut:

Status Deskripsi

Aktif

Untuk penganalisis akses eksternal dan internal, penganalisis secara aktif memantau sumber daya dalam zona kepercayaannya. Analyzer secara aktif menghasilkan temuan baru dan memperbarui temuan yang ada.

Untuk penganalisis akses yang tidak digunakan, penganalisis secara aktif memantau akses yang tidak digunakan dalam organisasi yang dipilih atau Akun AWS dalam periode pelacakan yang ditentukan. Analyzer secara aktif menghasilkan temuan baru dan memperbarui temuan yang ada.

Membuat

Pembuatan penganalisis masih dalam proses. Penganalisis menjadi aktif setelah pembuatan selesai.

Nonaktif

Penganalisis dinonaktifkan karena tindakan yang diambil oleh AWS Organizations administrator. Misalnya, menghapus akun penganalisis sebagai administrator yang telah didedikasikan untuk Penganalisis Akses IAM. Ketika penganalisis dalam keadaan dinonaktifkan, itu tidak menghasilkan temuan baru atau memperbarui temuan yang ada.

Failed

Pembuatan penganalisis gagal karena masalah konfigurasi. Penganalisis tidak akan menghasilkan temuan apa pun. Hapus penganalisis dan buat penganalisis baru.