Crea un analizzatore di accesso interno con Account AWS come zona di fiducia Creazione di un analizzatore degli accessi esterni con l’organizzazione come zona di attendibilità

Creazione di un analizzatore degli accessi interni di Sistema di analisi degli accessi IAM

Per abilitare un analizzatore degli accessi interni in una Regione, è necessario creare un analizzatore in tale Regione. È necessario creare un analizzatore degli accessi interni in ogni Regione in cui si desidera monitorare l’accesso alle risorse.

Sistema di analisi degli accessi IAM addebita l’analisi degli accessi interni in base al numero di risorse monitorate per analizzatore al mese. Per maggiori dettagli sui prezzi, consulta i prezzi di Sistema di analisi degli accessi IAM.

Nota

Dopo la creazione o l’aggiornamento di un analizzatore, può essere necessario del tempo prima che gli esiti siano disponibili.

Strumento di analisi degli accessi IAM non è in grado di generare esiti degli accesso interni per le organizzazioni che contengono più di 70.000 principali (utenti e ruoli IAM combinati).

È possibile creare un solo analizzatore degli accessi interni a livello di organizzazione in un’organizzazione AWS .

Crea un analizzatore di accesso interno con Account AWS come zona di fiducia

Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
In Sistema di analisi degli accessi, scegli Impostazioni dell'analizzatore.
Scegliere Create analyzer (Crea analizzatore).
Nella sezione Analisi, scegli Analisi della risorsa - accessi interni.
Nella sezione Dettagli dell'analizzatore, verifica che la regione visualizzata sia quella in cui desideri abilitare Sistema di analisi degli accessi IAM.
Inserire un nome per l'analizzatore.
Scegli Account attuale come zona di attendibilità per l’analizzatore.

Nota
Se il tuo account non è l'account di AWS Organizations gestione o l'account di amministratore delegato, puoi creare un solo analizzatore con il tuo account come zona di fiducia.
Nella sezione Risorse da analizzare, aggiungi le risorse che l’analizzatore deve monitorare.
- Per aggiungere risorse per account, scegli Aggiungi > Aggiungi risorse dagli account selezionati.
  1. Scegli Tutti i tipi di risorse supportati oppure scegli Definisci tipi di risorse specifici e seleziona i tipi di risorse dall’elenco Tipo di risorsa.
    
    Gli analizzatori degli accessi interni supportano i seguenti tipi di risorse:
    
    Bucket Amazon Simple Storage Service
    
    Bucket di directory di Amazon Simple Storage Service
    
    Amazon Relational Database Service
    
    Snapshot di cluster di database di Amazon Relational Database Service
    
    Flussi Amazon DynamoDB
    
    Tabelle Amazon DynamoDB
  2. Scegli Aggiungi risorse.
- Per aggiungere risorse in base al nome della risorsa Amazon (ARN), scegli Aggiungi risorse > Aggiungi risorse incollando l’ARN della risorsa.
  
  Nota
  ARNs devono corrispondere esattamente: i caratteri jolly non sono supportati. Per Amazon S3, sono supportati solo i bucket. ARNs Gli oggetti ARNs e i prefissi Amazon S3 non sono supportati.
  1. Per ogni ARN di risorsa, inserisci l’ID del proprietario dell’account e l’ARN della risorsa separati da una virgola. Inserisci un ID proprietario dell’account e un ARN della risorsa per riga.
  2. Scegli Aggiungi risorse.
- Per aggiungere risorse tramite un file CSV, scegli Aggiungi risorse > Aggiungi risorse caricando un file CSV.
  
  Puoi utilizzare Esploratore di risorse AWS per cercare risorse nei tuoi account ed esportare un file CSV. Dopodiché, puoi caricare il file CSV per configurare le risorse che l’analizzatore dovrà monitorare.
  1. Seleziona Scegli file e seleziona il file CSV dal tuo computer.
  2. Scegli Aggiungi risorse.
Opzionale. Aggiungere tutti i tag che si desidera applicare all'analizzatore.
Scegliere Create analyzer (Crea analizzatore).

Quando crei un analizzatore degli accessi interni per abilitare Sistema di analisi degli accessi IAM, nell’account viene creato un ruolo collegato ai servizi denominato AWSServiceRoleForAccessAnalyzer.

Creazione di un analizzatore degli accessi esterni con l’organizzazione come zona di attendibilità

Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
In Sistema di analisi degli accessi, scegli Impostazioni dell'analizzatore.
Scegliere Create analyzer (Crea analizzatore).
Nella sezione Analisi, scegli Analisi della risorsa - accessi interni.
Nella sezione Dettagli dell'analizzatore, verifica che la regione visualizzata sia quella in cui desideri abilitare Sistema di analisi degli accessi IAM.
Inserire un nome per l'analizzatore.
Scegli Intera organizzazione come zona di attendibilità per l’analizzatore.
Nella sezione Risorse da analizzare, aggiungi le risorse che l’analizzatore deve monitorare.
- Per aggiungere risorse per l’account, scegli Aggiungi risorse > Aggiungi risorse dagli account selezionati.
  1. Scegli Tutti i tipi di risorse supportati oppure scegli Definisci tipi di risorse specifici e seleziona i tipi di risorse dall’elenco Tipo di risorsa.
    
    Gli analizzatori degli accessi interni supportano i seguenti tipi di risorse:
    
    Bucket Amazon Simple Storage Service
    
    Bucket di directory di Amazon Simple Storage Service
    
    Amazon Relational Database Service
    
    Snapshot di cluster di database di Amazon Relational Database Service
    
    Flussi Amazon DynamoDB
    
    Tabelle Amazon DynamoDB
  2. Per selezionare gli account della tua organizzazione, scegli Seleziona dall’organizzazione. Nella sezione Seleziona account, scegli Gerarchia per selezionare gli account in base alla struttura organizzativa oppure Elenco per selezionare gli account da un elenco di tutti gli account dell’organizzazione.
    
    Per inserire manualmente gli account della tua organizzazione, scegli Inserisci AWS l'ID dell'account. Inserisci uno o più Account AWS IDs separati da virgole nel campo ID dell'AWS account.
  3. Scegli Aggiungi risorse.
- Per aggiungere risorse in base al nome della risorsa Amazon (ARN), scegli Aggiungi risorse > Aggiungi risorse incollando l’ARN della risorsa.
  
  Nota
  ARNs devono corrispondere esattamente: i caratteri jolly non sono supportati. Per Amazon S3, sono supportati solo i bucket. ARNs Gli oggetti ARNs e i prefissi Amazon S3 non sono supportati.
  1. Per ogni ARN di risorsa, inserisci l’ID del proprietario dell’account e l’ARN della risorsa separati da una virgola. Inserisci un ID proprietario dell’account e un ARN della risorsa per riga.
  2. Scegli Aggiungi risorse.
- Per aggiungere risorse tramite un file CSV, scegli Aggiungi risorse > Aggiungi risorse caricando un file CSV.
  
  Puoi utilizzare Esploratore di risorse AWS per cercare risorse nei tuoi account ed esportare un file CSV. Dopodiché, puoi caricare il file CSV per configurare le risorse che l’analizzatore dovrà monitorare.
  1. Seleziona Scegli file e seleziona il file CSV dal tuo computer.
  2. Scegli Aggiungi risorse.
Opzionale. Aggiungere tutti i tag che si desidera applicare all'analizzatore.
Seleziona Invia.

Quando si crea un analizzatore degli accessi interni con l’organizzazione come zona di attendibilità, in ogni account dell’organizzazione viene creato un ruolo collegato al servizio denominato AWSServiceRoleForAccessAnalyzer.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Gestire un sistema di analisi degli accessi esterni

Gestione di un analizzatore degli accessi interni