Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Nozioni di base su AWS Identity and Access Management Access Analyzer
Utilizza le informazioni contenute in questo argomento per conoscere i requisiti necessari per utilizzare e gestire AWS Identity and Access Management Access Analyzer.
Autorizzazioni necessarie per utilizzare Sistema di analisi degli accessi IAM
Per configurare correttamente e utilizzare Sistema di analisi degli accessi IAM, all'account che utilizzi devono essere concesse le autorizzazioni necessarie.
AWS politiche gestite per IAM Access Analyzer
AWS Identity and Access Management Access Analyzer fornisce politiche AWS gestite per aiutarti a iniziare rapidamente.
-
IAMAccessAnalyzerFullAccess- Consente l'accesso completo a IAM Access Analyzer per gli amministratori. Questa policy consente inoltre di creare i ruoli collegati ai servizi necessari per consentire a Sistema di analisi degli accessi IAM di analizzare le risorse nell'account o nell'organizzazione AWS .
-
IAMAccessAnalyzerReadOnlyAccess- Consente l'accesso in sola lettura a IAM Access Analyzer. È necessario aggiungere ulteriori policy alle identità IAM (utenti, gruppi di utenti o ruoli) per consentire loro di visualizzare i risultati.
Risorse definite da Sistema di analisi degli accessi IAM
Per visualizzare le risorse definite da Sistema di analisi degli accessi IAM, consulta Tipi di risorsa definiti da Sistema di analisi degli accessi IAM in Service Authorization Reference.
Autorizzazioni di servizio necessarie per Sistema di analisi degli accessi IAM
Sistema di analisi degli accessi IAM utilizza un ruolo collegato ai servizi (SLR) chiamato AWSServiceRoleForAccessAnalyzer. Questa reflex garantisce al servizio l'accesso in sola lettura per analizzare le AWS risorse con politiche basate sulle risorse e analizzare gli accessi non utilizzati per conto dell'utente. Il servizio crea il ruolo nel tuo account nei seguenti casi:
-
Crei un analizzatore degli accessi esterni con il tuo account come zona di attendibilità.
-
Crei un analizzatore degli accessi inutilizzati con il tuo account come account selezionato.
-
Crei un analizzatore di accesso interno utilizzando il tuo account come zona di fiducia.
Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AWS Identity and Access Management Access Analyzer.
Nota
Sistema di analisi degli accessi IAM è un servizio regionale. Per l'accesso esterno e interno, è necessario abilitare IAM Access Analyzer in ciascuna regione in modo indipendente.
Per gli accessi inutilizzati, i risultati relativi all'analizzatore non cambiano in base alla regione. Non è necessario creare un analizzatore in ogni regione in cui sono disponibili risorse.
In alcuni casi, dopo aver creato un analizzatore in IAM Access Analyzer, la pagina o il dashboard dei risultati vengono caricati senza risultati o riepiloghi. Ciò potrebbe essere dovuto a un ritardo nella console per la compilazione dei risultati. Potrebbe essere necessario aggiornare manualmente il browser o ricontrollare più tardi per visualizzare i risultati o il riepilogo. Se ancora non viene visualizzato alcun risultato per l'analizzatore degli accessi esterni, non hai nel tuo account le risorse supportate a cui è possibile accedere da un'entità esterna. Se una policy che concede l'accesso a un'entità esterna viene applicata a una risorsa, Sistema di analisi degli accessi IAM genera un risultato.
Nota
Per gli analizzatori di accesso esterni, dopo la modifica di una policy, IAM Access Analyzer potrebbe impiegare fino a 30 minuti per analizzare la risorsa e quindi generare un nuovo risultato o aggiornare un risultato esistente per l'accesso alla risorsa.
Quando si crea un analizzatore di accesso interno, potrebbero essere necessari diversi minuti o ore prima che i risultati siano disponibili. Dopo la scansione iniziale, IAM Access Analyzer esegue automaticamente una nuova scansione di tutte le policy ogni 24 ore.
Per tutti i tipi di analizzatori di accesso, gli aggiornamenti relativi ai risultati potrebbero non essere visualizzati immediatamente nella dashboard.
Autorizzazioni Sistema di analisi degli accessi IAM necessarie per visualizzare la dashboard dei risultati
Per visualizzare la dashboard dei risultati di Sistema di analisi degli accessi IAM, all'account che utilizzi deve essere concesso l'accesso per eseguire le seguenti operazioni necessarie:
Per visualizzare le operazioni definite da Sistema di analisi degli accessi IAM, consulta Operazioni definite da Sistema di analisi degli accessi IAM in Service Authorization Reference.
Stato di Sistema di analisi degli accessi IAM
Per visualizzare lo stato degli analizzatori, scegli Analyzers (Analizzatori). Gli analizzatori creati per un'organizzazione o un account possono avere lo stato seguente:
| Stato | Descrizione |
|---|---|
|
Attivo |
Per gli analizzatori di accesso esterni e interni, l'analizzatore monitora attivamente le risorse all'interno della propria zona di fiducia. L'analizzatore genera attivamente nuovi risultati e aggiorna quelli esistenti. Per gli analizzatori di accessi non utilizzati, l'analizzatore monitora attivamente gli accessi non utilizzati all'interno dell'organizzazione selezionata o nel periodo di tracciamento specificato. Account AWS L'analizzatore genera attivamente nuovi risultati e aggiorna quelli esistenti. |
|
Creazione |
La creazione dell'analizzatore è ancora in corso. Al termine, l'analizzatore diventa attivo. |
|
Disabilitato |
L'analizzatore è disabilitato a causa di un'azione intrapresa dall'amministratore. AWS Organizations ad esempio la rimozione dell'account dell'analizzatore come amministratore delegato per Sistema di analisi degli accessi IAM. Quando l'analizzatore è in stato disabilitato, non genera nuovi risultati né aggiorna quelli esistenti. |
|
Non riuscito |
Creazione dell'analizzatore non è riuscita a causa di un problema di configurazione. L'analizzatore non genererà alcun risultato. Eliminare l'analizzatore e crearne uno nuovo. |
