AWS Identity and Access Management Access Analyzer入門 - AWS Identity and Access Management
使用 IAM Access Analyzer 的必要許可IAM Access Analyzer 狀態

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

AWS Identity and Access Management Access Analyzer入門

藉由此主題內的資訊,了解使用及管理 AWS Identity and Access Management Access Analyzer的必備需求。

使用 IAM Access Analyzer 的必要許可

若要成功設定和使用 IAM Access Analyzer,您使用的帳戶必須獲得必要的許可。

AWS IAM Access Analyzer 的 受管政策

AWS Identity and Access Management Access Analyzer 提供 AWS 受管政策,協助您快速入門。

  • IAMAccessAnalyzerFullAccess:允許管理員完整存取 IAM Access Analyzer。此政策也允許建立服務連結的角色,這些角色允許 IAM Access Analyzer 分析您帳戶或 AWS 組織中的資源。

  • IAMAccessAnalyzerReadOnlyAccess:允許對 IAM Access Analyzer 的唯讀存取權。您必須將其他政策新增到 IAM 身分 (使用者、使用者群組或角色),以允許他們檢視其問題清單。

IAM Access Analyzer 定義的資源

若要檢視 IAM Access Analyzer 定義的資源,請參閱服務授權參考中的 IAM Access Analyzer 定義的資源類型

必要的 IAM Access Analyzer 服務許可

IAM Access Analyzer 會使用名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色 (SLR)。此 SLR 授予服務唯讀存取權,以使用 AWS 資源型政策分析資源,並代表您分析未使用的存取權。此服務會在以下情境中為您的帳戶建立角色:

  • 您以自己的帳戶為信任區域建立外部存取權分析器。

  • 您以自己的帳戶為選定帳戶來建立未使用的存取權分析器。

  • 您可以使用 帳戶做為信任區域來建立內部存取分析器。

如需詳細資訊,請參閱使用 AWS Identity and Access Management Access Analyzer的服務連結角色

注意

IAM Access Analyzer 是區域性的。對於外部和內部存取,您必須在每個區域中獨立啟用 IAM Access Analyzer。

針對未使用的存取權,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。

在某些情況下,當您在 IAM Access Analyzer 中建立分析器後,問題清單頁面或儀表板會載入而無問題清單或摘要。這可能是因為主控台在填入您的問題清單時出現延遲。您可能須手動重新整理瀏覽器,或稍後再回來檢視調查結果或摘要。若仍沒有看到外部存取權分析器的調查結果,是因為您的帳戶沒有外部實體可存取的支援資源。若資源套用的政策會將存取權授與外部實體,則 IAM Access Analyzer 會產生問題清單。

注意

對於外部存取分析器,修改政策後,IAM Access Analyzer 最多可能需要 30 分鐘來分析資源,然後產生新的問題清單或更新現有問題清單以存取資源。

當您建立內部存取分析器時,可能需要幾分鐘或幾小時才能使用問題清單。初次掃描後,IAM Access Analyzer 會每 24 小時自動重新掃描所有政策。

對於所有類型的存取分析器,問題清單的更新可能不會立即反映在儀表板中。

檢視調查結果儀表板所需的 IAM Access Analyzer 許可

若要檢視 IAM Access Analyzer 調查結果儀告板,您使用的帳戶必須擁有存取權,才能執行以下必要動作:

若要檢視 IAM Access Analyzer 定義的所有動作,請參閱服務授權參考中的 IAM Access Analyzer 定義的動作

IAM Access Analyzer 狀態

若要檢視分析器的狀態,請選擇 Analyzers (分析器)。為組織或帳戶建立的分析器可能具備下列狀態:

狀態 描述

作用中

對於外部和內部存取分析器,分析器正在積極監控其信任區域內的資源。分析器會主動產生新的問題清單,並更新現有的問題清單。

對於未使用的存取分析器,分析器會主動監控所選組織或 AWS 帳戶 指定追蹤期間內未使用的存取。分析器會主動產生新的問題清單,並更新現有的問題清單。

正在建立

分析器仍在建立中。建立完成後,分析器就會變成作用中狀態。

已停用

由於 AWS Organizations 管理員採取的動作,分析器已停用。例如,移除身分為 IAM Access Analyzer 委派管理員的分析器帳戶。當分析器處於停用狀態時,不會產生新的調查結果或更新現有的調查結果。

失敗

由於組態發生問題,分析器建立失敗。分析器不會產生任何問題清單。請刪除該分析器並建立新的分析器。