AWS Identity and Access Management Access Analyzer 入門 - AWS Identity and Access Management
使用 IAM Access Analyzer 的必要許可IAM Access Analyzer 狀態

AWS Identity and Access Management Access Analyzer 入門

藉由此主題內的資訊,了解使用及管理 AWS Identity and Access Management Access Analyzer 的必備需求。

使用 IAM Access Analyzer 的必要許可

若要成功設定和使用 IAM Access Analyzer,您使用的帳戶必須獲得必要的許可。

AWS IAM Access Analyzer 的受管政策

AWS Identity and Access Management Access Analyzer 提供 AWS 受管政策,協助您快速入門。

  • IAMAccessAnalyzerFullAccess:允許管理員完整存取 IAM Access Analyzer。此政策也允許建立服務連結的角色,這些角色允許 IAM Access Analyzer 分析您帳戶或 AWS 組織中的資源。

  • IAMAccessAnalyzerReadOnlyAccess:允許對 IAM Access Analyzer 的唯讀存取權。您必須將其他政策新增到 IAM 身分 (使用者、使用者群組或角色),以允許他們檢視其問題清單。

IAM Access Analyzer 定義的資源

若要檢視 IAM Access Analyzer 定義的資源,請參閱服務授權參考中的 IAM Access Analyzer 定義的資源類型

必要的 IAM Access Analyzer 服務許可

IAM Access Analyzer 會使用名為 AWSServiceRoleForAccessAnalyzer 的服務連結角色 (SLR)。此 SLR 會授予服務唯讀存取權,以透過資源型政策來分析 AWS 資源,以及代表您分析未使用的存取權。此服務會在以下情境中為您的帳戶建立角色:

  • 您以自己的帳戶為信任區域建立外部存取權分析器。

  • 您以自己的帳戶為選定帳戶來建立未使用的存取權分析器。

如需詳細資訊,請參閱使用 AWS Identity and Access Management Access Analyzer 的服務連結角色

注意

IAM Access Analyzer 是區域性的。針對外部存取權,您必須在每個區域中分別啟用 IAM Access Analyzer。

針對未使用的存取權,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。

某些情況下,在 IAM Access Analyzer 中建立外部存取權或未使用的存取權分析器後,系統會載入調查結果頁面或儀表板,但不含任何調查結果或摘要。這可能是因為主控台在填入您的問題清單時出現延遲。您可能須手動重新整理瀏覽器,或稍後再回來檢視調查結果或摘要。若仍沒有看到外部存取權分析器的調查結果,是因為您的帳戶沒有外部實體可存取的支援資源。若資源套用的政策會將存取權授與外部實體,則 IAM Access Analyzer 會產生問題清單。

注意

針對外部存取權分析器,修改政策後,IAM Access Analyzer 最多可能需要 30 分鐘才能分析資源並產生新的調查結果,或者更新資源存取權的現有調查結果。針對外部和未使用的存取權分析器,調查結果的更新內容可能不會立即反映在儀表板中。

檢視調查結果儀表板所需的 IAM Access Analyzer 許可

若要檢視 IAM Access Analyzer 調查結果儀告板,您使用的帳戶必須擁有存取權,才能執行以下必要動作:

若要檢視 IAM Access Analyzer 定義的所有動作,請參閱服務授權參考中的 IAM Access Analyzer 定義的動作

IAM Access Analyzer 狀態

若要檢視分析器的狀態,請選擇 Analyzers (分析器)。為組織或帳戶建立的分析器可能具備下列狀態:

Status 描述

作用中

外部存取權分析器會主動監控信任區域內的資源。分析器會主動產生新的問題清單,並更新現有的問題清單。

未使用的存取權分析器會主動監控選定組織或 AWS 帳戶內,指定追蹤期間內未使用的存取權。分析器會主動產生新的問題清單,並更新現有的問題清單。

正在建立

分析器仍在建立中。建立完成後,分析器就會變成作用中狀態。

已停用

分析器已停用,這是因 AWS Organizations 管理員所採取的動作而導致。例如,移除身分為 IAM Access Analyzer 委派管理員的分析器帳戶。當分析器處於停用狀態時,不會產生新的調查結果或更新現有的調查結果。

失敗

由於組態發生問題,分析器建立失敗。分析器不會產生任何問題清單。請刪除該分析器並建立新的分析器。