IAMReadOnlyAccess IAMUserChangePassword IAMAccessAnalyzerFullAccess IAMAccessAnalyzerReadOnlyAccess AccessAnalyzerServiceRolePolicy IAMAuditRootUserCredentials IAMCreateRootUserPassword IAMDeleteRootUserCredentials S3 UnlockBucketPolicy SQSUnlockQueuePolicy Pembaruan kebijakan

AWS kebijakan terkelola untuk AWS Identity and Access Management dan Access Analyzer

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin ke pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pembaruan memengaruhi semua identitas prinsipal (pengguna, grup, dan peran) yang terkait dengan kebijakan tersebut. AWS kemungkinan besar memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang sudah ada.

Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

IAMReadOnlyAccess

Gunakan kebijakan IAMReadOnlyAccess terkelola untuk mengizinkan akses baca saja ke IAM sumber daya. Kebijakan ini memberikan izin untuk mendapatkan dan mencantumkan semua IAM sumber daya. Ini memungkinkan melihat detail dan laporan aktivitas untuk pengguna, grup, peran, kebijakan, penyedia identitas, dan MFA perangkat. Ini tidak termasuk kemampuan untuk membuat atau menghapus sumber daya atau akses ke sumber daya IAM Access Analyzer. Lihat kebijakan untuk daftar lengkap layanan dan tindakan yang didukung kebijakan ini.

IAMUserChangePassword

Gunakan kebijakan IAMUserChangePassword terkelola untuk memungkinkan IAM pengguna mengubah kata sandi mereka.

Anda mengonfigurasi pengaturan IAM Akun dan kebijakan Kata Sandi untuk memungkinkan IAM pengguna mengubah kata sandi IAM akun mereka. Saat Anda mengizinkan tindakan ini, IAM lampirkan kebijakan berikut ke setiap pengguna:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

IAMAccessAnalyzerFullAccess

Gunakan kebijakan IAMAccessAnalyzerFullAccess AWS terkelola untuk mengizinkan administrator mengakses IAM Access Analyzer.

Pengelompokan izin

Kebijakan ini dikelompokkan ke dalam pernyataan berdasarkan kumpulan izin yang diberikan.

IAMAccess Analyzer - Memungkinkan izin administratif penuh ke semua sumber daya di IAM Access Analyzer.
Buat peran terkait layanan — Memungkinkan administrator membuat peran terkait layanan, yang memungkinkan IAM Access Analyzer menganalisis sumber daya di layanan lain atas nama Anda. Izin ini memungkinkan pembuatan peran terkait layanan hanya untuk digunakan oleh Penganalisis IAM Akses.
AWS Organizations— Memungkinkan administrator untuk menggunakan IAM Access Analyzer untuk organisasi di. AWS Organizations Setelah mengaktifkan akses tepercaya untuk IAM Access Analyzer di AWS Organizations, anggota akun manajemen dapat melihat temuan di seluruh organisasi mereka.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "access-analyzer:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "access-analyzer.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots"
      ],
      "Resource": "*"
    }
  ]
}

IAMAccessAnalyzerReadOnlyAccess

Gunakan kebijakan IAMAccessAnalyzerReadOnlyAccess AWS terkelola untuk mengizinkan akses hanya baca ke Penganalisis IAM Akses.

Untuk juga mengizinkan akses hanya baca ke Penganalisis IAM Akses untuk AWS Organizations, buat kebijakan yang dikelola pelanggan yang mengizinkan tindakan Jelaskan dan Cantumkan dari kebijakan IAMAccessAnalyzerFullAccess AWS terkelola.

Izin tingkat layanan

Kebijakan ini menyediakan akses hanya baca ke Penganalisis IAM Akses. Tidak ada izin layanan lain yang disertakan dalam kebijakan ini.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMAccessAnalyzerReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "access-analyzer:CheckAccessNotGranted",
        "access-analyzer:CheckNoNewAccess",
        "access-analyzer:Get*",
        "access-analyzer:List*",
        "access-analyzer:ValidatePolicy"
      ],
      "Resource": "*"
    }
  ]
}

AccessAnalyzerServiceRolePolicy

Anda tidak dapat melampirkan AccessAnalyzerServiceRolePolicy ke IAM entitas Anda. Kebijakan ini dilampirkan ke peran terkait layanan yang mengizinkan Penganalisis IAM Akses melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS Identity and Access Management dan Penganalisis Akses.

Pengelompokan izin

Kebijakan ini memungkinkan akses ke IAM Access Analyzer untuk menganalisis metadata sumber daya dari beberapa. Layanan AWS

Amazon DynamoDB - Memungkinkan izin untuk melihat aliran dan tabel DynamoDB.
Amazon Elastic Compute Cloud — Memungkinkan izin untuk mendeskripsikan alamat IP, snapshot, dan. VPCs
Amazon Elastic Container Registry - Memungkinkan izin untuk mendeskripsikan repositori gambar dan mengambil kebijakan repositori.
Amazon Elastic File System - Memungkinkan izin untuk melihat deskripsi sistem EFS file Amazon dan melihat kebijakan tingkat sumber daya untuk sistem file Amazon. EFS
AWS Identity and Access Management— Memungkinkan izin untuk mengambil informasi tentang peran tertentu dan daftar IAM peran yang memiliki awalan jalur tertentu. Memungkinkan izin untuk mengambil informasi tentang pengguna, IAM grup, profil login, kunci akses, dan layanan data yang terakhir diakses.
AWS Key Management Service— Memungkinkan izin untuk melihat informasi terperinci tentang KMS kunci dan kebijakan dan hibah utamanya.
AWS Lambda— Memungkinkan izin untuk melihat informasi tentang alias, fungsi, lapisan, dan alias Lambda.
AWS Organizations— Memungkinkan izin untuk Organizations dan memungkinkan pembuatan analyzer dalam AWS organisasi sebagai zona kepercayaan.
Amazon Relational Database Service - Memungkinkan izin untuk melihat informasi terperinci tentang snapshot RDS Amazon DB dan snapshot cluster RDS Amazon DB.
Amazon Simple Storage Service - Memungkinkan izin untuk melihat informasi terperinci tentang jalur akses Amazon S3, bucket, dan bucket direktori Amazon S3 yang menggunakan kelas penyimpanan Amazon S3 Express One.
AWS Secrets Manager— Memungkinkan izin untuk melihat informasi rinci tentang rahasia dan kebijakan sumber daya yang melekat pada rahasia.
Amazon Simple Notification Service - Memungkinkan izin untuk melihat informasi rinci tentang suatu topik.
Amazon Simple Queue Service - Memungkinkan izin untuk melihat informasi rinci tentang antrian tertentu.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessAnalyzerServiceRolePolicy",
      "Effect": "Allow",
      "Action": [
        "dynamodb:GetResourcePolicy",
        "dynamodb:ListStreams",
        "dynamodb:ListTables",
        "ec2:DescribeAddresses",
        "ec2:DescribeByoipCidrs",
        "ec2:DescribeSnapshotAttribute",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ec2:GetSnapshotBlockPublicAccessState",
        "ecr:DescribeRepositories",
        "ecr:GetRepositoryPolicy",
        "elasticfilesystem:DescribeFileSystemPolicy",
        "elasticfilesystem:DescribeFileSystems",
        "iam:GetRole",
        "iam:ListEntitiesForPolicy",
        "iam:ListRoles",
        "iam:ListUsers",
        "iam:ListRoleTags",
        "iam:ListUserTags",
        "iam:GetUser",
        "iam:GetGroup",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:GetServiceLastAccessedDetails",
        "iam:ListAccessKeys",
        "iam:GetLoginProfile",
        "iam:GetAccessKeyLastUsed",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "iam:ListAttachedRolePolicies",
        "iam:ListUserPolicies",
        "iam:GetUserPolicy",
        "iam:ListAttachedUserPolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListGroupsForUser",
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:ListGrants",
        "kms:ListKeyPolicies",
        "kms:ListKeys",
        "lambda:GetFunctionUrlConfig",
        "lambda:GetLayerVersionPolicy",
        "lambda:GetPolicy",
        "lambda:ListAliases",
        "lambda:ListFunctions",
        "lambda:ListLayers",
        "lambda:ListLayerVersions",
        "lambda:ListVersionsByFunction",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots",
        "rds:DescribeDBClusterSnapshotAttributes",
        "rds:DescribeDBClusterSnapshots",
        "rds:DescribeDBSnapshotAttributes",
        "rds:DescribeDBSnapshots",
        "s3:DescribeMultiRegionAccessPointOperation",
        "s3:GetAccessPoint",
        "s3:GetAccessPointPolicy",
        "s3:GetAccessPointPolicyStatus",
        "s3:GetAccountPublicAccessBlock",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPolicy",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetMultiRegionAccessPoint",
        "s3:GetMultiRegionAccessPointPolicy",
        "s3:GetMultiRegionAccessPointPolicyStatus",
        "s3:ListAccessPoints",
        "s3:ListAllMyBuckets",
        "s3:ListMultiRegionAccessPoints",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "sns:GetTopicAttributes",
        "sns:ListTopics",
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:ListSecrets",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues"
      ],
      "Resource": "*"
    }
  ]
}

IAMAuditRootUserCredentials

Gunakan kebijakan IAMAuditRootUserCredentials AWS terkelola untuk mengurangi izin saat Anda melakukan tugas istimewa di akun AWS Organizations anggota untuk mengaudit status kredensi pengguna root dari akun anggota. Anda dapat membuat daftar atau mendapatkan informasi kredensi pengguna root individu (kata sandi pengguna root, kunci akses, sertifikat penandatanganan, danMFA) dan juga mendapatkan status kredensi pengguna root terkonsolidasi dari file. getAccountSummaryAPI


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "iam:ListAccessKeys",
            "iam:ListSigningCertificates",
            "iam:GetLoginProfile",
            "iam:ListMFADevices",
            "iam:GetAccountSummary",
            "iam:GetUser",
            "iam:GetAccessKeyLastUsed"  
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyAuditingCredentialsOnNonRootUserResource",
         "Action": [
            "iam:ListAccessKeys",
            "iam:ListSigningCertificates",
            "iam:GetLoginProfile",
            "iam:ListMFADevices" ,
            "iam:GetUser",
            "iam:GetAccessKeyLastUsed"     
         ],
         "Effect": "Deny",
         "NotResource": "arn:aws:iam::*:root"
      } 
   ]
}

Pengelompokan izin

Kebijakan ini dikelompokkan ke dalam pernyataan berdasarkan kumpulan izin yang diberikan.

DenyAllOtherActionsOnAnyResource— Menolak akses ke kredensil untuk semua sumber daya.
DenyAuditingCredentialsOnNonRootUserResource— Menolak akses ke kredensil untuk semua sumber daya pengguna non-root.

IAMCreateRootUserPassword

Gunakan kebijakan IAMCreateRootUserPassword AWS terkelola untuk mengurangi izin saat Anda melakukan tugas istimewa di akun AWS Organizations anggota untuk mengizinkan pemulihan kata sandi untuk akun anggota tanpa kredensi pengguna root.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "iam:CreateLoginProfile",
            "iam:GetLoginProfile"
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyCreatingPasswordOnNonRootUserResource",
         "Action": [
            "iam:CreateLoginProfile",
            "iam:GetLoginProfile"   
         ],
         "Effect": "Deny",
         "NotResource": "arn:aws:iam::*:root"
      }
   ]
}

Pengelompokan izin

Kebijakan ini dikelompokkan ke dalam pernyataan berdasarkan kumpulan izin yang diberikan.

DenyAllOtherActionsOnAnyResource— Menolak akses untuk mendapatkan atau membuat kata sandi untuk semua sumber daya.
DenyCreatingPasswordOnNonRootUserResource— Menolak akses untuk mendapatkan atau membuat kata sandi untuk semua sumber daya pengguna non-root.

IAMDeleteRootUserCredentials

Gunakan kebijakan IAMDeleteRootUserCredentials AWS terkelola untuk mengurangi izin saat Anda melakukan tugas istimewa di akun AWS Organizations anggota untuk menghapus kredensi pengguna root termasuk kata sandi, kunci akses, menandatangani sertifikat, dan menonaktifkan. MFA Izin tambahan diperlukan untuk tindakan istimewa ini, sehingga Anda dapat melihat informasi kredensi yang terakhir digunakan, memverifikasi informasi yang terakhir digunakan untuk pengguna root akun anggota, dan daftar izin untuk semua kredensi pengguna root yang akan dihapus.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "iam:DeleteAccessKey",
            "iam:DeleteSigningCertificate",
            "iam:DeleteLoginProfile",
            "iam:DeactivateMFADevice",
            "iam:DeleteVirtualMFADevice",
            "iam:ListAccessKeys",
            "iam:ListSigningCertificates",
            "iam:GetLoginProfile",
            "iam:ListMFADevices",
            "iam:GetUser",
            "iam:GetAccessKeyLastUsed"  
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyDeletingRootUserCredentialsOnNonRootUserResource",
         "Action": [
            "iam:DeleteAccessKey",
            "iam:DeleteSigningCertificate",
            "iam:DeleteLoginProfile",
            "iam:DeactivateMFADevice",
            "iam:DeleteVirtualMFADevice",
            "iam:ListAccessKeys",
            "iam:ListSigningCertificates",
            "iam:GetLoginProfile",
            "iam:ListMFADevices",
            "iam:GetUser",
            "iam:GetAccessKeyLastUsed"  
         ],
         "Effect": "Deny",
         "NotResource": "arn:aws:iam::*:root"
      }
   ]
}

Pengelompokan izin

Kebijakan ini dikelompokkan ke dalam pernyataan berdasarkan kumpulan izin yang diberikan.

DenyAllOtherActionsOnAnyResource— Menolak akses untuk mendapatkan atau menghapus kredensi untuk semua sumber daya.
DenyDeletingRootUserCredentialsOnNonRootUserSumber Daya — Menolak akses untuk mendapatkan atau menghapus kredensil untuk semua sumber daya pengguna non-root.

S3 UnlockBucketPolicy

Gunakan kebijakan S3UnlockBucketPolicy AWS terkelola untuk mengurangi izin saat Anda melakukan tugas istimewa di akun AWS Organizations anggota untuk menghapus kebijakan bucket yang salah konfigurasi yang menolak semua prinsipal mengakses bucket Amazon S3.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "s3:DeleteBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy",
            "s3:ListAllMyBuckets"
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyManagingBucketPolicyForNonRootCallers",
         "Action": [
            "s3:DeleteBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy",
            "s3:ListAllMyBuckets"
         ],
         "Effect": "Deny",
         "Resource": "*",
         "Condition" : {
            "StringNotLike" : {
               "aws:PrincipalArn" : "arn:aws:iam::*:root"
            }
         }
      }
   ]
}

Pengelompokan izin

Kebijakan ini dikelompokkan ke dalam pernyataan berdasarkan kumpulan izin yang diberikan.

DenyAllOtherActionsOnAnyResource— Menolak akses ke kebijakan bucket untuk semua sumber daya.
DenyManagingBucketPolicyForNonRootCallers— Menolak akses ke kebijakan bucket untuk semua sumber daya pengguna non-root.

SQSUnlockQueuePolicy

Gunakan kebijakan SQSUnlockQueuePolicy AWS terkelola untuk mengurangi izin saat Anda melakukan tugas istimewa di akun AWS Organizations anggota untuk menghapus kebijakan berbasis sumber daya Amazon Simple Queue Service yang menolak semua prinsipal mengakses antrian Amazon. SQS


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "Effect": "Deny",
         "NotAction": [
            "sqs:SetQueueAttributes",
            "sqs:GetQueueAttributes",
            "sqs:ListQueues",
            "sqs:GetQueueUrl"
         ],
         "Resource": "*"
      },
      {
         "Sid": "DenyGettingQueueAttributesOnNonOwnQueue",
         "Effect": "Deny",
         "Action": [
            "sqs:GetQueueAttributes"
         ],
         "Resource": "arn:aws:sqs:*:*:*",
         "Condition": {
            "StringNotEqualsIfExists": {
               "aws:ResourceAccount": [
               "${aws:PrincipalAccount}"
            ]
         }
      }
   },
   {
      "Sid": "DenyActionsForNonRootUser",
      "Effect": "Deny",
      "Action": [
        "sqs:SetQueueAttributes",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues",
        "sqs:GetQueueUrl"
      ],
      "Resource": "*",
      "Condition" : {
         "StringNotLike" : {
            "aws:PrincipalArn" : "arn:aws:iam::*:root"
            }
         }
      }
   ]
}

Pengelompokan izin

Kebijakan ini dikelompokkan ke dalam pernyataan berdasarkan kumpulan izin yang diberikan.

DenyAllOtherActionsOnAnyResource— Menolak akses ke SQS tindakan Amazon untuk semua sumber daya.
DenyGettingQueueAttributesOnNonOwnQueue— Menolak akses ke atribut SQS antrian Amazon untuk antrian yang dimiliki oleh akun lain.
DenyActionsForNonRootUser— Menolak akses ke SQS tindakan Amazon untuk semua sumber daya pengguna non-root.

IAMdan IAM Access Analyzer memperbarui kebijakan AWS terkelola

Lihat detail tentang pembaruan IAM dan kebijakan AWS terkelola karena layanan mulai melacak perubahan tersebut. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS umpan di halaman Riwayat dokumen IAM dan IAM Access Analyzer.

Perubahan	Deskripsi	Tanggal
IAMAuditRootUserCredentials— Ditambahkan kebijakan terkelola	IAMmenambahkan kebijakan terkelola untuk Kelola akses root secara terpusat untuk akun anggota untuk cakupan tugas istimewa yang dapat Anda lakukan di akun AWS Organizations anggota.	14 November 2022024
IAMCreateRootUserPassword— Ditambahkan kebijakan terkelola	IAMmenambahkan kebijakan terkelola untuk Kelola akses root secara terpusat untuk akun anggota untuk cakupan tugas istimewa yang dapat Anda lakukan di akun AWS Organizations anggota.	14 November 2022024
IAMDeleteRootUserCredentials— Ditambahkan kebijakan terkelola	IAMmenambahkan kebijakan terkelola untuk Kelola akses root secara terpusat untuk akun anggota untuk cakupan tugas istimewa yang dapat Anda lakukan di akun AWS Organizations anggota.	14 November 2022024
S3 UnlockBucketPolicy - Ditambahkan kebijakan terkelola	IAMmenambahkan kebijakan terkelola untuk Kelola akses root secara terpusat untuk akun anggota untuk cakupan tugas istimewa yang dapat Anda lakukan di akun AWS Organizations anggota.	14 November 2022024
SQSUnlockQueuePolicy— Ditambahkan kebijakan terkelola	IAMmenambahkan kebijakan terkelola untuk Kelola akses root secara terpusat untuk akun anggota untuk cakupan tugas istimewa yang dapat Anda lakukan di akun AWS Organizations anggota.	14 November 2022024
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan	IAMAccess Analyzer menambahkan dukungan untuk izin untuk mengambil informasi tentang IAM pengguna dan tag peran ke izin tingkat layanan. `AccessAnalyzerServiceRolePolicy`	29 Oktober 2024
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan	IAMAccess Analyzer menambahkan dukungan untuk izin untuk mengambil informasi tentang kebijakan IAM pengguna dan peran ke izin tingkat layanan. `AccessAnalyzerServiceRolePolicy`	30 Mei 2024
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan	IAMAccess Analyzer menambahkan dukungan untuk izin untuk mengambil status saat ini dari blokir akses publik untuk EC2 snapshot Amazon ke izin tingkat layanan. `AccessAnalyzerServiceRolePolicy`	23 Januari 2024
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan	IAMAccess Analyzer menambahkan dukungan untuk aliran dan tabel DynamoDB ke izin tingkat layanan. `AccessAnalyzerServiceRolePolicy`	11 Januari 2024 Januari 2024
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan	IAMAccess Analyzer menambahkan dukungan untuk bucket direktori Amazon S3 ke izin tingkat layanan. `AccessAnalyzerServiceRolePolicy`	1 Desember 2023
IAMAccessAnalyzerReadOnlyAccess— Izin Ditambahkan	IAMAccess Analyzer menambahkan izin untuk memungkinkan Anda memeriksa apakah pembaruan kebijakan Anda memberikan akses tambahan. Izin ini diperlukan oleh Penganalisis IAM Akses untuk melakukan pemeriksaan kebijakan pada kebijakan Anda.	26 November 2023
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan	IAMAccess Analyzer menambahkan IAM tindakan ke izin tingkat layanan `AccessAnalyzerServiceRolePolicy` untuk mendukung tindakan berikut: Daftar entitas untuk kebijakan Menghasilkan detail layanan yang terakhir diakses Cantumkan informasi kunci akses	26 November 2023
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan	IAMAccess Analyzer menambahkan dukungan untuk jenis sumber daya berikut ke izin tingkat layanan: `AccessAnalyzerServiceRolePolicy` Foto EBS volume Amazon ECRRepositori Amazon Sistem EFS file Amazon Cuplikan Amazon RDS DB Foto RDS klaster Amazon SNSTopik Amazon	25 Oktober 2022
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan	IAMAccess Analyzer menambahkan `lambda:GetFunctionUrlConfig` tindakan ke izin tingkat layanan. `AccessAnalyzerServiceRolePolicy`	6 April 2022
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan	IAMAccess Analyzer menambahkan tindakan Amazon S3 baru untuk menganalisis metadata yang terkait dengan titik akses multi-wilayah.	2 September 2021
IAMAccessAnalyzerReadOnlyAccess— Izin Ditambahkan	IAMAccess Analyzer menambahkan tindakan baru untuk memberi `ValidatePolicy` izin untuk memungkinkan Anda menggunakan pemeriksaan kebijakan untuk validasi. Izin ini diperlukan oleh Penganalisis IAM Akses untuk melakukan pemeriksaan kebijakan pada kebijakan Anda.	16 Maret 2021
IAMAccess Analyzer mulai melacak perubahan	IAMAccess Analyzer mulai melacak perubahan untuk kebijakan AWS terkelola.	1 Maret 2021

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Konfigurasi dan analisis kerentanan

Fitur keamanan di luar IAM