AWS kebijakan terkelola untuk AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management
IAMReadOnlyAccessIAMUserChangePasswordIAMAccessAnalyzerFullAccessIAMAccessAnalyzerReadOnlyAccessAccessAnalyzerServiceRolePolicyPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

AWS kebijakan terkelola untuk AWS Identity and Access Management Access Analyzer

Kebijakan AWS terkelola adalah kebijakan mandiri yang dibuat dan dikelola oleh AWS. AWS Kebijakan terkelola dirancang untuk memberikan izin bagi banyak kasus penggunaan umum sehingga Anda dapat mulai menetapkan izin kepada pengguna, grup, dan peran.

Perlu diingat bahwa kebijakan AWS terkelola mungkin tidak memberikan izin hak istimewa paling sedikit untuk kasus penggunaan spesifik Anda karena tersedia untuk digunakan semua pelanggan. AWS Kami menyarankan Anda untuk mengurangi izin lebih lanjut dengan menentukan kebijakan yang dikelola pelanggan yang khusus untuk kasus penggunaan Anda.

Anda tidak dapat mengubah izin yang ditentukan dalam kebijakan AWS terkelola. Jika AWS memperbarui izin yang ditentukan dalam kebijakan AWS terkelola, pemutakhiran akan memengaruhi semua identitas utama (pengguna, grup, dan peran) yang dilampirkan kebijakan tersebut. AWS kemungkinan besar akan memperbarui kebijakan AWS terkelola saat baru Layanan AWS diluncurkan atau API operasi baru tersedia untuk layanan yang ada.

Untuk informasi selengkapnya, lihat kebijakan AWS terkelola di Panduan IAM Pengguna.

IAMReadOnlyAccess

Gunakan kebijakan IAMReadOnlyAccess terkelola untuk mengizinkan akses baca saja ke IAM sumber daya. Kebijakan ini memberikan izin untuk mendapatkan dan mencantumkan semua IAM sumber daya. Ini memungkinkan melihat detail dan laporan aktivitas untuk pengguna, grup, peran, kebijakan, penyedia identitas, dan MFA perangkat. Ini tidak termasuk kemampuan untuk membuat atau menghapus sumber daya atau akses ke sumber daya IAM Access Analyzer. Lihat kebijakan untuk daftar lengkap layanan dan tindakan yang didukung oleh kebijakan ini.

IAMUserChangePassword

Gunakan kebijakan IAMUserChangePassword terkelola untuk memungkinkan IAM pengguna mengubah kata sandi mereka.

Anda mengonfigurasi pengaturan IAM Akun dan kebijakan Kata Sandi untuk memungkinkan IAM pengguna mengubah kata sandi IAM akun mereka. Saat Anda mengizinkan tindakan ini, IAM lampirkan kebijakan berikut ke setiap pengguna:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

IAMAccessAnalyzerFullAccess

Gunakan kebijakan IAMAccessAnalyzerFullAccess AWS terkelola untuk mengizinkan administrator mengakses IAM Access Analyzer.

Pengelompokan izin

Kebijakan ini dikelompokkan ke dalam pernyataan berdasarkan kumpulan izin yang diberikan.

  • IAMAccess Analyzer - Memungkinkan izin administratif penuh ke semua sumber daya di IAM Access Analyzer.

  • Buat peran terkait layanan — Memungkinkan administrator membuat peran terkait layanan, yang memungkinkan IAM Access Analyzer menganalisis sumber daya di layanan lain atas nama Anda. Izin ini memungkinkan pembuatan peran terkait layanan hanya untuk digunakan oleh IAM Access Analyzer.

  • AWS Organizations— Memungkinkan administrator untuk menggunakan IAM Access Analyzer untuk organisasi di. AWS Organizations Setelah mengaktifkan akses tepercaya untuk IAM Access Analyzer di AWS Organizations, anggota akun manajemen dapat melihat temuan di seluruh organisasi mereka.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "access-analyzer:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "access-analyzer.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots"
      ],
      "Resource": "*"
    }
  ]
}

IAMAccessAnalyzerReadOnlyAccess

Gunakan kebijakan IAMAccessAnalyzerReadOnlyAccess AWS terkelola untuk mengizinkan akses hanya-baca ke IAM Access Analyzer.

Untuk juga mengizinkan akses hanya-baca ke IAM Access Analyzer AWS Organizations, buat kebijakan terkelola pelanggan yang memungkinkan tindakan Deskripsikan dan Daftar dari kebijakan IAMAccessAnalyzerFullAccess AWS terkelola.

Izin tingkat layanan

Kebijakan ini menyediakan akses hanya-baca ke IAM Access Analyzer. Tidak ada izin layanan lain yang disertakan dalam kebijakan ini.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMAccessAnalyzerReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "access-analyzer:CheckAccessNotGranted",
        "access-analyzer:CheckNoNewAccess",
        "access-analyzer:Get*",
        "access-analyzer:List*",
        "access-analyzer:ValidatePolicy"
      ],
      "Resource": "*"
    }
  ]
}

AccessAnalyzerServiceRolePolicy

Anda tidak dapat melampirkan AccessAnalyzerServiceRolePolicy ke IAM entitas Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan IAM Access Analyzer melakukan tindakan atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk AWS Identity and Access Management Access Analyzer.

Pengelompokan izin

Kebijakan ini memungkinkan akses ke IAM Access Analyzer untuk menganalisis metadata sumber daya dari beberapa. Layanan AWS

  • Amazon DynamoDB - Memungkinkan izin untuk melihat aliran dan tabel DynamoDB.

  • Amazon Elastic Compute Cloud — Memungkinkan izin untuk mendeskripsikan alamat IP, snapshot, dan. VPCs

  • Amazon Elastic Container Registry - Memungkinkan izin untuk mendeskripsikan repositori gambar dan mengambil kebijakan repositori.

  • Amazon Elastic File System - Memungkinkan izin untuk melihat deskripsi sistem EFS file Amazon dan melihat kebijakan tingkat sumber daya untuk sistem file Amazon. EFS

  • AWS Identity and Access Management— Memungkinkan izin untuk mengambil informasi tentang peran tertentu dan daftar IAM peran yang memiliki awalan jalur tertentu. Memungkinkan izin untuk mengambil informasi tentang pengguna, IAM grup, profil login, kunci akses, dan layanan data yang terakhir diakses.

  • AWS Key Management Service— Memungkinkan izin untuk melihat informasi terperinci tentang KMS kunci dan kebijakan dan hibah utamanya.

  • AWS Lambda— Memungkinkan izin untuk melihat informasi tentang alias, fungsi, lapisan, dan alias Lambda.

  • AWS Organizations— Memungkinkan izin untuk Organizations dan memungkinkan pembuatan analyzer dalam AWS organisasi sebagai zona kepercayaan.

  • Amazon Relational Database Service - Memungkinkan izin untuk melihat informasi terperinci tentang snapshot RDS Amazon DB dan snapshot cluster RDS Amazon DB.

  • Amazon Simple Storage Service - Memungkinkan izin untuk melihat informasi terperinci tentang jalur akses Amazon S3, bucket, dan bucket direktori Amazon S3 yang menggunakan kelas penyimpanan Amazon S3 Express One.

  • AWS Secrets Manager— Memungkinkan izin untuk melihat informasi rinci tentang rahasia dan kebijakan sumber daya yang melekat pada rahasia.

  • Amazon Simple Notification Service - Memungkinkan izin untuk melihat informasi rinci tentang suatu topik.

  • Amazon Simple Queue Service - Memungkinkan izin untuk melihat informasi rinci tentang antrian tertentu.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessAnalyzerServiceRolePolicy",
      "Effect": "Allow",
      "Action": [
        "dynamodb:GetResourcePolicy",
        "dynamodb:ListStreams",
        "dynamodb:ListTables",
        "ec2:DescribeAddresses",
        "ec2:DescribeByoipCidrs",
        "ec2:DescribeSnapshotAttribute",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ec2:GetSnapshotBlockPublicAccessState",
        "ecr:DescribeRepositories",
        "ecr:GetRepositoryPolicy",
        "elasticfilesystem:DescribeFileSystemPolicy",
        "elasticfilesystem:DescribeFileSystems",
        "iam:GetRole",
        "iam:ListEntitiesForPolicy",
        "iam:ListRoles",
        "iam:ListUsers",
        "iam:GetUser",
        "iam:GetGroup",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:GetServiceLastAccessedDetails",
        "iam:ListAccessKeys",
        "iam:GetLoginProfile",
        "iam:GetAccessKeyLastUsed",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "iam:ListAttachedRolePolicies",
        "iam:ListUserPolicies",
        "iam:GetUserPolicy",
        "iam:ListAttachedUserPolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListGroupsForUser",
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:ListGrants",
        "kms:ListKeyPolicies",
        "kms:ListKeys",
        "lambda:GetFunctionUrlConfig",
        "lambda:GetLayerVersionPolicy",
        "lambda:GetPolicy",
        "lambda:ListAliases",
        "lambda:ListFunctions",
        "lambda:ListLayers",
        "lambda:ListLayerVersions",
        "lambda:ListVersionsByFunction",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots",
        "rds:DescribeDBClusterSnapshotAttributes",
        "rds:DescribeDBClusterSnapshots",
        "rds:DescribeDBSnapshotAttributes",
        "rds:DescribeDBSnapshots",
        "s3:DescribeMultiRegionAccessPointOperation",
        "s3:GetAccessPoint",
        "s3:GetAccessPointPolicy",
        "s3:GetAccessPointPolicyStatus",
        "s3:GetAccountPublicAccessBlock",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPolicy",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetMultiRegionAccessPoint",
        "s3:GetMultiRegionAccessPointPolicy",
        "s3:GetMultiRegionAccessPointPolicyStatus",
        "s3:ListAccessPoints",
        "s3:ListAllMyBuckets",
        "s3:ListMultiRegionAccessPoints",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "sns:GetTopicAttributes",
        "sns:ListTopics",
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:ListSecrets",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues"
      ],
      "Resource": "*"
    }
  ]
}

IAMdan pembaruan IAM Access Analyzer ke kebijakan AWS terkelola

Lihat detail tentang pembaruan IAM dan kebijakan AWS terkelola sejak layanan mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan RSS umpan di halaman riwayat Dokumen Penganalisis IAM Akses IAM dan Akses.

Perubahan Deskripsi Tanggal
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAMAccess Analyzer menambahkan dukungan untuk izin untuk mengambil informasi tentang kebijakan IAM pengguna dan peran ke izin tingkat layanan. AccessAnalyzerServiceRolePolicy 30 Mei 2024
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAMAccess Analyzer menambahkan dukungan untuk izin untuk mengambil status saat ini dari blokir akses publik untuk EC2 snapshot Amazon ke izin tingkat layanan. AccessAnalyzerServiceRolePolicy 23 Januari 2024
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAMAccess Analyzer menambahkan dukungan untuk aliran dan tabel DynamoDB ke izin tingkat layanan. AccessAnalyzerServiceRolePolicy Januari 11, 2024
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAMAccess Analyzer menambahkan dukungan untuk bucket direktori Amazon S3 ke izin tingkat layanan. AccessAnalyzerServiceRolePolicy 1 Desember 2023

IAMAccessAnalyzerReadOnlyAccess— Izin Ditambahkan

IAMAccess Analyzer menambahkan izin untuk memungkinkan Anda memeriksa apakah pembaruan kebijakan Anda memberikan akses tambahan.

Izin ini diperlukan oleh IAM Access Analyzer untuk melakukan pemeriksaan kebijakan pada kebijakan Anda.

 26 November 2023
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAMAccess Analyzer menambahkan IAM tindakan ke izin tingkat layanan AccessAnalyzerServiceRolePolicy untuk mendukung tindakan berikut:

  • Daftar entitas untuk kebijakan

  • Menghasilkan detail layanan yang terakhir diakses

  • Daftar informasi kunci akses

 26 November 2023
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAMAccess Analyzer menambahkan dukungan untuk jenis sumber daya berikut ke izin tingkat layanan: AccessAnalyzerServiceRolePolicy

  • Cuplikan EBS volume Amazon

  • ECRRepositori Amazon

  • Sistem EFS file Amazon

  • Cuplikan Amazon RDS DB

  • Cuplikan kluster Amazon RDS DB

  • SNSTopik Amazon

 25 Oktober 2022
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAMAccess Analyzer menambahkan lambda:GetFunctionUrlConfig tindakan ke izin tingkat layanan. AccessAnalyzerServiceRolePolicy April 6, 2022
AccessAnalyzerServiceRolePolicy— Izin Ditambahkan IAMAccess Analyzer menambahkan tindakan Amazon S3 baru untuk menganalisis metadata yang terkait dengan titik akses multi-wilayah. 2 September 2021

IAMAccessAnalyzerReadOnlyAccess— Izin Ditambahkan

IAMAccess Analyzer menambahkan tindakan baru untuk memberikan ValidatePolicy izin agar Anda dapat menggunakan pemeriksaan kebijakan untuk validasi.

Izin ini diperlukan oleh IAM Access Analyzer untuk melakukan pemeriksaan kebijakan pada kebijakan Anda.

 16 Maret 2021

IAMAccess Analyzer mulai melacak perubahan

IAMAccess Analyzer mulai melacak perubahan untuk kebijakan yang AWS dikelola.

 1 Maret 2021