產生 IAM Access Analyzer 政策

產生 IAM 角色的政策

1. 登入 AWS Management Console ，並在 https：//https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。

2. 在左側導覽窗格中，選擇 Roles (角色)。

   注意

   根據 IAM 使用者之活動產生政策的步驟幾乎相同。若要這樣做，請選擇 Users (使用者) 而非 Roles (角色)。

3. 在帳戶中的角色清單中，選擇您要用來產生政策之活動的角色名稱。

4. 在 Permissions (許可) 索引標籤的 Generate policy based on CloudTrail events (根據 CloudTrail 事件產生政策) 區段中，選擇 Generate policy (產生政策)。

5. 在 Generate policy (產生政策) 頁面上，指定您要 IAM Access Analyzer 分析 CloudTrail 事件的時間間隔，以執行角色所採取的動作。您可以選擇最多 90 天的範圍。我們建議您選擇最短的時間間隔，以減少政策產生時間。

6. 在 CloudTrail 存取部分中，選擇適當的角色或新建角色 (如果適當的角色不存在)。角色授與代表您存取 CloudTrail 資料的 IAM Access Analyzer 許可，以檢閱存取活動來識別已使用的服務和動作。若要進一步了解此角色所需的許可，請參閱 產生政策所需的許可。

7. 在 CloudTrail trail to be analyzed (要分析的 CloudTrail 線索) 區段中，請指定記錄帳戶事件的 CloudTrail 線索。

   如果您選擇將記錄儲存在不同帳戶中的 CloudTrail 追蹤，則會顯示有關跨帳戶存取的資訊方塊。跨帳戶存取需要額外的設定。如需進一步了解，請參閱本主題稍後的 Choose a role for cross-account access。

8. 選擇 Generate policy (產生政策)。

9. 當正在產生政策時，您會返回 Permissions (許可) 索引標籤上的 Roles Summary (角色摘要) 頁面。等待 Policy request details (政策請求詳細資訊) 區段中的狀態顯示 Success (成功)，然後選擇 View generated policy (檢視產生的政策)。您可以在最多七天內檢視產生的政策。如果您產生另一個政策，則現有政策會被您產生的新政策取代。

1. 請檢閱下列各節：

   • 在 Review permissions (檢閱許可) 頁面上，檢閱 Actions included in the generated policy (產生政策中所包含的動作) 清單。清單會顯示 IAM Access Analyzer 識別的在指定日期範圍內由角色使用的服務和動作。

   • Services used (所使用的服務) 區段會顯示 IAM Access Analyzer 識別的在指定日期範圍中角色所使用的其他服務。使用哪些動作的相關資訊可能不適用於本節所列的服務。使用列出的每個服務的功能表，手動選擇您要包含在政策中的動作。

2. 完成新增動作後，請選擇 Next (下一步)。

自訂產生的政策

1. 更新政策範本。政策範本包含支援資源層級許可之動作的資源 ARN 預留位置，如下圖所示。資源層級許可能夠讓您指定使用者可執行動作的資源。建議您使用 ARN 在政策中為支援資源層級許可的動作指定個別資源。您可以將預留位置資源 ARN 取代為使用案例的有效資源 ARN。

   如果動作不支援資源層級許可，您必須使用萬用字元 (*) 來指定該動作可以影響所有資源。若要了解哪些 AWS 服務支援資源層級許可，請參閱AWS 使用 IAM 的服務。如需每項服務中的動作清單，以及了解哪些動作支援資源層級許可，請參閱 AWS 服務的動作、資源和條件索引鍵。

   

2. (選用) 在範本中新增、修改或移除 JSON 政策陳述式。若要進一步了解如何撰寫 JSON 政策，請參閱建立 IAM 政策 (主控台)。

3. 完成自訂政策範本後，您有下列選項：

   • (選用) 您可以複製範本中的 JSON，以便在 Generated policy (產生的政策) 頁面之外獨立使用。例如，如果您想要使用 JSON 在不同的帳戶中建立政策。如果範本中的政策超過 JSON 政策的 6,144 個字元限制，則政策會分割成多個政策。

   • 選擇 Next (下一步) 以檢閱並在同一個帳戶中建立受管政策。

檢閱和建立政策

1. 在 Review and create managed policy (檢閱並建立受管政策) 頁面上，為您正在建立的政策輸入 Name (名稱) 與 Description (描述) (選用)。

2. (選用) 在 Summary (摘要) 區段中，您可以檢閱將包含在政策中的許可。

3. (選用) 藉由連接標籤作為鍵值組，將中繼資料新增至政策。如需在 IAM 中使用標籤的詳細資訊，請參閱標記 IAM 資源。

4. 完成後，請執行下列其中一項動作：

   • 您可以將新政策直接連接至用來產生政策的角色。若要執行這項操作，請在頁面底部附近，選取將政策連接至 YourRoleName 旁的核取方塊。然後選擇 Create and attach policy (建立並連接政策)。

   • 否則，請選擇 Create policy (建立政策)。您可以在 IAM 主控台的 Policies (政策) 導覽窗格的政策清單中找到您建立的政策。

5. 您可以將您建立的政策連接至帳戶中的實體。連接政策之後，您可以移除可能連接至實體的任何其他過於廣泛的政策。若要了解如何連接受管政策，請參閱新增 IAM 身分許可 (主控台)。

步驟 1：選擇或建立跨帳戶存取的角色

• 在產生政策畫面中，如果您的帳戶中存在具有必要許可的角色，則會為您預先選取使用現有的角色選項。否則，請選擇建立並使用新的服務角色。新角色可用來授與 IAM Access Analyzer 存取帳戶 B 中 CloudTrail 記錄的存取權。

步驟 2：在帳戶 B 中確認或更新您的 Amazon S3 儲存貯體組態

1. 登入 AWS Management Console ，並在 https://console.aws.amazon.com/s3/：// 開啟 Amazon S3 主控台。

2. 在儲存貯體清單中，選擇儲存 CloudTrail 追蹤日誌的儲存貯體名稱。

3. 選擇 Permissions (許可) 索引標籤，然後轉至 Object Ownership (物件擁有權) 區段。

   使用 Amazon S3 物件擁有權儲存貯體設定，可控制您上傳至儲存貯體的物件的擁有權。在預設情況下，當其他 AWS 帳戶 上傳物件到您的儲存貯體時，上傳帳戶會擁有物件。若要產生政策，儲存貯體擁有者必須擁有儲存貯體中的所有物件。根據您的 ACL 使用案例，您可能需要變更儲存貯體的 Object Ownership (物件擁有權) 設定。將 Object Ownership (物件擁有權) 設定為下列其中一個選項。

   • Bucket owner enforced (儲存貯體擁有者強制執行) (建議)

   • Bucket owner preferred (儲存貯體擁有者偏好)

   重要

   若要成功產生政策，儲存貯體中的物件必須由儲存貯體擁有者擁有。如果您選擇使用儲存貯體擁有者偏好，您只能在物件擁有權變更後的期間內產生政策。

   如需有關 Amazon S3 中物件擁有權的詳細資訊，請參閱《Amazon S3 使用者指南》中的控制物件的擁有權並停用儲存貯體的 ACL。

4. 將許可新增到帳戶 B 中的 Amazon S3 儲存貯體政策，以允許存取帳戶 A 中的角色。

   下列範例政策允許名為 amzn-s3-demo-bucket 之儲存貯體的 ListBucket 和 GetObject。如果存取儲存貯體的角色屬於貴組織中的帳戶，且名稱開頭為 AccessAnalyzerMonitorServiceRole，則允許存取。使用 aws:PrincipalArn 做為 Resource 元素中的 Condition 可確保角色只能存取帳戶的活動 (如果其屬於帳戶 A)。您可以將 amzn-s3-demo-bucket 取代為您的儲存貯體名稱，將 optional-prefix 取代為可選的儲存貯體字首，以及將 organization-id 取代為貴組織 ID。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "PolicyGenerationBucketPolicy",
         "Effect": "Allow",
         "Principal": {
           "AWS": "*"
         },
         "Action": [
           "s3:GetObject",
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket",
           "arn:aws:s3:::amzn-s3-demo-bucket/optional-prefix/AWSLogs/organization-id/${aws:PrincipalAccount}/*"
         ],
         "Condition": {
           "StringEquals": {
             "aws:PrincipalOrgID": "organization-id"
           },
           "StringLike": {
             "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
           }
         }
       }
     ]
   }

5. 如果您使用 加密日誌 AWS KMS，請在您存放 CloudTrail 日誌的帳戶中更新 AWS KMS 金鑰政策，以授予 IAM Access Analyzer 使用您的金鑰的存取權，如下列政策範例所示。將 CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN 取代為您追蹤的 ARN 以及將 organization-id 取代為貴組織 ID。

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "*"
         },
         "Action": "kms:Decrypt",
         "Resource": "*",
         "Condition": {
           "StringEquals": {
             "kms:EncryptionContext:aws:cloudtrail:arn": "CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN",
             "aws:PrincipalOrgID": "organization-id"
           },
           "StringLike": {
             "kms:ViaService": [
               "access-analyzer.*.amazonaws.com",
               "s3.*.amazonaws.com"
             ],
             "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
           }
         }
       }
     ]
   }