IAM Access Analyzer 通过提供设置、验证和细化权限的功能来指导设定所需的最低权限。
启用 IAM Access Analyzer 后,将创建一个分析器,分析器为 IAM 角色、IAM 用户和 AWS 资源生成访问调查发现。
IAM Access Analyzer 分析器有两种类型可选,分别是外部访问分析器和未使用的访问分析器;外部访问分析器的类型可以免费使用,未使用的访问分析器的类型的使用需要付费。
IAM Access Analyzer 提供两种类型的策略检查,分别是策略验证和自定义策略检。IAM Access Analyzer 策略验证可以免费使用,IAM Access Analyzer 自定义策略检查的使用需要付费。
IAM Access Analyzer 提供策略生成功能,根据日志中捕获的访问活动创建精细的策略,该功能可以免费使用。
1. 未使用的访问分析器
使用此功能,需要按每个月每个区域每个分析器分析的每个 IAM 角色或 IAM 用户付费。 IAM 角色和用户是全局的,因此可以创建一个分析器来覆盖多个区域。
2. 自定义策略检查
通过调用 IAM Access Analyzer API 运行的检查数量收费。
假定在美国东部一区,只有一个 AWS 账户,账号内包含 10 个 IAM 用户和 60 个 IAM 角色的账户。该账户已经启用 IAM Access Analyzer 的未使用的访问分析器,并且每月调用 1000 次 IAM Access Analyzer API 来运行自定义策略检查。
10 个用户 + 60 个角色 = 70 个 IAM 角色和用户
0.20 美元 * 70 个 IAM 角色和用户 = 14 美元/月
0.0020 美元*1000 次 API 调用 = 2 美元/月
14 美元/月 + 2 美元/月 = 16 美元/月