欢迎使用

AWS Identity and Access Management Access Analyzer 通过提供一套功能，帮助您设置、验证和完善您的IAM策略。其功能包括对外部和未使用访问权限的发现、用于验证策略的基本和自定义策略检查以及生成精细策略的策略生成。要开始使用 A IAM ccess Analyzer 来识别外部访问或未使用的访问权限，首先需要创建一个分析器。

外部访问分析器使您能够识别向外部委托人授予访问权限的任何资源策略，从而帮助识别访问资源的潜在风险。它通过使用基于逻辑的推理来分析环境中基于资源的策略来实现这一点。 AWS 外部委托人可以是另一个 AWS 账户、root IAM 用户、用户或角色、联合用户、 AWS 服务或匿名用户。在部署权限变更之前，您还可以使用 A IAM ccess Analyzer 来预览对资源的公共和跨账户访问权限。

未使用的访问分析器使您能够识别未使用的IAM角色、未使用的访问密钥、未使用的控制台密码以及具有未使用服务和操作级权限IAM的主体，从而帮助识别潜在的身份访问风险。

除了发现结果外，IAMAccess Analyzer 还提供基本和自定义策略检查，以便在部署权限更改之前验证IAM策略。您可以附加使用 CloudTrail 日志中记录的访问活动生成的策略，从而使用策略生成来细化权限。

本指南描述了您可以通过编程方式调用的IAM访问分析器操作。有关 A IAM ccess Analyzer 的一般信息，请参阅《IAM用户指南》AWS Identity and Access Management Access Analyzer中的。

本文档最后一次发布于 2024 年 7 月 29 日。