欢迎使用

AWS Identity and Access Management Access Analyzer 通过提供一套功能，帮助您设置、验证和完善 IAM 策略。其功能包括对外部、内部和未使用访问权限的发现、用于验证策略的基本和自定义策略检查以及生成精细策略的策略生成。要开始使用 IAM Access Analyzer 来识别外部、内部或未使用的访问权限，您首先需要创建一个分析器。

外部访问分析器使您能够识别向外部委托人授予访问权限的任何资源策略，从而帮助您识别访问资源的潜在风险。它通过使用基于逻辑的推理来分析环境中基于资源的策略来实现这一点。 AWS 外部委托人可以是其他 AWS 账户委托人、根用户、IAM 用户或角色、联合用户、 AWS 服务或匿名用户。在部署权限变更之前，您还可以使用 IAM Access Analyzer 来预览对资源的公共和跨账户访问权限。

内部访问分析器可帮助您确定组织或账户中的哪些委托人有权访问所选资源。此分析支持实施最低权限原则，确保只有您的组织内的预期主体才能访问您指定的资源。

未使用的访问分析器使您能够识别未使用的 IAM 角色、未使用的访问密钥、未使用的控制台密码以及具有未使用服务和操作级权限的 IAM 委托人，从而帮助您识别潜在的身份访问风险。

除了发现结果外，IAM Access Analyzer 还提供基本和自定义策略检查，以便在部署权限更改之前验证 IAM 策略。您可以附加使用 CloudTrail 日志中记录的访问活动生成的策略，从而使用策略生成来细化权限。

本指南介绍了您可以通过编程方式调用的 IAM Access Analyzer 操作。有关 IAM 访问分析器的一般信息，请参阅 IAM 用户指南 AWS Identity and Access Management Access Analyzer中的使用。

本文件最后一次发布于2025年9月22日。