Access Analyzer 的運作方式 - AWS Identity and Access Management

Access Analyzer 的運作方式

本主題描述 Access Analyzer 中所用的概念和術語,來協助您熟悉 Access Analyzer 如何監控 AWS 資源的存取權。

AWS IAM Access Analyzer 是以 Zelkova 為基礎,它將 IAM 政策轉換為等效的邏輯陳述式,並針對問題執行一套通用和專門的邏輯求解器 (可滿足性模數理論)。Access Analyzer 會將 Zelkova 重複套用至具有越來越特定查詢的政策,以根據政策的內容來描述政策允許的行為類別特徵。若要進一步了解可滿足性模數理論的資訊,請參閱可滿足性模數理論

Access Analyzer 不會檢查存取權日誌,來判斷外部實體是否存取您信任區域內的資源。當以資源為基礎的政策允許某資源的存取權時,即使外部實體未存取該資源,也會產生問題清單。Access Analyzer 在作出判斷時也不考慮任何外部帳戶的狀態。也就是說,如果它指示帳戶 11112222333 可以存取您的 S3 儲存貯體,則它對該帳戶中的使用者、角色、服務控制政策 (SCP) 和其他相關組態的狀態一無所知。這是考量到客戶的隱私權 – Access Analyzer 不會考慮擁有其他帳戶的人員。這也考量到安全性 – 如果 Access Analyzer 客戶不具有該帳戶,即使帳戶中目前沒有可存取那些資源的委託人,您仍必須了解外部實體是否能夠獲得那些資源的存取權。

Access Analyzer 僅考慮外部使用者無法直接影響或對授權具有影響力的某些 IAM 條件金鑰。如需條件金鑰 Access Analyzer 考慮的範例,請參閱 Access Analyzer 篩選金鑰

Access Analyzer 目前未報告 AWS 服務委託人或內部服務帳戶中的問題清單。在 Access Analyzer 無法完全判斷政策陳述式是否會將存取權授與外部實體的極少數情況下,則會在宣告誤報問題清單時發生錯誤。Access Analyzer 旨在提供在您帳戶中共享的全方位資源檢視,並努力將假否定降到最低。