Access Analyzer 的工作原理 - AWS Identity and Access Management
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

Access Analyzer 的工作原理

本主题介绍了 Access Analyzer 中用于帮助您熟悉 Access Analyzer 如何监控对 AWS 资源的访问的概念和术语。

AWS IAM Access Analyzer 基于 Zelkova 而构建,它将 IAM 策略转换为等效的逻辑语句,并运行一套通用和专门的逻辑解算器(可满足性模理论)来解决此问题。Access Analyzer 将 Zelkova 反复应用于具有越来越具体的查询的策略,以根据策略的内容来描述策略允许的行为类别的特征。要了解有关可满足性模理论的更多信息,请参阅可满足性模理论

Access Analyzer 不会检查访问日志来确定外部实体是否已访问信任区域内的资源。当基于资源的策略允许访问资源时,会生成一个结果,即使外部实体未访问资源也是如此。此外,Access Analyzer 在作出决定时不会考虑任何外部账户的状态。也就是说,它指示账户 11112222333 可以访问您的 S3 存储桶,但它完全不知道该账户中的用户、角色、服务控制策略 (SCP) 和其他相关配置的状态。这是为了保护客户隐私 – Access Analyzer 不考虑其他账户的拥有者。这也是出于安全考虑 – 如果该账户不由 Access Analyzer 客户拥有,则即使该账户中当前没有委托人可以访问外部资源,外部实体也可以获取对其资源的访问权限,了解这一点仍然很重要。

Access Analyzer 仅考虑外部用户不能直接影响的或对授权有影响的某些 IAM 条件键。

Access Analyzer 当前不会报告来自 AWS 服务委托人或内部服务账户的结果。在极少数情况下,如果 Access Analyzer 不能完全确定一个策略声明是否授予对外部实体的访问权限,它就会错误地声明一个假阳性结果。Access Analyzer 旨在提供您账户中资源共享的全面视图,并努力减少假阴性结果。