Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

IAM Access Analyzer 结果的工作原理

本主题介绍了 IAM Access Analyzer 中用于帮助您熟悉访问分析器如何监控对 Amazon 资源的访问的概念和术语。

外部访问

对于外部访问分析器，Amazon Identity and Access Management Access Analyzer 基于 Zelkova 构建，它将 IAM policy 转换为等效逻辑语句，并针对问题运行一套通用和专门逻辑求解器（可满足性模理论）。IAM Access Analyzer 反复将 Zelkova 应用于具有越来越具体查询的策略，以根据策略的内容表征策略允许的行为类别。要了解有关可满足性模理论的更多信息，请参阅可满足性模理论。

对于外部访问分析器，IAM Access Analyzer 不会检查访问日志，来确定外部实体是否访问了您信任区域内的资源。当基于资源的策略允许访问资源时，会生成一个结果，即使外部实体未访问资源也是如此。IAM Access Analyzer 在做出决定时也不考虑任何外部账户的状态。也就是说，如果其指示账户 111122223333 可以访问您的 Amazon S3 存储桶，那么它对该账户中的用户、角色、服务控制策略（SCP）和其他相关配置的状态一无所知。这是为了保护客户隐私 – IAM Access Analyzer 不考虑其他账户的拥有者。这也是出于安全考虑——如果该账户不由 IAM Access Analyzer 客户拥有，则即使该账户中当前没有主体可以访问外部资源，外部实体也可以获取对其资源的访问权限，了解这一点仍然很重要。

IAM Access Analyzer 仅考虑外部用户不能直接影响的或对授权有影响的某些 IAM 条件键。有关 IAM Access Analyzer 考虑的条件键的示例，请参阅 IAM Access Analyzer 筛选条件键。

IAM Access Analyzer 当前不会报告来自 Amazon 服务主体或内部服务账户的结果。在极少数情况下，IAM Access Analyzer 无法完全确定策略语句是否授予对外部实体的访问权限，它会错误地声明一个假阳性结果。IAM Access Analyzer 旨在提供您账户中资源共享的全面视图，并努力减少假阴性结果。

未使用的访问

即使您已经创建了分析器来为资源生成外部访问调查发现，也必须为角色创建一个未使用的访问调查发现分析器。创建分析器后，IAM Access Analyzer 会查看访问活动，以识别未使用的访问。IAM Access Analyzer 会查看 Amazon 组织和账户中所有角色、用户访问密钥和用户密码的上次访问信息，以帮助您识别未使用的访问。对于活动的 IAM 角色和用户，IAM Access Analyzer 使用 IAM 服务和操作上次访问的信息来识别未使用的权限。您可以使用未使用的访问分析器在 Amazon 组织和账户级别扩展审查过程。您可以使用操作上次访问的信息来深入调查各个角色。

摘要控制面板

对于外部访问和未使用的访问，IAM Access Analyzer 将调查发现整理到摘要控制面板中。对于外部访问，摘要控制面板会突出显示公共和跨账户存取调查发现之间的差异，并按资源类型提供调查发现的明细。对于未使用的访问，控制面板会突出显示调查发现最多的 Amazon Web Services 账户，并按类型提供调查发现明细。为外部或未使用的访问创建分析器后，IAM Access Analyzer 将自动向控制面板添加新的调查发现，突出显示具有未使用权限的角色。