AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 AWS 服务入门。

Access Analyzer 的工作原理

本主题介绍了 Access Analyzer 中用于帮助您熟悉 Access Analyzer 如何监控对 AWS 资源的访问的概念和术语。

AWS IAM Access Analyzer 基于 Zelkova 而构建，它将 IAM 策略转换为等效的逻辑语句，并运行一套通用和专门的逻辑解算器（可满足性模理论）来解决此问题。Access Analyzer 将 Zelkova 反复应用于具有越来越具体的查询的策略，以根据策略的内容来描述策略允许的行为类别的特征。要了解有关可满足性模理论的更多信息，请参阅可满足性模理论。

Access Analyzer 不会检查访问日志来确定外部实体是否已访问信任区域内的资源。当基于资源的策略允许访问资源时，会生成一个结果，即使外部实体未访问资源也是如此。此外，Access Analyzer 在作出决定时不会考虑任何外部账户的状态。也就是说，它指示账户 11112222333 可以访问您的 S3 存储桶，但它完全不知道该账户中的用户、角色、服务控制策略 (SCP) 和其他相关配置的状态。这是为了保护客户隐私 – Access Analyzer 不考虑其他账户的拥有者。这也是出于安全考虑 – 如果该账户不由 Access Analyzer 客户拥有，则即使该账户中当前没有委托人可以访问外部资源，外部实体也可以获取对其资源的访问权限，了解这一点仍然很重要。

Access Analyzer 仅考虑外部用户不能直接影响的或对授权有影响的某些 IAM 条件键。

Access Analyzer 当前不会报告来自 AWS 服务委托人或内部服务账户的结果。在极少数情况下，如果 Access Analyzer 不能完全确定一个策略声明是否授予对外部实体的访问权限，它就会错误地声明一个假阳性结果。Access Analyzer 旨在提供您账户中资源共享的全面视图，并努力减少假阴性结果。