Access Analyzer 工作原理 - Amazon Identity and Access Management
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

Access Analyzer 工作原理

本主题介绍了访问分析器中用于帮助您熟悉访问分析器如何监控对Amazon资源的访问的概念和术语。

Amazon IAM Access Analyzer 基于 Zelkova 构建,它将 IAM Access Analyzer 转换为等效逻辑语句,并针对问题运行一套通用和专门逻辑求解器(可满足模理论)。Access Analyzer 反复将 Zelkova 应用于具有越来越具体查询的策略,以根据策略的内容表征策略允许的行为类别。要了解有关可满足性模理论的更多信息,请参阅可满足性模理论

访问分析器不会检查访问日志来确定外部实体是否已访问信任区域内的资源。当基于资源的策略允许访问资源时,会生成一个结果,即使外部实体未访问资源也是如此。Access Analyzer 在做出决定时也不考虑任何外部账户的状态。也就是说,它指示账户 11112222333 可以访问您的 S3 存储桶,但它完全不知道该账户中的用户、角色、服务控制策略 (SCP) 和其他相关配置的状态。这是为了保护客户隐私——访问分析器不考虑其他账户的拥有者。这也是出于安全考虑——如果该账户不由访问分析器客户拥有,则即使该账户中当前没有委托人可以访问外部资源,外部实体也可以获取对其资源的访问权限,了解这一点仍然很重要。

访问分析器仅考虑外部用户不能直接影响的或对授权有影响的某些 IAM 条件键。有关 Access Analyzer 考虑的条件键的示例,请参阅 Access Analyzer 筛选条件键

访问分析器当前不会报告来自Amazon服务委托人或内部服务账户的结果。在极少数情况下,Access Analyzer 无法完全确定策略语句是否授予对外部实体的访问权限,它会错误地声明一个假阳性结果。Access Analyzer 旨在提供您账户中资源共享的全面视图,并努力减少假阴性结果。