Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 Amazon Web Services 服务入门。

使用 Amazon IAM Access Analyzer

Amazon IAM Access Analyzer 帮助您标识组织和账户中与外部实体共享的资源，例如 Amazon S3 存储桶或 IAM 角色。这样，您就可以识别对资源和数据的计划外访问，而这种访问可能会造成安全风险。Access Analyzer 使用基于逻辑的推理来分析 Amazon 环境中基于资源的策略，确定与外部委托人共享的资源。对于在您的账户外共享的资源的每个实例，都会 Access Analyzer 生成一个调查结果。调查结果包括有关访问权限以及该访问权限授予到的外部委托人的信息。您可以查看调查结果，以确定该访问权限是按计划授予且安全，还是计划外的访问权限并存在安全风险。除了帮助您识别与外部实体共享的资源外，您还可以使用 Access Analyzer 结果，以便在部署资源权限之前，预览策略如何影响对资源的公有和跨账户访问。

启用 Access Analyzer 后，可以为整个组织或账户创建分析器。您选择的组织或账户称为分析器的信任区。该分析器将监控信任区域内所有受支持的资源。信任区域内的委托人对资源的任何访问都被视为受信任的。启用后，Access Analyzer 将分析应用于您的信任区中所有受支持的资源的策略。在进行第一次分析后，Access Analyzer 将定期分析这些策略。如果添加了新策略或更改了现有策略，Access Analyzer 会在约 30 分钟内分析新策略或更新后的策略。

在分析策略时，如果 Access Analyzer 发现一个向不在信任区域内的外部委托人授予访问权限的策略，则会生成一个结果。每个结果均包含有关资源、有权访问该资源的外部实体以及授予的权限的详细信息，以便您能采取适当的操作。您可以查看查找结果中包含的详细信息，以确定资源访问是有意的还是应解决的潜在风险。在向资源添加策略或更新现有策略时，Access Analyzer 将对策略进行分析。Access Analyzer 还会定期分析所有基于资源的策略。

在某些情况下，很少会通知 Access Analyzer 添加或更新了策略。例如，更改 S3 存储桶上的账户级块公共访问设置可能需要长达 6 小时。此外，如果 Amazon CloudTrail 日志传输存在传输问题，则策略更改不会触发对查找结果中报告的资源进行重新扫描。在发生此情况时，Access Analyzer 会在下一个定期扫描期间（24 小时内）分析新策略或更新后的策略。如果要确认对策略所做的更改是否可以解决查找结果中报告的访问问题，您可以通过使用“Finding details (查找详细信息)”页面中的 Rescan (重新扫描) 链接，或通过使用 Access Analyzer API 的 StartResourceScan 操作，以重新扫描查找结果中报告的资源。要了解更多信息，请参阅解决结果。

Access Analyzer 分析以下资源类型：

验证策略

您可以使用 Access Analyzer 策略检查验证策略。您可以在 IAM 控制台中使用 Amazon CLI、Amazon API 或 JSON 策略编辑器创建或编辑策略。Access Analyzer 根据 IAM 策略语法和最佳实践验证您的策略。您可以查看策略验证检查结果，其中包括安全警告、错误、常规警告和策略建议。这些结果提供切实可行的建议，帮助您制定有效且符合安全最佳实践的策略。要了解有关使用 Access Analyzer 验证策略的详情，请参阅 Access Analyzer 策略验证。

生成策略

Access Analyzer 分析 Amazon CloudTrail 日志以识别 IAM 实体（用户或角色）在指定日期范围内使用的操作和服务。然后，它会生成基于该访问活动的 IAM 策略。您可以使用生成的策略通过将实体附加到 IAM 用户或角色来优化实体的权限。要了解如何使用 Access Analyzer 生成策略的详情，请参阅 IAM Access Analyzer 策略生成。