# 使用 IAM Access Analyzer 自定义策略检查来验证策略
<a name="access-analyzer-custom-policy-checks"></a>

您可以使用自定义策略检查，根据安全标准检查新的访问。每次检查新的访问都会产生费用。有关定价的更多详细信息，请参阅 [IAM Access Analyzer 定价](https://aws.amazon.com/iam/access-analyzer/pricing)。

## 使用自定义策略检查验证策略（控制台）
<a name="access-analyzer-custom-policy-checks-console"></a>

作为一个可选步骤，在 IAM 控制台的 JSON 策略编辑器中编辑策略时，您可以运行自定义策略检查。您可以检查与现有版本相比，更新后的策略是否授予新的访问权限。

**要在编辑 IAM JSON 策略时检查新的访问**

1. 登录 AWS 管理控制台，然后通过以下网址打开 IAM 控制台：[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. 在左侧的导航窗格中，选择**策略**。

1. 在策略列表中，选择要编辑的策略的策略名称。您可以使用搜索框筛选策略列表。

1. 选择**权限**选项卡，然后选择**编辑**。

1. 选择 **JSON** 选项并更新您的策略。

1. 在策略下方的策略验证窗格中，选择**检查新访问**选项卡，然后选择**检查策略**。如果修改后的权限授予新的访问权限，则该语句将在策略验证窗格中突出显示。

1. 如果不打算授予新的访问权限，请更新策略声明并选择**检查策略**，直到检测不到新的访问。
**注意**  
每次检查新的访问都会产生费用。有关定价的更多详细信息，请参阅 [IAM Access Analyzer 定价](https://aws.amazon.com/iam/access-analyzer/pricing)。

1. 选择**下一步**。

1. 在**查看和保存**页面上，查看**此策略中定义的权限**，然后选择**保存更改**。

## 使用自定义策略检查验证策略（AWS CLI 或 API）
<a name="access-analyzer-custom-policy-checks-cli-api"></a>

您可以从 AWS CLI 或 IAM Access Analyzer API 运行 IAM Access Analyzer 自定义策略检查。

### 要运行 IAM Access Analyzer 自定义策略检查（AWS CLI）
<a name="access-analyzer-custom-policy-checks-cli"></a>
+ 要检查与现有策略相比，更新后的策略是否允许新的访问，请运行以下命令：[https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/check-no-new-access.html](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/check-no-new-access.html)
+ 要检查策略是否不允许指定访问，请运行以下命令：[https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/check-access-not-granted.html](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/check-access-not-granted.html)
+ 要检查资源策略是否可以授予对指定的资源类型的公共访问权限，请运行以下命令：[https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/check-no-public-access.html](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/check-no-public-access.html)

### 要运行 IAM Access Analyzer 自定义策略检查（API）
<a name="access-analyzer-custom-policy-checks-api"></a>
+ 要检查与现有策略相比，更新后的策略是否允许新的访问，请使用 [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckNoNewAccess.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckNoNewAccess.html) API 操作。
+ 要检查策略是否不允许指定访问，请使用 [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckAccessNotGranted.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckAccessNotGranted.html) API 操作。
+ 要检查资源策略是否可以授予对指定的资源类型的公共访问权限，请使用 [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckNoPublicAccess.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_CheckNoPublicAccess.html) API 操作。