本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

了解 IAM Access Analyzer 調查結果的運作方式

本主題說明 IAM Access Analyzer 中使用的概念和術語，協助您熟悉 IAM Access Analyzer 如何監控對 AWS 資源的存取。

外部存取權調查結果

若某資源在您的信任區域之外共用，其每個執行個體都會產生一份外部存取權調查結果。每次修改資源型政策後，IAM Access Analyzer 都會分析該政策。若更新後政策所共用的資源已被問題清單辨識，但具備不同許可或條件，則該資源共用的執行個體會產生新的問題清單。變更會影響資源控制政策 (RCP) 限制的資源控制政策也會產生新的問題清單。若第一份調查結果的存取權已移除，該調查結果的狀態會更新為已解決。

所有調查結果的狀態會保持為作用中，直到您將其封存，或者移除產生該調查結果的存取權。移除存取權時，調查結果狀態會更新為已解決。

IAM Access Analyzer 產生外部存取調查結果的運作方式

AWS Identity and Access Management Access Analyzer 使用名為 Zelkova 的技術來分析 IAM 政策，並識別對 資源的外部存取。

Zelkova 會將 IAM 政策轉換為等效的邏輯陳述式，並針對它們執行一套通用和專用的邏輯求解器 (可滿足性模數理論)。IAM Access Analyzer 會將 Zelkova 重複套用至政策，使用越來越具體的查詢來表徵政策根據其內容允許的訪問權類型。如需可滿足性模數理論的詳細資訊，請參閱可滿足性模數理論。

針對外部存取權分析器，IAM Access Analyzer 不會檢查存取日誌，來判斷外部實體是否實際存取過您信任區域內的資源。相反，當資源型政策允許存取某資源時，不論外部實體是否存取了該資源，都會產生調查結果。

此外，IAM Access Analyzer 在作出判斷時也不考慮任何外部帳戶的狀態。如果它指出帳戶 111122223333 可以存取您的 Amazon S3 儲存貯體，表示它對該帳戶中的使用者、角色、服務控制政策 (SCP) 或其他相關組態的資訊一無所知。這是考量到客戶的隱私權，因為 IAM Access Analyzer 不知道誰擁有另一個帳戶。這也是為了安全起見，即使目前沒有可以使用該存取的作用中主體，了解潛在的外部存取至關重要。

IAM Access Analyzer 僅考慮外部使用者無法直接影響或對授權具有影響力的某些 IAM 條件索引鍵。如需條件金鑰 IAM Access Analyzer 考慮的範例，請參閱 IAM Access Analyzer 篩選金鑰。

IAM Access Analyzer 目前不會報告 AWS 服務 委託人或內部服務帳戶的問題清單。在其無法完全判斷政策陳述式是否會將存取權授予外部實體的極少數情況下，則會在宣告誤報調查結果時發生錯誤。這是因為 IAM Access Analyzer 旨在提供在您帳戶中共享的全方位資源檢視，並將漏報降到最低。

未使用的存取權調查結果

系統會根據建立分析器時指定的天數，針對選定帳戶或組織內的 IAM 實體產生未使用的存取權調查結果。如果符合下列其中一個條件，分析器下次掃描實體時就會產生新的調查結果：

IAM Access Analyzer 如何產生未使用的存取權調查結果

若要分析未使用的存取權，即使您已經建立分析器來為資源產生外部存取權調查結果，還是須建立單獨的分析器以獲取角色的未使用存取權調查結果。

建立未使用的存取權分析器之後，IAM Access Analyzer 會檢閱存取權活動，以識別未使用的存取權。IAM Access Analyzer 會檢查所有 IAM 使用者、IAM 角色的上次存取資訊，包括服務角色、使用者存取金鑰，以及整個 AWS 組織和帳戶的使用者密碼。這可協助您識別未使用的存取權。

對於有效 IAM 角色和使用者，IAM Access Analyzer 會使用 IAM 服務和動作的上次存取資訊來識別未使用的許可。這可讓您在 AWS 組織和帳戶層級擴展審核程序。您也可以使用動作上次存取資訊，對個別角色進行更深入的調查。這可提供更精細的洞察，了解哪些特定的許可未被使用。

透過建立專用於未使用存取的分析器，您可以全面檢閱和識別整個 AWS 環境中未使用的存取，補充現有外部存取分析器所產生的問題清單。