本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 了解 IAM Access Analyzer 調查結果的運作方式
本主題說明 IAM Access Analyzer 中使用的概念和術語,協助您熟悉 IAM Access Analyzer 如何監控對 AWS 資源的存取。
## 外部存取權調查結果
若某資源在您的信任區域之外共用,其每個執行個體都會產生一份外部存取權調查結果。每次修改資源型政策後,IAM Access Analyzer 都會分析該政策。若更新後政策所共用的資源已被問題清單辨識,但具備不同許可或條件,則該資源共用的執行個體會產生新的問題清單。對影響**資源控制政策 (RCP) 限制**的資源控制政策的變更,也會產生新的調查結果。IAM Access Analyzer 還會評估由[宣告式政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)建立的存取控制組態。若第一份調查結果的存取權已移除,該調查結果的狀態會更新為**已解決**。
所有調查結果的狀態會保持為**作用中**,直到您將其封存,或者移除產生該調查結果的存取權。移除存取權時,調查結果狀態會更新為**已解決**。
**注意**
修改政策後,IAM Access Analyzer 最多可能需要 30 分鐘才能分析資源並更新外部存取權調查結果。資源控制政策 (RCP) 的變更不會觸發調查結果中所回報資源的重新掃描。IAM Access Analyzer 會在下次定期掃描 (24 小時內) 期間分析該新增或更新的政策。
## IAM Access Analyzer 產生外部存取調查結果的運作方式
AWS Identity and Access Management Access Analyzer 使用名為 [Zelkova](https://aws.amazon.com/blogs/security/protect-sensitive-data-in-the-cloud-with-automated-reasoning-zelkova/) 的技術來分析 IAM 政策,並識別對 資源的外部存取。
Zelkova 會將 IAM 政策轉換為等效的邏輯陳述式,並針對它們執行一套通用和專用的邏輯求解器 (可滿足性模數理論)。IAM Access Analyzer 會將 Zelkova 重複套用至政策,使用越來越具體的查詢來表徵政策根據其內容允許的訪問權類型。如需可滿足性模數理論的詳細資訊,請參閱[可滿足性模數理論](https://people.eecs.berkeley.edu/~sseshia/pubdir/SMT-BookChapter.pdf)。
針對外部存取權分析器,IAM Access Analyzer 不會檢查存取日誌,來判斷外部實體是否實際存取過您信任區域內的資源。相反,當資源型政策允許存取某資源時,不論外部實體是否存取了該資源,都會產生調查結果。
此外,IAM Access Analyzer 在作出判斷時也不考慮任何外部帳戶的狀態。如果它指出帳戶 111122223333 可以存取您的 Amazon S3 儲存貯體,表示它對該帳戶中的使用者、角色、服務控制政策 (SCP) 或其他相關組態的資訊一無所知。這是考量到客戶的隱私權,因為 IAM Access Analyzer 不知道誰擁有另一個帳戶。這也是為了安全起見,即使目前沒有可以使用該存取的作用中主體,了解潛在的外部存取至關重要。
IAM Access Analyzer 僅考慮外部使用者無法直接影響或對授權具有影響力的某些 IAM 條件索引鍵。如需條件金鑰 IAM Access Analyzer 考慮的範例,請參閱 [IAM Access Analyzer 篩選金鑰](access-analyzer-reference-filter-keys.md)。
IAM Access Analyzer 目前不會報告 AWS 服務 委託人或內部服務帳戶的調查結果。在其無法完全判斷政策陳述式是否會將存取權授予外部實體的極少數情況下,則會在宣告誤報調查結果時發生錯誤。這是因為 IAM Access Analyzer 旨在提供在您帳戶中共享的全方位資源檢視,並將漏報降到最低。
## 內部存取調查結果
若要使用內部存取分析,必須先選取要監控的特定資源來設定分析器。設定完成後,當組織或帳戶內的主體 (IAM 使用者或角色) 可以存取您選取的資源時,就會產生內部存取調查結果。當分析器下次掃描指定的資源並識別出可存取這些資源的主體時,就會產生新的調查結果。若更新後的政策允許已在調查結果中識別出的主體,但該主體具備不同的許可或條件,則會針對該主體和資源的執行個體產生新的調查結果。此更新後的政策可以是資源型政策、身分型政策、服務控制政策 (SCP) 或資源控制政策 (RCP)。IAM Access Analyzer 還會評估由[宣告式政策](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_declarative.html)建立的存取控制組態。
**注意**
內部存取調查結果只能透過 [ListFindingsV2](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListFindingsV2.html) API 動作來取得。
## IAM Access Analyzer 如何產生內部存取調查結果
若要分析內部存取,即使您已經建立分析器來產生外部存取調查結果或未使用的存取調查結果,還是須建立單獨的分析器來取得資源的內部存取調查結果。
建立內部存取分析器之後,IAM Access Analyzer 會評估指定帳戶或組織內的所有資源型政策、身分型政策、服務控制政策 (SCP)、資源控制政策 RCP) 和許可界限。
透過建立專用於內部存取所選資源的分析器,您可以識別:
+ 組織或帳戶中的主體何時可以存取您選取的資源
+ 根據所有適用政策的交集,授予主體的所有有效許可
+ 複雜存取路徑,主體在其中根據身分政策和資源政策組合取得存取權
**注意**
IAM Access Analyzer 無法為包含超過 7 萬個主體 (IAM 使用者和角色合計) 的組織產生內部存取調查結果。
## 未使用的存取權調查結果
系統會根據建立分析器時指定的天數,針對選定帳戶或組織內的 IAM 實體 (主體) 產生未使用的存取調查結果。如果符合下列其中一個條件,分析器下次掃描實體時就會產生新的調查結果:
+ 角色在指定天數內處於非作用狀態。
+ 未使用的許可、未使用的使用者密碼或未使用的使用者存取金鑰超過指定天數。
**注意**
未使用的存取權調查結果只能透過 [ListFindingsV2](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListFindingsV2.html) API 動作來使用。
## IAM Access Analyzer 如何產生未使用的存取權調查結果
若要分析未使用的存取,即使您已經建立分析器來為資源產生外部或內部存取調查結果,還是須建立單獨的分析器來取得角色的未使用存取調查結果。
建立未使用的存取權分析器之後,IAM Access Analyzer 會檢閱存取權活動,以識別未使用的存取權。IAM Access Analyzer 會檢查 AWS 組織和帳戶中所有 IAM 使用者、IAM 角色的上次存取資訊,包括服務角色、使用者存取金鑰和使用者密碼。這可協助您識別未使用的存取權。
**注意**
[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)是一種特殊類型的服務角色,連結至 AWS 服務 並由服務擁有。未使用的存取分析器不會分析服務連結角色。
對於有效 IAM 角色和使用者,IAM Access Analyzer 會使用 IAM 服務和動作的上次存取資訊來識別未使用的許可。這可讓您在 AWS 組織和帳戶層級擴展審核程序。您也可以使用動作上次存取資訊,對個別角色進行更深入的調查。這可提供更精細的洞察,了解哪些特定的許可未被使用。
透過建立專用於未使用存取的分析器,您可以全面檢閱和識別整個 AWS 環境中未使用的存取,補充現有外部存取分析器所產生的問題清單。