本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM Access Analyzer 錯誤調查結果
<a name="access-analyzer-error-findings"></a>

當 IAM Access Analyzer 分析資源時，通常會產生調查結果，這些調查結果會顯示誰有權存取您的資源。不過，在某些情況下，分析器可能會遇到導致其無法完成分析的問題。在這些情況下，IAM Access Analyzer 會改為產生錯誤調查結果。

錯誤調查結果表示 IAM Access Analyzer 無法完成對特定資源或特定主體-資源對的分析。這些調查結果可協助您識別可能需要關注的資源，以確保正確地對它們進行分析。

## 外部存取錯誤調查結果
<a name="access-analyzer-error-findings-external"></a>

外部存取分析器可識別在您帳戶或組織外部共用的資源，並能夠產生兩種類型的錯誤調查結果：
+ INTERNAL\_ERROR – 表示 IAM Access Analyzer 在分析資源時遇到內部問題。導致此錯誤調查結果的原因可能是服務限制或臨時問題。

  ```
  {
  	"findingDetails": [
  		{
  			"externalAccessDetails": {}
  		}
  	],
  	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
  	"status": "ACTIVE",
  	"error": "INTERNAL_ERROR",
  	"createdAt": "2022-07-14T01:31:43.085000+00:00",
  	"resourceType": "AWS::IAM::Role",
  	"findingType": "ExternalAccess",
  	"resourceOwnerAccount": "941407043048",
  	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
  	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
  	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
  }
  ```
+ ACCESS\_DENIED – 表示 IAM Access Analyzer 沒有分析資源所需的許可。當 IAM Access Analyzer 的服務連結角色 (SLR) 無法存取資源時，通常會產生此錯誤調查結果。

  ```
  {
  	"findingDetails": [
  		{
  			"externalAccessDetails": {}
  		}
  	],
  	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
  	"status": "ACTIVE",
  	"error": "ACCESS_DENIED",
  	"createdAt": "2022-07-14T01:31:43.104000+00:00",
  	"resourceType": "AWS::KMS::Key",
  	"findingType": "ExternalAccess",
  	"resourceOwnerAccount": "941407043048",
  	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
  	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
  	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
  }
  ```

## 內部存取錯誤調查結果
<a name="access-analyzer-error-findings-internal"></a>

內部存取分析器可識別您帳戶或組織內的存取，並能夠產生四種類型的錯誤調查結果：
+ PRINCIPAL\_LIMIT\_EXCEEDED – 當超過 3,000 個主體有權存取關鍵資源時會產生此錯誤調查結果。此錯誤可協助您識別存取權限過於廣泛的資源，可能需要對這些資源加以限制。

  如果您變更環境中的資源或主體，使主體數量低於限制，則分析器將在下次掃描期間產生正常的調查結果，且此錯誤調查結果會標記為已解決。

  ```
  {
  	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
  	"status": "ACTIVE",
  	"error": "PRINCIPAL_LIMIT_EXCEEDED",
  	"resource": "arn:aws:s3:::critical-data",
  	"resourceType": "AWS::S3::Bucket",
  	"resourceOwnerAccount": "111122223333",
  	"createdAt": "2023-11-30T00:56:56.437000+00:00",
  	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
  	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
  	"findingType": "InternalAccess",
  	"findingDetails": [
  		{
  			"internalAccessDetails": {}
  		}
  	]
  }
  ```
+ 資源層級錯誤 (INTERNAL\_ERROR 或 ACCESS\_DENIED) – 與外部存取錯誤類似，這些錯誤表示分析器因內部問題或許可問題而無法分析特定資源。發生資源層級錯誤時，分析器會針對資源產生單一錯誤調查結果，而非正常調查結果。

  ```
  {
  	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
  	"status": "ACTIVE",
  	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
  	"resource": "arn:aws:s3:::critical-data",
  	"resourceType": "AWS::S3::Bucket",
  	"resourceOwnerAccount": "111122223333",
  	"createdAt": "2023-11-30T00:56:56.437000+00:00",
  	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
  	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
  	"findingType": "InternalAccess",
  	"findingDetails": [
  		{
  			"internalAccessDetails": {}
  		}
  	]
  }
  ```
+ 主體層級錯誤 (INTERNAL\_ERROR 或 ACCESS\_DENIED) – 表示分析器無法分析特定主體對特定資源的存取。與資源層級錯誤不同，資源可以同時有兩種類型的調查結果，即針對某些主體的正常調查結果和針對其他主體的錯誤調查結果。

  ```
  {
  	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
  	"status": "ACTIVE",
  	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
  	"resource": "arn:aws:s3:::critical-data",
  	"resourceType": "AWS::S3::Bucket",
  	"resourceOwnerAccount": "111122223333",
  	"createdAt": "2023-11-30T00:56:56.437000+00:00",
  	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
  	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
  	"findingType": "InternalAccess", 
  	"findingDetails": [
  		{
  			"internalAccessDetails": {
  				"principal": {
  					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
  				},
  				"principalOwnerAccount": "111122223333",
  				"principalType": "IAM_ROLE",
  				"accessType": "INTRA_ACCOUNT"
  			}
  		}
  	]
  }
  ```
+ PRINCIPAL\_ERRORS\_LIMIT\_EXCEEDED – 當單一資源有太多主體層級錯誤調查結果時會產生此錯誤調查結果。此錯誤調查結果是資源層級的錯誤調查結果，可能會與同一個資源的正常調查結果一起顯示。

  ```
  {
  	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
  	"status": "ACTIVE",
  	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
  	"resource": "arn:aws:s3:::critical-data",
  	"resourceType": "AWS::S3::Bucket",
  	"resourceOwnerAccount": "111122223333",
  	"createdAt": "2023-11-30T00:56:56.437000+00:00",
  	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
  	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
  	"findingType": "InternalAccess",
  	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
  	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
  	"findingDetails": [
  		{
  			"internalAccessDetails": {}
  		}
  	]
  }
  ```

## 解決錯誤調查結果
<a name="access-analyzer-error-findings-resolve"></a>

如果您解決了導致 IAM Access Analyzer 無法分析資源的問題，錯誤調查結果就會完全移除，而不是變更為已解決的調查結果。

若要解決錯誤調查結果，請根據錯誤類型考慮採取下列方法：
+ 對於 ACCESS\_DENIED 錯誤，請確認 IAM Access Analyzer 服務連結角色具有存取資源的必要許可。
+ 對於 PRINCIPAL\_LIMIT\_EXCEEDED 錯誤，請檢閱資源的存取政策，並考慮限制對該資源的存取權限，減少有存取權限主體的數量。
+ 對於 INTERNAL\_ERROR 調查結果，您可能需要等待後續分析週期，如果問題仍然存在，請聯絡 AWS 支援。
+ 對於 PRINCIPAL\_ERRORS\_LIMIT\_EXCEEDED，請檢閱並盡可能簡化受影響資源的存取模式。

在進行變更以解決根本問題之後，IAM Access Analyzer 會在下次掃描週期中嘗試再次分析資源。