本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM Access Analyzer 外部和內部存取支援的資源類型
<a name="access-analyzer-resources"></a>

對於外部和內部存取分析器，IAM Access Analyzer 會分析套用至您啟用 IAM Access Analyzer 之區域中 AWS 資源的資源型政策。系統只會分析資源型政策。如需有關 IAM Access Analyzer 如何為每個資源類型產生調查結果的詳細資訊，請檢閱資源類型資訊。

**注意**  
列出的支援資源類型適用於外部和內部存取分析器。內部存取分析器不支援外部存取分析器支援的所有資源類型。未使用的存取權分析器僅支援 IAM 使用者和角色。如需詳細資訊，請參閱[了解 IAM Access Analyzer 調查結果的運作方式](access-analyzer-concepts.md)。

## 外部存取支援的資源類型
<a name="access-analyzer-supported-external-resources"></a>
+ [Amazon Simple Storage Service 儲存貯體](#access-analyzer-s3)
+ [Amazon Simple Storage Service 目錄儲存貯體](#access-analyzer-s3-directory)
+ [AWS Identity and Access Management 角色](#access-analyzer-iam-role)
+ [AWS Key Management Service 金鑰](#access-analyzer-kms-key)
+ [AWS Lambda 函數和圖層](#access-analyzer-lambda)
+ [Amazon Simple Queue Service 佇列](#access-analyzer-sqs)
+ [AWS Secrets Manager 秘密](#access-analyzer-secrets-manager)
+ [Amazon Simple Notification Service 主題](#access-analyzer-sns)
+ [Amazon Elastic Block Store 磁碟區快照](#access-analyzer-ebs)
+ [Amazon Relational Service 資料庫快照](#access-analyzer-rds-db)
+ [Amazon Relational Database Service 資料庫叢集快照](#access-analyzer-rds-db-cluster)
+ [Amazon Elastic Container Registry 儲存庫](#access-analyzer-ecr)
+ [Amazon Elastic File System 檔案系統](#access-analyzer-efs)
+ [Amazon DynamoDB Streams](#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 資料表](#access-analyzer-ddb-table)

## 內部存取支援的資源類型
<a name="access-analyzer-supported-internal-resources"></a>
+ [Amazon Simple Storage Service 儲存貯體](#access-analyzer-s3)
+ [Amazon Simple Storage Service 目錄儲存貯體](#access-analyzer-s3-directory)
+ [Amazon Relational Service 資料庫快照](#access-analyzer-rds-db)
+ [Amazon Relational Database Service 資料庫叢集快照](#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 資料表](#access-analyzer-ddb-table)

## Amazon Simple Storage Service 儲存貯體
<a name="access-analyzer-s3"></a>

當 IAM Access Analyzer 對外部存取分析器的 Amazon S3 儲存貯體進行分析時，若套用至儲存貯體的 Amazon S3 儲存貯體政策、存取控制清單 (ACL) 或存取點 (包括多區域存取點) 向外部實體授予存取權，則會產生調查結果。外部實體是您可用來[建立不在信任區域內之篩選](access-analyzer-findings-filter.md)的主體或其他實體。例如，如果儲存貯體政策對另一個帳戶授與存取權或允許公有存取權，則 IAM Access Analyzer 會產生問題清單。不過，如果您在儲存貯體上啟用[ Block Public Access (封鎖公有存取權)](https://docs.aws.amazon.com/AmazonS3/latest/userguide/access-control-block-public-access.html)，則可以在帳戶層級或儲存貯體層級封鎖存取權。

對於內部存取分析器，IAM Access Analyzer 會在組織或帳戶中的主體 (使用者或角色) 有權存取指定的 Amazon S3 儲存貯體時，產生調查結果。

**注意**  
IAM Access Analyzer 不會分析連接至跨帳戶存取點的存取點政策，因為存取點及其政策不在分析器帳戶以內。當儲存貯體委派對跨帳戶存取點的存取權，且儲存貯體或帳戶上未啟用「封鎖公開存取」時，IAM Access Analyzer 會產生公開問題清單。當您啟用「封鎖公開存取」時，公開問題清單得以解決，IAM Access Analyzer 將產生跨帳戶存取點的跨帳戶問題清單。

Amazon S3 *封鎖公開存取*設定會覆寫套用至儲存貯體的儲存貯體政策。這些設定也會覆寫套用至儲存貯體存取點的存取點政策。IAM Access Analyzer 會在政策變更時分析儲存貯體層級的「封鎖公開存取」設定。不過，它僅以 6 小時一次的頻率在帳戶層級評估「封鎖公開存取」設定。這意味著 IAM Access Analyzer 未對儲存貯體產生公有存取權問題清單或進行解決的時間可能長達 6 小時。例如，如果您有允許公有存取權的儲存貯體政策，則 IAM Access Analyzer 會產生該存取權的問題清單。如果您接著啟用「封鎖公開存取」以在帳戶層級封鎖對儲存貯體的所有公開存取權，即使對儲存貯體的所有公開存取權都遭到封鎖，IAM Access Analyzer 可能需要達 6 小時的時間來解決儲存貯體政策之問題清單。一旦您在帳戶層級啟用「封鎖公開存取」，解決跨帳戶存取點的公開問題清單最多也可能需要 6 小時。對資源控制政策 (RCP) 所做的變更，若未變更儲存貯體政策，則不會觸發重新掃描調查結果中報告的儲存貯體。IAM Access Analyzer 會在下次定期掃描 (24 小時內) 期間分析該新增或更新的政策。

對於多區域存取點，IAM Access Analyzer 會使用已建立的政策來產生問題清單。IAM Access Analyzer 每 6 小時會評估一次對多區域存取點的變更。這表示即使您建立或刪除多區域存取點，或更新其政策，IAM Access Analyzer 對此不產生或解決問題清單的時間可達最多 6 小時。

## Amazon Simple Storage Service 目錄儲存貯體
<a name="access-analyzer-s3-directory"></a>

Amazon S3 目錄儲存貯體會以階層式儲存結構將資料整理到目錄中，而不同於一般用途儲存貯體所採用的扁平式儲存結構，建議將後者用於效能關鍵型工作負載或應用程式。對於外部存取分析器，IAM Access Analyzer 會分析允許外部實體存取目錄儲存貯體的目錄儲存貯體政策 (包括政策中的條件陳述式)。

對於內部存取分析器，IAM Access Analyzer 會在組織或帳戶中的主體 (使用者或角色) 有權存取指定的 Amazon S3 目錄儲存貯體時，產生調查結果。

Amazon S3 目錄儲存貯體還支援存取點，可對透過存取點向目錄儲存貯體發出的所有請求，強制執行不同的許可和網路控制。每個存取點都有存取點政策，該政策可與連接至基礎目錄儲存貯體的儲存貯體政策搭配使用。藉由目錄儲存貯體的存取點，您可以限制對特定字首、API 動作或虛擬私有雲端 (VPC) 的存取。

**注意**  
IAM Access Analyzer 不會分析連接至跨帳戶存取點的存取點政策，因為存取點及其政策不在分析器帳戶以內。當儲存貯體委派對跨帳戶存取點的存取權，且儲存貯體或帳戶上未啟用「封鎖公開存取」時，IAM Access Analyzer 會產生公開問題清單。當您啟用「封鎖公開存取」時，公開問題清單得以解決，IAM Access Analyzer 將產生跨帳戶存取點的跨帳戶問題清單。

如需有關 Amazon S3 目錄儲存貯體的詳細資訊，請參閱 Amazon Simple Storage Service User Guide 中的 [Working with directory buckets](https://docs.aws.amazon.com/AmazonS3/latest/userguide/directory-buckets-overview.html)。

## AWS Identity and Access Management 角色
<a name="access-analyzer-iam-role"></a>

對於 IAM 角色，IAM Access Analyzer 會分析[信任政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#term_trust-policy)。在角色信任政策中，您會定義您信任能夠擔任角色的主體。角色信任政策是在 IAM 中連接至角色的以資源為基礎的必要政策。IAM Access Analyzer 會產生信任區域內角色的問題清單，該問題清單可供位於信任區域外的外部實體存取。

**注意**  
IAM 角色是全域資源。如果角色信任政策授與外部實體存取權，則 IAM Access Analyzer 會在每個啟用的區域中產生問題清單。

## AWS Key Management Service 金鑰
<a name="access-analyzer-kms-key"></a>

對於 AWS KMS keys，IAM Access Analyzer 會分析套用至金鑰的金鑰政策和授予。如果金鑰政策或授與允許外部實體存取金鑰，IAM Access Analyzer 會產生問題清單。例如，如果您在政策陳述式中使用 [kms:CallerAccount](https://docs.aws.amazon.com/kms/latest/developerguide/policy-conditions.html#conditions-kms-caller-account) 條件索引鍵來允許存取特定 AWS 帳戶中的所有使用者，而且您指定目前帳戶 （目前分析器的信任區域） 以外的帳戶，IAM Access Analyzer 會產生問題清單。若要進一步了解 IAM 政策陳述式中的 AWS KMS 條件金鑰，請參閱[AWS KMS 條件金鑰](https://docs.aws.amazon.com/IAM/latest/UserGuide/list_awskeymanagementservice.html#awskeymanagementservice-policy-keys)。

IAM Access Analyzer 分析 KMS 金鑰時，它會讀取金鑰中繼資料，例如金鑰政策和授與清單。如果金鑰政策不允許 IAM Access Analyzer 角色讀取金鑰中繼資料，就會產生 Access Denied (存取遭拒) 的錯誤問題清單。例如，若下列範例政策陳述式是金鑰中套用的唯一政策，則會在 IAM Access Analyzer 中產生 Access denied (存取遭拒) 的錯誤問題清單。

```
{
    "Sid": "Allow access for Key Administrators",
    "Effect": "Allow",
    "Principal": {
       "AWS": "arn:aws:iam::111122223333:role/Admin"
    },
    "Action": "kms:*",
    "Resource": "*"
}
```

由於此陳述式僅允許帳戶 111122223333 中名為 *Admin* AWS 的角色存取金鑰，因此會產生存取遭拒錯誤清單，因為 IAM Access Analyzer 無法完整分析金鑰。錯誤問題清單在 **Findings (問題清單)** 資料表中會以紅色文字顯示。問題清單看起來類似下列。

```
{
    "error": "ACCESS_DENIED",
    "id": "12345678-1234-abcd-dcba-111122223333",
    "analyzedAt": "2019-09-16T14:24:33.352Z",
    "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a",
    "resourceType": "AWS::KMS::Key",
    "status": "ACTIVE",
    "updatedAt": "2019-09-16T14:24:33.352Z"
}
```

當您建立 KMS 金鑰時，所授與可存取金鑰的許可取決於金鑰的建立方式。如果您收到金鑰資源的 Access Denied (存取遭拒) 錯誤問題清單，請將下列政策陳述式套用至金鑰資源，以授與 IAM Access Analyzer 存取金鑰的許可。

```
{
    "Sid": "Allow IAM Access Analyzer access to key metadata",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer"
        },
    "Action": [
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:List*"
    ],
    "Resource": "*"
},
```

在收到 KMS 金鑰資源的 Access Denied (存取遭拒) 問題清單，然後藉由更新金鑰政策來解決問題清單後，即會將問題清單更新為已解決的狀態。如果有會將許可授與外部實體之金鑰的政策陳述式或金鑰授與，您可能會看到金鑰資源的其他問題清單。

## AWS Lambda 函數和圖層
<a name="access-analyzer-lambda"></a>

對於 AWS Lambda 函數，IAM Access Analyzer 會分析政策，包括政策中的條件陳述式，以將對函數的存取權授予外部實體。使用 Lambda，您可以將唯一的資源型政策連接到函式、版本、別名和分層。IAM Access Analyzer 會根據連接至函式和分層的資源型政策來報告外部存取權。IAM Access Analyzer 不會根據連接至別名的資源型政策和使用合格 ARN 叫用的特定版本來報告外部存取權。

如需詳細資訊，請參閱《 AWS Lambda 開發人員指南》中的[針對 Lambda 使用資源型政策](https://docs.aws.amazon.com/lambda/latest/dg/access-control-resource-based.html)以及[使用版本](https://docs.aws.amazon.com/lambda/latest/dg/configuration-versions.html#versioning-versions-using)。

## Amazon Simple Queue Service 佇列
<a name="access-analyzer-sqs"></a>

對於 Amazon SQS 佇列，IAM Access Analyzer 會分析允許外部實體存取佇列的政策 (包括政策中的條件陳述式)。

## AWS Secrets Manager 秘密
<a name="access-analyzer-secrets-manager"></a>

對於 AWS Secrets Manager 秘密，IAM Access Analyzer 會分析允許外部實體存取秘密的政策，包括政策中的條件陳述式。

## Amazon Simple Notification Service 主題
<a name="access-analyzer-sns"></a>

IAM Access Analyze 會分析附加至 Amazon SNS 主題的資源型政策，包括允許外部存取主題的政策中的條件陳述式。您可以允許外部帳戶執行 Amazon SNS 動作，例如透過資源型政策訂閱和發佈主題。如果來自信任區域之外的帳戶主體可以對該主題執行操作，則可從外部存取 Amazon SNS 主題。如果您建立 Amazon SNS 主題時在政策中選擇 `Everyone`，則表示該主題可供公眾存取。`AddPermission` 是向允許外部存取的 Amazon SNS 主題新增資源型政策的另一種方法。

## Amazon Elastic Block Store 磁碟區快照
<a name="access-analyzer-ebs"></a>

Amazon Elastic Block Store 磁碟區快照沒有資源型政策。快照是透過 Amazon EBS 共用許可的方式進行共用。對於 Amazon EBS 磁碟區快照，IAM Access Analyzer 會分析允許外部實體存取快照的存取控制清單。在加密時，Amazon EBS 磁碟區快照可與外部帳戶共用。未加密的磁碟區快照可與外部帳戶共用，並可授予公用存取權。共用設定位於快照的 `CreateVolumePermissions` 屬性中。當客戶預覽 Amazon EBS 快照的外部存取時，他們可以將加密金鑰指定為快照已加密的指標，類似於 IAM Access Analyzer 預覽處理 Secrets Manager 秘密的方式。

## Amazon Relational Service 資料庫快照
<a name="access-analyzer-rds-db"></a>

Amazon RDS 資料庫快照沒有資源型政策。資料庫快照可透過 Amazon RDS 資料庫許可共用，且只能共用手動資料庫快照。對於外部存取分析器，IAM Access Analyzer 會分析允許外部實體存取 Amazon RDS DB 快照的存取控制清單。未加密的資料庫快照可以是公開的。加密的資料庫快照無法公開共用，但可與多達 20 個其他帳戶共用。如需詳細資訊，請參閱[建立資料庫快照](https://docs.aws.amazon.com/AmazonRDS/latest/UserGuide/USER_CreateSnapshot.html)。IAM Access Analyzer 會將匯出資料庫手動快照 (例如，匯出至 Amazon S3 儲存貯體) 的能力視為受信任的存取。

對於內部存取分析器，IAM Access Analyzer 會在組織或帳戶中的主體 (使用者或角色) 有權存取指定的 Amazon RDS DB 快照時，產生調查結果。

**注意**  
IAM Access Analyzer 不會識別直接在資料庫本身設定的公用或跨帳戶存取權。IAM Access Analyzer 僅識別 Amazon RDS 資料庫快照上設定的公用或跨帳戶存取權的問題清單。

## Amazon Relational Database Service 資料庫叢集快照
<a name="access-analyzer-rds-db-cluster"></a>

Amazon RDS 資料庫叢集快照沒有資源型政策。可透過 Amazon RDS 資料庫叢集許可共用快照。對於外部存取分析器，IAM Access Analyzer 會分析允許外部實體存取 Amazon RDS DB 叢集快照的存取控制清單。未加密的叢集快照可以公開。而加密的叢集快照則無法公開共用。未加密和加密的叢集快照可與最多 20 個其他帳戶共享。如需詳細資訊，請參閱[建立資料庫叢集快照](https://docs.aws.amazon.com/AmazonRDS/latest/AuroraUserGuide/USER_CreateSnapshotCluster.html)。IAM Access Analyzer 會將匯出資料庫叢集快照 (例如，匯出至 Amazon S3 儲存貯體) 的能力視為受信任的存取。

對於內部存取分析器，IAM Access Analyzer 會在組織或帳戶中的主體 (使用者或角色) 有權存取指定的 Amazon RDS DB 叢集快照時，產生調查結果。

**注意**  
IAM Access Analyzer 調查結果不包括監控 Amazon RDS 資料庫叢集的任何共用，以及與其他使用 AWS 帳戶 或組織的複製 AWS Resource Access Manager。IAM Access Analyzer 僅識別 Amazon RDS 資料庫叢集快照上設定的公用或跨帳戶存取權的問題清單。

## Amazon Elastic Container Registry 儲存庫
<a name="access-analyzer-ecr"></a>

對於 Amazon ECR 儲存庫，IAM Access Analyzer 會分析資源型政策，包括政策中的條件陳述式，且這些政策允許外部實體存取儲存庫 (類似於 Amazon SNS 主題和 Amazon EFS 檔案系統等其他資源類型)。對於 Amazon ECR 儲存庫，主體必須擁有透過身分型政策 `ecr:GetAuthorizationToken` 的許可，才能將其視為外部可用。

## Amazon Elastic File System 檔案系統
<a name="access-analyzer-efs"></a>

對於 Amazon EFS 檔案系統，IAM Access Analyzer 會分析允許外部實體存取檔案系統的政策 (包括政策中的條件陳述式)。如果來自信任區域之外的帳戶主體可以在該檔案系統上執行操作，則可從外部存取 Amazon EFS 檔案系統。可透過使用 IAM 的檔案系統政策以及檔案系統掛載方式來定義存取權。例如，在其他帳戶掛載 Amazon EFS 檔案系統會被視為可從外部存取，除非該帳戶位於您的組織中，且您已將該組織定義為您的信任區域。如果您從具有公有子網路的虛擬私有雲端掛載檔案系統，則可從外部存取檔案系統。當您搭配 使用 Amazon EFS 時 AWS Transfer Family，如果檔案系統允許公開存取，則會封鎖從與檔案系統不同的帳戶所擁有的 Transfer Family 伺服器所收到的檔案系統存取請求。

## Amazon DynamoDB Streams
<a name="access-analyzer-ddb-stream"></a>

對於外部存取分析器，如果 DynamoDB 政策允許至少一個跨帳戶動作，讓外部實體可以存取 DynamoDB 串流，則 IAM Access Analyzer 會產生調查結果。如需 DynamoDB 支援的跨帳戶動作的詳細資訊，請參閱《Amazon DynamoDB 開發人員指南》中的 [IAM actions supported by resource-based policies](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/rbac-iam-actions.html)。

對於內部存取分析器，IAM Access Analyzer 會在組織或帳戶中的主體 (使用者或角色) 有權存取指定的 DynamoDB 串流時，產生調查結果。

## Amazon DynamoDB 資料表
<a name="access-analyzer-ddb-table"></a>

對於外部存取分析器，如果 DynamoDB 政策允許至少一個跨帳戶動作，讓外部實體可以存取 DynamoDB 資料表或索引，則 IAM Access Analyzer 會產生 DynamoDB 資料表調查結果。如需 DynamoDB 支援的跨帳戶動作的詳細資訊，請參閱《Amazon DynamoDB 開發人員指南》中的 [IAM actions supported by resource-based policies](https://docs.aws.amazon.com/amazondynamodb/latest/developerguide/rbac-iam-actions.html)。

對於內部存取分析器，IAM Access Analyzer 會在組織或帳戶中的主體 (使用者或角色) 有權存取指定的 DynamoDB 資料表時產生調查結果。