本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 IAM Access Analyzer 來驗證政策
<a name="access-analyzer-policy-validation"></a>

您可以使用政策驗證來驗證您的 AWS Identity and Access Management Access Analyzer 政策。您可以使用 IAM 主控台中的 AWS CLI、 AWS API 或 JSON 政策編輯器來建立或編輯政策。IAM Access Analyzer 會根據 IAM [政策文法](reference_policies_grammar.md)和 [AWS 最佳實務](best-practices.md)來驗證您的政策。您可以檢視政策驗證檢查問題清單，包含安全警告、錯誤、一般警告和政策的建議。這些問題清單提供可行的建議，協助您撰寫具有功能性且符合安全最佳實務的政策。若要檢視 IAM Access Analyzer 執行的基本政策檢查清單，請參閱：[IAM 政策驗證檢查參考](access-analyzer-reference-policy-checks.md)。

## 在 IAM (主控台) 中驗證政策
<a name="access-analyzer-policy-validation-iam-console"></a>

您在 IAM 主控台中建立或編輯受管政策時，可以檢視 IAM Access Analyzer 政策驗證產生的調查結果。您也可以檢視內嵌使用者或角色政策的這些問題清單。IAM Access Analyzer 不會為內嵌群組政策產生調查結果。

**檢視由 IAM JSON 政策的政策檢查產生的問題清單**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 使用以下其中一個方法開始建立或編輯政策：

   1. 若要建立新的受管政策，請移至 **Policies (政策)** 頁面並建立新政策。如需詳細資訊，請參閱[正在使用 JSON 編輯器建立政策](access_policies_create-console.md#access_policies_create-json-editor)。

   1. 若要檢視現有客戶管理政策的政策檢查，請移至**政策**頁面，選擇政策的名稱，然後選擇**編輯**。如需詳細資訊，請參閱[編輯客戶受管政策 (主控台)](access_policies_manage-edit-console.md#edit-customer-managed-policy-console)。

   1. 若要檢視使用者或角色內嵌政策的政策檢查，請移至**使用者**或**角色**頁面，選擇使用者或角色的名稱，然後選擇**許可**索引標籤上的政策名稱，然後選擇**編輯**。如需詳細資訊，請參閱[編輯內嵌政策 (主控台)](access_policies_manage-edit-console.md#edit-inline-policy-console)。

1. 在政策編輯器中，選擇 **JSON** 標籤。

1. 在政策下方的政策驗證窗格中，選擇下列一或多個標籤。標籤名稱也會指出政策的每個問題清單類型數目。
   + **安全** – 如果您的政策允許因存取過於寬鬆而 AWS 被視為安全風險的存取，請檢視警告。
   + **錯誤** – 如果您的政策包含使政策無法運作的行，請檢視錯誤。
   + **警告** – 如果您的政策不符合最佳做法，但問題不屬於安全風險，請檢視警告。
   + **建議** – 如果 AWS 建議不影響政策之許可的改進功能，請檢視警告。

1. 檢閱 IAM Access Analyzer 政策檢查所提供的問題清單詳細資訊。每個問題清單都會指出報告問題的位置。若要深入了解造成問題的原因以及如何解決問題，請選擇報告問題旁的 **Learn more (進一步了解)** 連結。您也可以在 [Access Analyzer policy checks (Access Analyzer 政策檢查)](access-analyzer-reference-policy-checks.md) 參考頁面中搜尋與每個問題清單相關聯的政策檢查。

1. 選用。如果您正在編輯現有政策，可以執行自訂政策檢查，以判斷更新版政策與現有版本相比，是否會授予新的存取權。在政策下方的政策驗證窗格中，選擇**檢查新的存取權**索引標籤，然後選擇**檢查政策**。如果修改後的許可會授予新存取權，該陳述式會在政策驗證窗格中反白顯示。如果您不打算授予新的存取權，請更新政策陳述式並選擇**檢查政策**，直到沒有偵測到新的存取權為止。如需詳細資訊，請參閱[使用 IAM Access Analyzer 自訂政策檢查來驗證政策](access-analyzer-custom-policy-checks.md)。
**注意**  
每次檢查新存取權都會收取費用。如需定價的詳細資訊，請參閱 [IAM Access Analyzer 定價](https://aws.amazon.com/iam/access-analyzer/pricing)。

1. 更新您的政策以解決問題清單。
**重要**  
在您的生產工作流程中實作新的或已編輯的政策之前，請先完整測試。

1. 完成時，選擇 **Next (下一步)**。[政策驗證器](access_policies_policy-validator.md)會報告 IAM Access Analyzer 未報告的所有語法錯誤。
**注意**  
您可以隨時在**視覺化**和 **JSON** 索引標籤之間切換。不過，如果您進行變更或在**視覺化**索引標籤中選擇**下一步**，IAM 可能會調整您的政策結構，以針對視覺化編輯器進行最佳化。如需詳細資訊，請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。

1. 若使用新政策，在**檢閱與建立**頁面上，為您正在建立的政策輸入**政策名稱**與**描述** (選用)。檢閱**此政策中定義的許可**，來查看您的政策所授予的許可。然後選擇 **Create policy (建立政策)** 來儲存您的工作。

   若使用現有的政策，在**檢閱與儲存**頁面上，檢閱**在此政策中定義的許可**來查看您的政策所授予的許可。選擇**將此新版本設定為預設值。**核取方塊，將更新版政策儲存為預設版政策。選擇**儲存變更**以儲存編輯內容。

## 使用 IAM Access Analyzer (AWS CLI 或 AWS API) 驗證政策
<a name="access-analyzer-policy-validation-cli"></a>

您可以從 AWS Command Line Interface (AWS CLI) 檢視 IAM Access Analyzer 政策驗證所產生的調查結果。

**檢視 IAM Access Analyzer 政策驗證 (AWS CLI 或 AWS API) 所產生的問題清單**  
請使用下列其中一個：
+ AWS CLI：[aws accessanalyzer validate-policy](https://docs.aws.amazon.com/cli/latest/reference/accessanalyzer/validate-policy.html) 
+ AWS API：[ValidatePolicy](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ValidatePolicy.html)