本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 IAM Access Analyzer API 預覽存取
您可以使用 [IAM Access Analyzer APIs](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/Welcome.html) 預覽 Amazon S3 儲存貯體、 AWS KMS 金鑰、IAM 角色、Amazon SQS 佇列和 Secrets Manager 秘密的公有和跨帳戶存取。您可以為您擁有的現有資源或要部署的新資源提供建議的許可來預覽存取。
若要預覽資源的外部存取,您必須擁有資源帳戶和區域的作用中帳戶分析器。您也必須具有使用 IAM Access Analyzer 和預覽存取所需的許可。如需啟用 IAM Access Analyzer 和所需許可的詳細資訊,請參閱 [入門 AWS Identity and Access Management Access Analyzer](access-analyzer-getting-started.md)。
若要預覽資源的存取,您可以使用 `CreateAccessPreview` 操作,並提供資源的分析器 ARN 和存取控制組態。服務會傳回存取預覽的唯一 ID,您可以使用透過 `GetAccessPreview` 操作該 ID 來檢查存取預覽的狀態。當狀態為 `Completed` 時,您可以使用 `ListAccessPreviewFindings` 操作來擷取針對存取預覽產生的問題清單。`GetAccessPreview` 和 `ListAccessPreviewFindings` 操作會擷取約 24 小時內建立的存取預覽和問題清單。
擷取的每個問題清單都包含描述存取的[問題清單詳細資訊](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-findings-view.html)。說明問題清單在許可部署之後是否為 `Active`、`Archived` 或 `Resolved` 以及 `changeType` 的問題清單預覽狀態。`changeType` 提供對存取預覽問題清單與 IAM Access Analyzer 中所識別的現有存取進行比較的內容:
+ **新的** – 問題清單是針對新引進的存取。
+ **未變更** – 預覽問題清單是保持不變的現有問題清單。
+ **已變更** – 預覽問題清單是狀態變更的現有問題清單。
`status` 與 `changeType` 可協助您了解資源組態如何變更現有資源存取。如果 `changeType` 是 `Unchanged` 或已變更,則問題清單也會包含 IAM Access Analyzer 中問題清單的現有 ID 和狀態。例如,包含預覽狀態 `Resolved` 和現有狀態 `Active` 的 `Changed` 問題清單表示資源的現有 `Active` 問題清單將成為 `Resolved`,做為提議許可變更的結果。
您可以使用 `ListAccessPreviews` 操作來擷取指定分析器的存取預覽清單。此操作會擷取約一小時內建立的存取預覽相關資訊。
一般而言,如果存取預覽是針對現有資源而您未指定組態選項,則依預設,存取預覽將使用現有的資源組態。如果存取預覽是針對新資源而您未指定組態選項,則存取預覽將根據資源類型使用預設值。如需每種資源類型的組態案例,請參閱下列項目。
## 預覽 Amazon S3 儲存貯體的存取
如需為新的 Amazon S3 儲存貯體或您擁有的現有 Amazon S3 儲存貯體建立存取預覽,您可以指定連接到儲存貯體的 Amazon S3 儲存貯體政策、儲存貯體 ACL、儲存貯體 BPA 設定和 Amazon S3 存取點 (包括多區域存取點) 來建議儲存貯體組態。
**注意**
在嘗試為新儲存貯體建立存取預覽之前,建議您先呼叫 Amazon S3 [HeadBucket](https://docs.aws.amazon.com/AmazonS3/latest/API/API_HeadBucket.html) 操作來檢查命名儲存貯體是否已經存在。此操作對於判斷儲存貯體是否存在以及您是否有許可加以存取很有用。
**儲存貯體政策** – 如果組態適用於現有 Amazon S3 儲存貯體,而您未指定 Amazon S3 儲存貯體政策,則存取預覽會使用附加到儲存貯體的現有政策。如果存取預覽適用於新資源,且您未指定 Amazon S3 儲存貯體政策,則存取預覽會假設沒有政策的儲存貯體。若要提議刪除現有儲存貯體政策,您可以指定空字串。如需受支援儲存貯體政策限制的詳細資訊,請參閱[儲存貯體政策範例](https://docs.aws.amazon.com/AmazonS3/latest/dev/example-bucket-policies.html)。
**儲存貯體 ACL 授與** – 您可以提議每個儲存貯體最多 100 個 ACL 授與。如果提議的授與組態適用於現有儲存貯體,則存取預覽會使用提議的授與組態清單來取代現有的授與。否則,存取預覽會使用儲存貯體的現有授與。
**儲存貯體存取點** – 分析支援每個儲存貯體最多 100 個存取點 (包括多區域存取點),包括每個儲存貯體最多可提議的 10 個新存取點。如果提議的 Amazon S3 存取點組態適用於現有儲存貯體,則存取預覽會使用提議的存取點組態來取代現有的存取點。若要提議沒有政策的存取點,您可以提供空字串做為存取點政策。如需存取點政策限制的詳細資訊,請參閱[存取點的法規與限制](https://docs.aws.amazon.com/AmazonS3/latest/dev/access-points-restrictions-limitations.html)。
**封鎖公有存取組態** – 如果提議的組態適用於現有 Amazon S3 儲存貯體,而您未指定組態,則存取預覽會使用現有的設定。如果提議的組態適用於新儲存貯體,且您未指定儲存貯體 BPA 組態,則存取預覽會使用 `false`。如果提議的組態是針對新的存取點或多區域存取點,而您未指定存取點 BPA 組態,則存取預覽會使用 `true`。
## 預覽對 AWS KMS 金鑰的存取
若要為新 AWS KMS 金鑰或您擁有的現有 AWS KMS 金鑰建立存取預覽,您可以透過指定 AWS KMS 金鑰政策和 AWS KMS 授予組態來提議金鑰組態。
**AWS KMS 金鑰政策** – 如果組態適用於現有的金鑰,而您未指定金鑰政策,則存取預覽會使用該金鑰的現有政策。如果存取預覽是針對新資源,而您未指定金鑰政策,則存取預覽會使用預設金鑰政策。提議的金鑰政策不得為空字串。
**AWS KMS 授予** – 此分析支援每個組態最多 100 個 KMS 授予\*。\* 如果提議的授予組態適用於現有的金鑰,則存取預覽會使用提議的授予組態清單來取代現有的授予。否則,存取預覽會使用金鑰的現有授與。
## 預覽您 IAM 角色的存取
若要建立新 IAM 角色的存取預覽或您擁有的現有 IAM 角色,您可以指定金鑰政策來提議一個 IAM 角色組態。
**角色信任政策** – 如果組態適用於新的 IAM 角色,您必須指定信任政策。如果組態適用於您所擁有的現有 IAM 角色,且您未提議信任政策,則存取預覽會使用該角色的現有信任政策。提議的信任政策不得為空字串。
## 預覽您 Amazon SQS 佇列的存取
若要為新的 Amazon SQS 佇列或您擁有的現有 Amazon SQS 佇列建立存取預覽,您可以指定佇列的 Amazon SQS 政策來提議 Amazon SQS 佇列組態。
**Amazon SQS 佇列政策** – 如果組態適用於現有 Amazon SQS 佇列,而您未指定 Amazon SQS 政策,則存取預覽會將現有的 Amazon SQS 政策用於佇列。如果存取預覽是針對新資源,而您未指定政策,則存取預覽會假設 Amazon SQS 佇列不包含政策。若要提議刪除現有的 Amazon SQS 佇列政策,您可以為 Amazon SQS 政策指定空字串。
## 預覽您 Secrets Manager 秘密的存取
若要為新的 Secrets Manager 秘密或您擁有的現有 Secrets Manager 秘密建立存取預覽,您可以透過指定秘密政策和選用 AWS KMS 加密金鑰來提議 Secrets Manager 秘密組態。
**秘密政策** – 如果組態是針對現有秘密,而您未指定秘密政策,則存取預覽會針對秘密使用現有的政策。如果存取預覽是針對新資源,而您未指定政策,則存取預覽會假設秘密不包含政策。若要提議刪除現有政策,您可以指定空字串。
**AWS KMS 加密金鑰** – 如果提議的組態適用於新的秘密,而且您未指定 AWS KMS 金鑰 ID,則存取預覽會使用 AWS 帳戶的預設 KMS 金鑰。如果您為 AWS KMS 金鑰 ID 指定空字串,則存取預覽會使用 AWS 帳戶的預設 KMS 金鑰。