Access Analyzer
Access Analyzer
AWS IAM Access Analyzer API 分析 IAM 资源策略找潜在的过度授权或外部访问,主动识别安全风险。
基于形式化方法的策略分析(Zelkova 引擎)
仅检测策略问题,不防止策略被修改
POST /access/analyzer/analyzers 创建 analyzer。每个 region 一个。检测结果自动从 IAM/S3/SQS 等资源汇总。
可用率 · 30 天窗口
GitHub 活跃度
关于这个 API
Access Analyzer 是 AWS 在 IAM 上的安全增强。传统 IAM 检查是"事后审计"——出事了去查 policy,但配错的 policy 可能存在很久没人发现。Access Analyzer 是"主动扫描"——基于形式化方法(数学证明 policy 等价性的 Zelkova 引擎)分析每个 policy,识别像「这个 S3 bucket 允许 anyone 访问」「这个 IAM role 给了 *.* 权限」这种异常。还能基于 CloudTrail 历史调用记录生成精确的最小权限 policy 建议——比如一个 role 配的是 s3:* 但实际只用了 s3:GetObject 和 s3:PutObject,那建议把权限收窄。是 AWS 安全治理的必备工具。
你可以做什么
- 1扫描 S3 bucket 找出意外的公开访问
- 2审计 IAM role 的实际权限使用 vs 配置权限
- 3识别跨账户访问授权
- 4生成最小权限 policy 建议
优劣对比
优点
- 基于形式化方法的策略分析(Zelkova 引擎)
- 主动发现风险(不依赖人工 review)
- 能基于 CloudTrail 实际调用历史推荐最小权限
注意事项
- 仅检测策略问题,不防止策略被修改
- 某些非标准服务支持有限
示例请求
curl https://github.com/mermade/aws2openapi/<endpoint>快速开始
POST /access/analyzer/analyzers 创建 analyzer。每个 region 一个。检测结果自动从 IAM/S3/SQS 等资源汇总。
常见问题
免费吗?+
Account-level analyzer 免费。Organization-level(跨整个 AWS Organizations)和 unused access 检测要付费。
技术细节
- 认证方式
- unknown
- 计费
- unknown
- 协议
- REST
- SDK
- python, javascript, go, java, csharp
- 响应时间
- 863 ms
- 上次巡检
- 2026/5/12 07:36:33
更多来自 Amazon Web Services 的 API
Amazon Chime SDK API 给应用嵌入实时音视频通话和聊天能力(meeting、消息、PSTN 通话)。
Amazon CloudFront 是 AWS 的 CDN 与 edge 服务,加速静态/动态内容分发,是网站性能优化的标准方案。
Amazon CloudSearch 是 AWS 的搜索引擎托管服务(已逐渐被 OpenSearch Service 取代)。
CloudWatch Application Insights API 自动监测应用问题:智能识别异常(如 SQL 慢查询、内存泄漏),减少人工配 alarm。
AWS Cognito Identity Pools API 给前端应用临时 AWS 凭证:身份联邦、guest 用户、AWS 资源直接访问。
Amazon Cognito 用户池提供托管的用户注册、登录、密码重置、MFA 等身份认证能力。
Amazon Connect Contact Lens API 用 AI 实时分析 Amazon Connect 通话:情感、关键词、合规检测、自动摘要。
Amazon Connect Customer Profiles API 把 Amazon Connect 客服对接的客户信息和多源 CRM 数据合并成统一档案。