IAM Access Analyzer は、アクセス権を設定、検証、調整するツールを提供することで、最小特権を実現するためのガイドを提供します。IAM Access Analyzer は、アクセス分析、ポリシーチェック、ポリシー生成を行います。
 
IAM Access Analyzer を有効にすると、外部アクセスまたは未使用アクセスのいずれかに関してアカウントまたは AWS 組織を継続的に評価するリソースであるアナライザーが作成されます。アナライザーは、IAM ロール、IAM ユーザー、AWS リソースのアクセス検出結果を生成します。外部アクセスアナライザーは、リソースのパブリックアクセスとクロスアカウントアクセスの検出結果を作成します。この機能は追加料金なしで利用できます。未使用アクセスアナライザーは有料の機能で、未使用アクセスの検査を簡素化して、最小特権を実現するためのガイドを提供します。この機能では、リージョン別にアナライザーごとに分析した IAM ロールや IAM ユーザーあたりの月額料金が発生します。 IAM ロールとユーザーはグローバルであるため、複数のリージョンを対象とするアナライザーを作成できます。

IAM Access Analyzer には、2 種類のポリシーチェックもあります。IAM Access Analyzer のポリシー検証では、IAM のベストプラクティスに基づいて安全で機能的なポリシーの作成と検証を行うことができます。この機能は追加料金なしで利用できます。IAM Access Analyzer のカスタムポリシーチェックは、開発者が作成したポリシーがデプロイ前に指定したセキュリティ標準に準拠していることを確認するための有料の機能です。カスタムポリシーチェックは、自動推論 (数学的証明に裏付けられた証明可能なセキュリティ保証) のパワーを利用して、セキュリティチームがポリシーの不適合な更新を積極的に検出することを可能にします。カスタムポリシーチェックでは、IAM Access Analyzer API を呼び出して実行したチェックの数に基づいて課金されます。

IAM Access Analyzer のポリシー生成では、ログに記録されたアクセスアクティビティに基づいてきめ細かなポリシーが作成されます。この機能は追加料金なしで利用できます。