# AWS Identity and Access Management Access Analyzer の開始方法
このトピックでは、AWS Identity and Access Management Access Analyzer を使用および管理するために必要な条件について説明します。
## IAM Access Analyzer を使用するために必要なアクセス許可
IAM Access Analyzer を正常に設定して使用するには、お使いのアカウントに対して必要なアクセス許可が付与されている必要があります。
### IAM Access Analyzer の AWS 管理ポリシー
AWS Identity and Access Management Access Analyzer で提供される AWS 管理ポリシーを使用して、すぐに作業を開始できます。
+ [IAMAccessAnalyzerFullAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerFullAccess) - 管理者に IAM Access Analyzer へのフルアクセスを許可します。また、このポリシーによって、IAM Access Analyzer がアカウント内または AWS 組織のリソースを分析できるようにするために必要なサービスリンクされたロールを作成することもできます。
+ [IAMAccessAnalyzerReadOnlyAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerReadOnlyAccess) - IAM Access Analyzer への読み取り専用アクセスを許可します。IAM ID (ユーザー、ユーザーのグループ、またはロール) にポリシーを追加して、それらが表示できるようにする必要があります。
### IAM Access Analyzer で定義したリソース
IAM Access Analyzer によって定義されるリソースを表示するには、「*サービス認可リファレンス*」の「[IAM Access Analyzer で定義されるリソースタイプ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-resources-for-iam-policies)」を参照してください。
### 必要な IAM Access Analyzer サービスの許可
IAM Access Analyzer は、`AWSServiceRoleForAccessAnalyzer` という名前の IAM サービスリンクロール (SLR) を使用します。この SLR は、リソースベースのポリシーを使用して AWS リソースを分析し、ユーザーに代わって未使用のアクセスを分析するための読み取り専用アクセスをサービスに付与します。以下のシナリオで、サービスによってアカウント内のロールが作成されます。
+ 自分のアカウントを信頼ゾーンとして持つ外部アクセスアナライザーを作成します。
+ 自分のアカウントを選択アカウントとして持つ未使用のアクセスアナライザーを作成します。
+ 自分のアカウントを信頼ゾーンとして持つ内部アクセスアナライザーを作成します。
詳細については、「[AWS Identity and Access Management Access Analyzer のサービスにリンクされたロールの使用](access-analyzer-using-service-linked-roles.md)」を参照してください。
**注記**
IAM Access Analyzer はリージョンに基づきます。外部アクセスおよび内部アクセスの場合、IAM Access Analyzer は、各リージョンで個別に有効にする必要があります。
未使用のアクセスの場合、アナライザーの検出結果はリージョンによって変わりません。リソースがある各リージョンにアナライザーを作成する必要はありません。
場合によっては、IAM Access Analyzer でアナライザーを作成した後に、**[結果]** ページまたはダッシュボードを読み込んでも検出結果や概要が表示されないことがあります。これは、コンソールで結果の反映が遅延しているためと考えられます。必要に応じてブラウザを手動で更新するか、後で検出結果や概要が表示されるか確認してください。それでも外部アクセスアナライザーの検出結果が表示されない場合は、外部エンティティからアクセスできるサポート対象のリソースがアカウント内にないことが原因です。外部エンティティにアクセスを許可するポリシーをリソースに適用すると、IAM Access Analyzer で結果が生成されます。
**注記**
外部アクセスアナライザーの場合、ポリシーが変更されてから、IAM Access Analyzer がリソースを分析して、新しい結果を生成したり、リソースへのアクセスに関する既存の結果を更新したりするまでに、最大で 30 分かかる場合があります。
内部アクセスアナライザーを作成する場合、検出結果が利用可能になるまでに数分または数時間かかることがあります。最初のスキャン後に、IAM Access Analyzer は、24 時間ごとにすべてのポリシーを自動的に再スキャンします。
すべてのアクセスアナライザーのタイプについて、検出結果の更新がすぐにダッシュボードに反映されないことがあります。
### 検出結果ダッシュボードを表示するために必要な IAM Access Analyzer アクセス許可
[IAM Access Analyzer の検出結果ダッシュボード](access-analyzer-dashboard.md)を表示するには、使用するアカウントに対して、以下の必要なアクションを実行するためのアクセス許可が付与されている必要があります。
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html)
IAM Access Analyzer によって定義されるすべてのアクションを表示するには、「*サービス認可リファレンス*」の「[IAM Access Analyzer で定義されるアクション](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-actions-as-permissions)」を参照してください。
## IAM Access Analyzer のステータス
アナライザーのステータスを表示するには、[**アナライザー**] を選択します。組織またはアカウント用に作成されたアナライザーは、次のステータスを持つことができます。
| ステータス | 説明 |
| --- | --- |
| アクティブ | 外部および内部アクセスアナライザーの場合、アナライザーは、信頼ゾーン内のリソースをアクティブにモニタリングします。アナライザーは、新しい結果をアクティブに生成し、既存の結果を更新します。 未使用のアクセスアナライザーの場合、アナライザーは、指定された追跡期間における選択した組織または AWS アカウント内で使用されていないアクセス権限をアクティブにモニタリングします。アナライザーは、新しい結果をアクティブに生成し、既存の結果を更新します。 |
| 作成 | アナライザーの作成はまだ進行中です。作成が完了すると、アナライザーがアクティブになります。 |
| Disabled | AWS Organizations 管理者が実行したアクションにより、アナライザーは無効になっています。たとえば、IAM Access Analyzer の代理管理者としてアナライザーのアカウントが削除されています。アナライザーが無効化された状態の場合、新しい検出結果の生成も、既存の結果の更新も行われません。 |
| 失敗 | 設定の問題により、アナライザーの作成に失敗しました。アナライザーにより結果が生成されません。アナライザーを削除し、新しいアナライザーを作成します。 |
# IAM Access Analyzer の外部アクセスアナライザーを作成する
リージョンで外部アクセスアナライザーを有効にするには、そのリージョンでアナライザーを作成する必要があります。外部アクセスアナライザーは、リソースへのアクセスをモニタリングするリージョンごとに作成する必要があります。
**注記**
アナライザーを作成または更新すると、検出結果が利用可能になるまでに時間がかかることがあります。
## AWS アカウント を信頼ゾーンとして持つ外部アクセスアナライザーを作成する
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[Create analyzer]** (アナライザーの作成) を選択します。
1. **[分析]** セクションで **[リソース分析 - 外部アクセス]** を選択します。
1. **[アナライザーの詳細]** セクションで、表示されているリージョンが、IAM Access Analyzer を有効にするリージョンであることを確認します。
1. アナライザーの名前を入力します。
1. アナライザーの信頼ゾーンとして **[現在のアカウント]** を選択します。
**注記**
アカウントが AWS Organizations 管理アカウントまたは[代理管理者](access-analyzer-delegated-administrator.md)アカウントでない場合は、アカウントを信頼ゾーンとして持つアナライザーは 1 つだけ作成できます。
1. オプション。アナライザーに適用するタグを追加します。
1. **[Create analyzer]** (アナライザーの作成) を選択します。
外部アクセスアナライザーを作成して IAM Access Analyzer を有効にすると、`AWSServiceRoleForAccessAnalyzer` という名前のサービスリンクロールがアカウント内に作成されます。
## 組織を信頼ゾーンとして持つ外部アクセスアナライザーを作成する
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[Create analyzer]** (アナライザーの作成) を選択します。
1. **[分析]** セクションで **[リソース分析 - 外部アクセス]** を選択します。
1. **[アナライザーの詳細]** セクションで、表示されているリージョンが、IAM Access Analyzer を有効にするリージョンであることを確認します。
1. アナライザーの名前を入力します。
1. アナライザーの信頼ゾーンとして **[現在の組織]** を選択します。
1. オプション。アナライザーに適用するタグを追加します。
1. [**Submit**] を選択してください。
組織を信頼ゾーンとして持つ外部アクセスアナライザーを作成すると、`AWSServiceRoleForAccessAnalyzer` という名前のサービスリンクロールが組織の各アカウントに作成されます。
# IAM Access Analyzer の外部アクセスアナライザーを管理する
リージョンで外部アクセスアナライザーを有効にするには、そのリージョンでアナライザーを作成する必要があります。外部アクセスアナライザーは、リソースへのアクセスをモニタリングするリージョンごとに作成する必要があります。
**注記**
アナライザーを作成または更新すると、検出結果が利用可能になるまでに時間がかかることがあります。
## 外部アクセスアナライザーを更新する
外部アクセスアナライザーを更新するには、次の手順に従います。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[アナライザー]** セクションで、管理する外部アクセスアナライザーの名前を選択します。
1. **[アーカイブルール]** タブでは、アナライザーのアーカイブルールを作成、編集、または削除できます。詳細については、「[アーカイブルール](access-analyzer-archive-rules.md)」を参照してください。
1. **[タグ]** タブでは、アナライザーのタグを管理および作成できます。詳細については、「[AWS Identity and Access Management リソースのタグ](id_tags.md)」を参照してください。
## 外部アクセスアナライザーを削除する
外部アクセスアナライザーを削除するには、次の手順に従います。アナライザーを削除すると、リソースはモニタリングされなくなり、新しい検出結果は生成されなくなります。アナライザーによって生成された検出結果はすべて削除されます。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[アナライザー]** セクションで、削除する外部アクセスアナライザーの名前を選択します。
1. **[アナライザーを削除]** を選択します。
1. **削除**と入力し、**[削除]** を選択してアナライザーを削除することを確認します。
# IAM Access Analyzer の内部アクセスアナライザーを作成する
リージョンで内部アクセスアナライザーを有効にするには、そのリージョンでアナライザーを作成する必要があります。内部アクセスアナライザーは、リソースへのアクセスをモニタリングするリージョンごとに作成する必要があります。
IAM Access Analyzer は、アナライザーごとに 1 か月あたりにモニタリングされるリソースの数に基づいて、内部アクセス分析の料金を請求します。価格設定の詳細については、「[IAM Access Analyzer pricing](https://aws.amazon.com/iam/access-analyzer/pricing)」を参照してください。
**注記**
アナライザーを作成または更新すると、検出結果が利用可能になるまでに時間がかかることがあります。
IAM Access Analyzer は、70,000 を超えるプリンシパル (IAM ユーザーとロールの合計) を含む組織の内部アクセスの検出結果を生成できません。
組織レベルの内部アクセスアナライザーは、AWS 組織内に 1 つのみ作成できます。
## AWS アカウント を信頼ゾーンとして持つ内部アクセスアナライザーを作成する
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[Create analyzer]** (アナライザーの作成) を選択します。
1. **[分析]** セクションで **[リソース分析 - 内部アクセス]** を選択します。
1. **[アナライザーの詳細]** セクションで、表示されているリージョンが、IAM Access Analyzer を有効にするリージョンであることを確認します。
1. アナライザーの名前を入力します。
1. アナライザーの信頼ゾーンとして **[現在のアカウント]** を選択します。
**注記**
アカウントが AWS Organizations 管理アカウントまたは[代理管理者](access-analyzer-delegated-administrator.md)アカウントでない場合は、アカウントを信頼ゾーンとして持つアナライザーは 1 つだけ作成できます。
1. **[分析するリソース]** セクションで、アナライザーがモニタリングするリソースを追加します。
+ アカウントごとにリソースを追加するには、**[追加] > [選択したアカウントからリソースを追加]** を選択します。
1. **[すべてのサポートされているリソースタイプ]** を選択するか、**[特定のリソースタイプを定義]** を選択し、**[リソースタイプ]** リストからリソースタイプを選択します。
内部アクセスアナライザーは、以下のリソースタイプに対応しています。
+ [Amazon Simple Storage Service バケット](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service ディレクトリバケット](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Database Service DB スナップショット](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service DB クラスタースナップショット](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB テーブル](access-analyzer-resources.md#access-analyzer-ddb-table)
1. **[リソースを追加]** を選択します。
+ Amazon リソースネーム (ARN) でリソースを追加するには、**[リソースの追加] > [リソース ARN を貼り付けてリソースを追加]** を選択します。
**注記**
ARN は完全一致である必要があります。ワイルドカードはサポートされていません。Amazon S3 では、バケット ARN のみがサポートされています。Amazon S3 オブジェクト ARN とプレフィックスはサポートされていません。
1. リソース ARN ごとに、アカウント所有者 ID とリソース ARN をカンマで区切って入力します。1 行に 1 つのアカウント所有者 ID とリソース ARN を入力します。
1. **[リソースを追加]** を選択します。
+ CSV ファイルでリソースを追加するには、**[リソースの追加] > [CSV をアップロードしてリソースを追加]** を選択します。
[AWS Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) を使用してアカウント内のリソースを検索し、CSV ファイルをエクスポートできます。次に、CSV ファイルをアップロードして、アナライザーがモニタリングするリソースを設定できます。
1. **[ファイルを選択]** を選択し、ローカルコンピュータからテンプレートファイルを選択します。
1. **[リソースを追加]** を選択します。
1. オプション。アナライザーに適用するタグを追加します。
1. **[Create analyzer]** (アナライザーの作成) を選択します。
内部アクセスアナライザーを作成して IAM Access Analyzer を有効にすると、`AWSServiceRoleForAccessAnalyzer` という名前のサービスリンクロールがアカウント内に作成されます。
## 組織を信頼ゾーンとして持つ内部アクセスアナライザーを作成する
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[Create analyzer]** (アナライザーの作成) を選択します。
1. **[分析]** セクションで **[リソース分析 - 内部アクセス]** を選択します。
1. **[アナライザーの詳細]** セクションで、表示されているリージョンが、IAM Access Analyzer を有効にするリージョンであることを確認します。
1. アナライザーの名前を入力します。
1. アナライザーの信頼ゾーンとして **[組織全体]** を選択します。
1. **[分析するリソース]** セクションで、アナライザーがモニタリングするリソースを追加します。
+ アカウントのリソースを追加するには、**[リソースの追加] > [選択したアカウントからリソースを追加]** を選択します。
1. **[すべてのサポートされているリソースタイプ]** を選択するか、**[特定のリソースタイプを定義]** を選択し、**[リソースタイプ]** リストからリソースタイプを選択します。
内部アクセスアナライザーは、以下のリソースタイプに対応しています。
+ [Amazon Simple Storage Service バケット](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service ディレクトリバケット](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Database Service DB スナップショット](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service DB クラスタースナップショット](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB テーブル](access-analyzer-resources.md#access-analyzer-ddb-table)
1. 組織からアカウントを選択するには、**[組織から選択]**を選択します。**[アカウントの選択]** セクションで、**[階層]** を選択して組織構造別にアカウントを選択するか、**[リスト]** を選択して組織内のすべてのアカウントのリストからアカウントを選択します。
組織からアカウントを手動で入力するには、**[AWS アカウント ID の入力]** を選択します。1 つ以上の AWS アカウント ID をカンマで区切って、**[AWS アカウント ID]** フィールドに入力します。
1. **[リソースを追加]** を選択します。
+ Amazon リソースネーム (ARN) でリソースを追加するには、**[リソースの追加] > [リソース ARN を貼り付けてリソースを追加]** を選択します。
**注記**
ARN は完全一致である必要があります。ワイルドカードはサポートされていません。Amazon S3 では、バケット ARN のみがサポートされています。Amazon S3 オブジェクト ARN とプレフィックスはサポートされていません。
1. リソース ARN ごとに、アカウント所有者 ID とリソース ARN をカンマで区切って入力します。1 行に 1 つのアカウント所有者 ID とリソース ARN を入力します。
1. **[リソースを追加]** を選択します。
+ CSV ファイルでリソースを追加するには、**[リソースの追加] > [CSV をアップロードしてリソースを追加]** を選択します。
[AWS Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) を使用してアカウント内のリソースを検索し、CSV ファイルをエクスポートできます。次に、CSV ファイルをアップロードして、アナライザーがモニタリングするリソースを設定できます。
1. **[ファイルを選択]** を選択し、ローカルコンピュータからテンプレートファイルを選択します。
1. **[リソースを追加]** を選択します。
1. オプション。アナライザーに適用するタグを追加します。
1. [**Submit**] を選択してください。
組織を信頼ゾーンとして持つ内部アクセスアナライザーを作成すると、`AWSServiceRoleForAccessAnalyzer` という名前のサービスリンクロールが組織の各アカウントで作成されます。
# IAM Access Analyzer の内部アクセスアナライザーを管理する
リージョンで内部アクセスアナライザーを有効にするには、そのリージョンでアナライザーを作成する必要があります。内部アクセスアナライザーは、リソースへのアクセスをモニタリングするリージョンごとに作成する必要があります。
**注記**
アナライザーを作成または更新すると、検出結果が利用可能になるまでに時間がかかることがあります。
## 内部アクセスアナライザーを更新する
内部アクセスアナライザーを更新するには、次の手順に従います。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[アナライザー]** セクションで、管理する内部アクセスアナライザーの名前を選択します。
1. **[アーカイブルール]** タブでは、アナライザーのアーカイブルールを作成、編集、または削除できます。詳細については、「[アーカイブルール](access-analyzer-archive-rules.md)」を参照してください。
1. **[タグ]** タブでは、アナライザーのタグを管理および作成できます。詳細については、「[AWS Identity and Access Management リソースのタグ](id_tags.md)」を参照してください。
1. **[リソース]** タブで、**[分析するリソース]** セクションの**[編集]** を選択します。
1. アカウントごとにリソースを追加するには、**[リソースの追加] > [選択したアカウントからリソースを追加]** を選択します。
1. **[すべてのサポートされているリソースタイプ]** を選択するか、**[特定のリソースタイプを定義]** を選択し、**[リソースタイプ]** リストからリソースタイプを選択します。
内部アクセスアナライザーは、以下のリソースタイプに対応しています。
+ [Amazon Simple Storage Service バケット](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service ディレクトリバケット](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Database Service DB スナップショット](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service DB クラスタースナップショット](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB テーブル](access-analyzer-resources.md#access-analyzer-ddb-table)
1. **[リソースを追加]** を選択します。
1. Amazon リソースネーム (ARN) でリソースを追加するには、**[リソースの追加] > [リソース ARN を貼り付けてリソースを追加]** を選択します。
**注記**
ARN は完全一致である必要があります。ワイルドカードはサポートされていません。Amazon S3 では、バケット ARN のみがサポートされています。Amazon S3 オブジェクト ARN とプレフィックスはサポートされていません。
1. リソース ARN ごとに、アカウント所有者 ID とリソース ARN をカンマで区切って入力します。1 行に 1 つのアカウント所有者 ID とリソース ARN を入力します。
1. **[リソースを追加]** を選択します。
1. CSV ファイルでリソースを追加するには、**[リソースの追加] > [CSV をアップロードしてリソースを追加]** を選択します。
[AWS Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) を使用してアカウント内のリソースを検索し、CSV ファイルをエクスポートできます。次に、CSV ファイルをアップロードして、アナライザーがモニタリングするリソースを設定できます。
1. **[ファイルを選択]** を選択し、ローカルコンピュータからテンプレートファイルを選択します。
1. **[リソースを追加]** を選択します。
1. アナライザーからリソースを削除するには、削除するリソースの横にあるチェックボックスをオンにし、**[削除]** を選択します。
1. **[変更の保存]** をクリックします。
**注記**
アナライザーの更新は、次の自動再スキャン時に 24 時間以内に評価されます。
## 内部アクセスアナライザーを削除する
内部アクセスアナライザーを削除するには、次の手順に従います。アナライザーを削除すると、リソースはモニタリングされなくなり、新しい検出結果は生成されなくなります。アナライザーによって生成された検出結果はすべて削除されます。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[アナライザー]** セクションで、削除する内部アクセスアナライザーの名前を選択します。
1. **[アナライザーを削除]** を選択します。
1. **削除**と入力し、**[削除]** を選択してアナライザーを削除することを確認します。
# IAM Access Analyzer の未使用のアクセスアナライザーを作成する
## 現在のアカウント用の未使用のアクセスアナライザーを作成する
1 つの AWS アカウント用の未使用のアクセスアナライザーを作成するには、次の手順を使用します。未使用のアクセスの場合、アナライザーの検出結果はリージョンによって変わりません。リソースがある各リージョンにアナライザーを作成する必要はありません。
IAM Access Analyzer では、1 か月あたりにアナライザーごとに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセス分析に対する料金が発生します。価格設定の詳細については、「[IAM Access Analyzer pricing](https://aws.amazon.com/iam/access-analyzer/pricing)」を参照してください。
**注記**
アナライザーを作成または更新すると、検出結果が利用可能になるまでに時間がかかることがあります。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[Create analyzer]** (アナライザーの作成) を選択します。
1. **[分析]** セクションで **[プリンシパル分析 - 未使用のアクセス]** を選択します。
1. アナライザーの名前を入力します。
1. **[追跡期間]** には、分析する日数を入力します。アナライザーは、選択したアカウント内の IAM エンティティで、追跡期間全体を通じて存在していたものの許可のみを評価します。例えば、90 日の追跡期間を設定すると、少なくとも 90 日前に設定された許可のみが分析され、これらの許可がこの期間中に使用されなかった場合に結果が生成されます。値には 1~365 日を入力できます。
1. **[アナライザーの詳細]** セクションで、表示されているリージョンが、IAM Access Analyzer を有効にするリージョンであることを確認します。
1. **[選択したアカウント]** で **[現在のアカウント]** を選択します。
**注記**
アカウントが AWS Organizations 管理アカウントでも[代理管理者](access-analyzer-delegated-administrator.md)アカウントでもない場合は、自分のアカウントを選択したアカウントとして持つアナライザーは 1 つだけ作成できます。
1. オプション。**[タグを含む IAM ユーザーとロールを除外]** セクションで、未使用のアクセス分析から除外する IAM ユーザーとロールの key-value ペアを指定できます。key-value ペアに一致する除外された IAM ユーザーとロールについては、検出結果は生成されません。**[タグキー]** で、1~128 文字であって、かつ、プレフィックスが `aws:` ではない値を入力します。**[値]** で、0~256 文字の値を入力できます。**[値]** を入力しない場合、ルールは指定された **[タグキー]** を持つすべてのプリンシパルに適用されます。**[新しい除外を追加]** を選択して、除外する key-value ペアを追加できます。
1. オプション。アナライザーに適用するタグを追加します。
1. **[Create analyzer]** (アナライザーの作成) を選択します。
未使用のアクセスアナライザーを作成して IAM Access Analyzer を有効にすると、`AWSServiceRoleForAccessAnalyzer` という名前のサービスリンクロールがアカウント内に作成されます。
## 現在の組織で未使用のアクセスアナライザーを作成する
組織用の未使用のアクセスアナライザーを作成し、組織内のすべての AWS アカウントを一元的に確認できるようにするには、次の手順を使用します。未使用のアクセス分析の場合、アナライザーの検出結果はリージョンによって変わりません。リソースがある各リージョンにアナライザーを作成する必要はありません。
IAM Access Analyzer では、1 か月あたりにアナライザーごとに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセス分析に対する料金が発生します。価格設定の詳細については、「[IAM Access Analyzer pricing](https://aws.amazon.com/iam/access-analyzer/pricing)」を参照してください。
**注記**
メンバーアカウントが組織から削除されると、未使用のアクセスアナライザーは、24 時間後にそのアカウントの新しい検出結果の生成と既存の結果の更新を停止します。組織から削除されたメンバーアカウントに関連する検出結果は、90 日後に完全に削除されます。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[Create analyzer]** (アナライザーの作成) を選択します。
1. **[分析]** セクションで **[プリンシパル分析 - 未使用のアクセス]** を選択します。
1. アナライザーの名前を入力します。
1. **[追跡期間]**には、分析する日数を入力します。アナライザーは、選択した組織のアカウント内にある IAM エンティティで、追跡期間全体を通じて存在していたものの許可のみを評価します。例えば、90 日の追跡期間を設定すると、少なくとも 90 日前に設定された許可のみが分析され、これらの許可がこの期間中に使用されなかった場合に結果が生成されます。値には 1~365 日を入力できます。
1. **[アナライザーの詳細]** セクションで、表示されているリージョンが、IAM Access Analyzer を有効にするリージョンであることを確認します。
1. **[選択したアカウント]** で **[現在の組織]** を選択します。
1. オプション。**[分析から AWS アカウント を除外]** セクションで、未使用のアクセス分析から除外する組織内の AWS アカウント を選択できます。除外されたアカウントについては、検出結果は生成されません。
1. 除外する個々のアカウント ID を指定するには、**[AWS アカウント ID を指定]** を選択し、**[AWS アカウント ID]** フィールドにアカウント ID をカンマで区切って入力します。**[除外]** を選択します。その後、アカウントは、**除外する AWS アカウント** テーブルに一覧表示されます。
1. 除外する組織内のアカウントのリストから選択するには、**[組織から選択]** を選択します。
1. **[組織からアカウントを除外]** フィールドで、名前、メールアドレス、アカウント ID でアカウントを検索できます。
1. **[階層]** を選択すると、組織単位別にアカウントを表示できます。また、**[リスト]** を選択すると、組織内のすべての個々のアカウントのリストを表示できます。
1. **[現在のすべてのアカウントを除外]** を選択すると、組織単位内のすべてのアカウントを除外できます。また、**[除外]** を選択すると、個々のアカウントを除外できます。
その後、アカウントは、**除外する AWS アカウント** テーブルに一覧表示されます。
**注記**
除外されたアカウントには、組織アナライザーの所有者アカウントを含めることはできません。以前に組織単位内のすべての現在のアカウントを除外した場合でも、新しいアカウントが組織に追加された場合、それらのアカウントは分析から除外されません。未使用のアクセスアナライザーを作成した後のアカウントの除外の詳細については、「[IAM Access Analyzer の未使用のアクセスアナライザーを管理する](access-analyzer-manage-unused.md)」を参照してください。
1. オプション。**[タグを含む IAM ユーザーとロールを除外]** セクションで、未使用のアクセス分析から除外する IAM ユーザーとロールの key-value ペアを指定できます。key-value ペアに一致する除外された IAM ユーザーとロールについては、検出結果は生成されません。**[タグキー]** で、1~128 文字であって、かつ、プレフィックスが `aws:` ではない値を入力します。**[値]** で、0~256 文字の値を入力できます。**[値]** を入力しない場合、ルールは指定された **[タグキー]** を持つすべてのプリンシパルに適用されます。**[新しい除外を追加]** を選択して、除外する key-value ペアを追加できます。
1. オプション。アナライザーに適用するタグを追加します。
1. **[Create analyzer]** (アナライザーの作成) を選択します。
未使用のアクセスアナライザーを作成して IAM Access Analyzer を有効にすると、`AWSServiceRoleForAccessAnalyzer` という名前のサービスリンクロールがアカウント内に作成されます。
# IAM Access Analyzer の未使用のアクセスアナライザーを管理する
このトピックの情報を使用して、既存の未使用のアクセスアナライザーを更新または削除する方法について説明します。
**注記**
アナライザーを作成または更新すると、検出結果が利用可能になるまでに時間がかかることがあります。
## 未使用のアクセスアナライザーを更新する
未使用のアクセスアナライザーを更新するには、次の手順に従います。
IAM Access Analyzer では、1 か月あたりにアナライザーごとに分析された IAM ロールとユーザーの数に基づいて、未使用のアクセス分析に対する料金が発生します。価格設定の詳細については、「[IAM Access Analyzer pricing](https://aws.amazon.com/iam/access-analyzer/pricing)」を参照してください。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[アナライザー]** セクションで、管理する未使用のアクセスアナライザーの名前を選択します。
1. **[除外]** タブで、分析の範囲として組織のためにアナライザーが作成されている場合は、**[AWS アカウント を除外]**セクションで **[管理]** を選択します。
1. 除外する個々のアカウント ID を指定するには、**[AWS アカウント ID を指定]** を選択し、**[AWS アカウント ID]** フィールドにアカウント ID をカンマで区切って入力します。**[除外]** を選択します。その後、アカウントは、**除外する AWS アカウント** テーブルに一覧表示されます。
1. 除外する組織内のアカウントのリストから選択するには、**[組織から選択]** を選択します。
1. **[組織からアカウントを除外]** フィールドで、名前、メールアドレス、アカウント ID でアカウントを検索できます。
1. **[階層]** を選択すると、組織単位別にアカウントを表示できます。また、**[リスト]** を選択すると、組織内のすべての個々のアカウントのリストを表示できます。
1. **[現在のすべてのアカウントを除外]** を選択すると、組織単位内のすべてのアカウントを除外できます。また、**[除外]** を選択すると、個々のアカウントを除外できます。
その後、アカウントは、**除外する AWS アカウント** テーブルに一覧表示されます。
1. 除外するアカウントを削除するには、**[除外する AWS アカウント]** テーブルのアカウントの横にある **[削除]** を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
**注記**
除外されたアカウントには、組織アナライザーの所有者アカウントを含めることはできません。
以前に組織単位内のすべての現在のアカウントを除外した場合でも、新しいアカウントが組織に追加された場合、それらのアカウントは分析から除外されません。
アナライザーのために除外を更新した後、除外されたアカウントのリストが更新されるまでに最大 2 日かかることがあります。
1. **[除外]** タブの **[タグを含む IAM ユーザーとロールを除外]** セクションで **[管理]** を選択します。
1. 未使用のアクセス分析から除外する IAM ユーザーとロールの key-value ペアを指定できます。**[タグキー]** で、1~128 文字であって、かつ、プレフィックスが `aws:` ではない値を入力します。**[値]** で、0~256 文字の値を入力できます。**[値]** を入力しない場合、ルールは指定された **[タグキー]** を持つすべてのプリンシパルに適用されます。
1. **[新しい除外を追加]** を選択して、除外する key-value ペアを追加できます。
1. 除外する key-value ペアを削除するには、key-value ペアの横にある **[削除]** を選択します。
1. **[Save changes]** (変更の保存) をクリックします。
1. **[アーカイブルール]** タブでは、アナライザーのアーカイブルールを作成、編集、または削除できます。詳細については、「[アーカイブルール](access-analyzer-archive-rules.md)」を参照してください。
1. **[タグ]** タブでは、アナライザーのタグを管理および作成できます。詳細については、「[AWS Identity and Access Management リソースのタグ](id_tags.md)」を参照してください。
## 未使用のアクセスアナライザーを削除する
使用されていないアクセスアナライザーを削除するには、次の手順に従います。アナライザーを削除すると、リソースはモニタリングされなくなり、新しい検出結果は生成されなくなります。アナライザーによって生成された検出結果はすべて削除されます。
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. **[アクセスアナライザー]** で、**[未使用のアクセス]** を選択します。
1. **[アクセスアナライザー]** で、**[アナライザー設定]** を選択します。
1. **[アナライザー]** セクションで、削除する未使用のアクセスアナライザーの名前を選択します。
1. **[アナライザーを削除]** を選択します。
1. **削除**と入力し、**[削除]** を選択してアナライザーを削除することを確認します。