本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 入門 AWS Identity and Access Management Access Analyzer
藉由此主題內的資訊,了解使用及管理 AWS Identity and Access Management Access Analyzer的必備需求。
## 使用 IAM Access Analyzer 的必要許可
若要成功設定和使用 IAM Access Analyzer,您使用的帳戶必須獲得必要的許可。
### AWS IAM Access Analyzer 的 受管政策
AWS Identity and Access Management Access Analyzer 提供 AWS 受管政策,協助您快速入門。
+ [IAMAccessAnalyzerFullAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerFullAccess):允許管理員完整存取 IAM Access Analyzer。此政策也允許建立服務連結的角色,這些角色允許 IAM Access Analyzer 分析您帳戶或 AWS 組織中的資源。
+ [IAMAccessAnalyzerReadOnlyAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerReadOnlyAccess):允許對 IAM Access Analyzer 的唯讀存取權。您必須將其他政策新增到 IAM 身分 (使用者、使用者群組或角色),以允許他們檢視其問題清單。
### IAM Access Analyzer 定義的資源
若要檢視 IAM Access Analyzer 定義的資源,請參閱*服務授權參考*中的 [IAM Access Analyzer 定義的資源類型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-resources-for-iam-policies)。
### 必要的 IAM Access Analyzer 服務許可
IAM Access Analyzer 會使用名為 `AWSServiceRoleForAccessAnalyzer` 的服務連結角色 (SLR)。此 SLR 授予服務唯讀存取權,以使用 AWS 資源型政策分析資源,並代表您分析未使用的存取權。此服務會在以下情境中為您的帳戶建立角色:
+ 您以自己的帳戶為信任區域建立外部存取權分析器。
+ 您以自己的帳戶為選定帳戶來建立未使用的存取權分析器。
+ 您以自己的帳戶為信任區域建立內部存取分析器。
如需詳細資訊,請參閱[使用 的服務連結角色 AWS Identity and Access Management Access Analyzer](access-analyzer-using-service-linked-roles.md)。
**注意**
IAM Access Analyzer 是區域性的。針對外部和內部存取,必須在每個區域中分別啟用 IAM Access Analyzer。
針對未使用的存取權,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。
某些情況下,在 IAM Access Analyzer 中建立分析器後,系統會載入**調查結果**頁面或儀表板,但不含任何調查結果或摘要。這可能是因為主控台在填入您的問題清單時出現延遲。您可能須手動重新整理瀏覽器,或稍後再回來檢視調查結果或摘要。若仍沒有看到外部存取權分析器的調查結果,是因為您的帳戶沒有外部實體可存取的支援資源。若資源套用的政策會將存取權授與外部實體,則 IAM Access Analyzer 會產生問題清單。
**注意**
對於外部存取分析器,在修改政策後,IAM Access Analyzer 最多可能需要 30 分鐘才能分析資源並產生新的調查結果,或更新資源存取的現有調查結果。
建立內部存取分析器後,可能需要幾分鐘或幾小時才能取得調查結果。初次掃描後,IAM Access Analyzer 會每 24 小時自動重新掃描所有政策。
對於所有類型的存取分析器,調查結果的更新內容可能不會立即反映在儀表板中。
### 檢視調查結果儀表板所需的 IAM Access Analyzer 許可
若要檢視 [IAM Access Analyzer 調查結果儀告板](access-analyzer-dashboard.md),您使用的帳戶必須擁有存取權,才能執行以下必要動作:
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html)
若要檢視 IAM Access Analyzer 定義的所有動作,請參閱*服務授權參考*中的 [IAM Access Analyzer 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-actions-as-permissions)。
## IAM Access Analyzer 狀態
若要檢視分析器的狀態,請選擇 **Analyzers (分析器)**。為組織或帳戶建立的分析器可能具備下列狀態:
| 狀態 | 描述 |
| --- | --- |
| 作用中 | 對於外部和內部存取分析器,分析器會主動監控信任區域內的資源。分析器會主動產生新的問題清單,並更新現有的問題清單。 對於未使用的存取分析器,分析器會主動監控所選組織或 AWS 帳戶 指定追蹤期間內未使用的存取。分析器會主動產生新的問題清單,並更新現有的問題清單。 |
| 正在建立 | 分析器仍在建立中。建立完成後,分析器就會變成作用中狀態。 |
| 已停用 | 由於 AWS Organizations 管理員採取的動作,分析器已停用。例如,移除身分為 IAM Access Analyzer 委派管理員的分析器帳戶。當分析器處於停用狀態時,不會產生新的調查結果或更新現有的調查結果。 |
| 失敗 | 由於組態發生問題,分析器建立失敗。分析器不會產生任何問題清單。請刪除該分析器並建立新的分析器。 |
# 建立 IAM Access Analyzer 外部存取權分析器
若要在區域中啟用外部存取分析器,您必須在該區域中建立分析器。您想監控資源存取權的每個區域,都必須建立外部存取權分析器。
**注意**
建立或更新分析器之後,可能需要一段時間才能取得調查結果。
## 使用 AWS 帳戶 作為信任區域建立外部存取分析器
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 選擇 **Create analyzer (建立分析器)**。
1. 在**分析**區段中,選擇**資源分析 – 外部存取**。
1. 在**分析器詳細資訊**區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。
1. 輸入分析器的名稱。
1. 選擇**目前帳戶**作為分析器的信任區域。
**注意**
如果您的帳戶不是 AWS Organizations 管理帳戶或[委派管理員](access-analyzer-delegated-administrator.md)帳戶,您只能使用您的帳戶建立一個分析器做為信任區域。
1. 選用。新增您要套用至分析器的標籤。
1. 選擇 **Create analyzer (建立分析器)**。
建立外部存取權分析器來啟用 IAM Access Analyzer 時,您的帳戶會建立名為 `AWSServiceRoleForAccessAnalyzer` 的服務連結角色。
## 以組織為信任區域建立外部存取權分析器
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 選擇 **Create analyzer (建立分析器)**。
1. 在**分析**區段中,選擇**資源分析 – 外部存取**。
1. 在**分析器詳細資訊**區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。
1. 輸入分析器的名稱。
1. 選擇**目前組織**做為分析器的信任區域。
1. 選用。新增您要套用至分析器的標籤。
1. 選擇**提交**。
當您建立以組織做為信任區域的外部存取權分析器時,組織的每個帳戶都會建立名為 `AWSServiceRoleForAccessAnalyzer` 的服務連結角色。
# 管理 IAM Access Analyzer 外部存取分析器
若要在區域中啟用外部存取分析器,您必須在該區域中建立分析器。您想監控資源存取權的每個區域,都必須建立外部存取權分析器。
**注意**
建立或更新分析器之後,可能需要一段時間才能取得調查結果。
## 更新外部存取分析器
使用下列程序來更新外部存取分析器。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 在**分析器**區段中,選擇要管理之外部存取分析器的名稱。
1. 在**封存規則**索引標籤上,可以建立、編輯或刪除分析器的封存規則。如需詳細資訊,請參閱[封存規則](access-analyzer-archive-rules.md)。
1. 在**標籤**索引標籤上,可以管理和建立分析器的索引標籤。如需詳細資訊,請參閱[AWS Identity and Access Management 資源的標籤](id_tags.md)。
## 刪除外部存取分析器
使用下列程序刪除外部存取分析器。刪除分析器後,系統將不再監控資源,也不會產生新的調查結果。分析器產生的所有調查結果都會刪除。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 在**分析器**區段中,選擇要刪除之外部存取分析器的名稱。
1. 選擇**刪除分析器**。
1. 輸入 **delete**,然後選擇**刪除**以確認刪除分析器。
# 建立 IAM Access Analyzer 內部存取分析器
若要在某個區域中啟用內部存取權分析器,必須在該區域中建立分析器。您必須在要監控資源存取的每個區域中,建立內部存取分析器。
IAM Access Analyzer 會根據每個分析器每個月監控的資源數量,收取內部存取分析的費用。如需定價的詳細資訊,請參閱 [IAM Access Analyzer 定價](https://aws.amazon.com/iam/access-analyzer/pricing)。
**注意**
建立或更新分析器之後,可能需要一段時間才能取得調查結果。
IAM Access Analyzer 無法為包含超過 7 萬個主體 (IAM 使用者和角色合計) 的組織產生內部存取調查結果。
您只能在 AWS 組織中建立一個組織層級的內部存取分析器。
## 使用 AWS 帳戶 作為信任區域來建立內部存取分析器
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 選擇 **Create analyzer (建立分析器)**。
1. 在**分析**區段中,選擇**資源分析 – 內部存取**。
1. 在**分析器詳細資訊**區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。
1. 輸入分析器的名稱。
1. 選擇**目前帳戶**作為分析器的信任區域。
**注意**
如果您的帳戶不是 AWS Organizations 管理帳戶或[委派管理員](access-analyzer-delegated-administrator.md)帳戶,您只能使用您的帳戶建立一個分析器做為信任區域。
1. 在**要分析的資源**區段中,新增分析器要監控的資源。
+ 若要依帳戶新增資源,請選擇**新增 > 從所選帳戶新增資源**。
1. 選擇**所有支援的資源類型**,或選擇**定義特定資源類型**,然後從**資源類型**清單中選取資源類型。
內部存取分析器支援下列資源類型:
+ [Amazon Simple Storage Service 儲存貯體](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service 目錄儲存貯體](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Service 資料庫快照](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service 資料庫叢集快照](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 資料表](access-analyzer-resources.md#access-analyzer-ddb-table)
1. 選擇**新增資源**。
+ 若要依 Amazon Resource Name (ARN) 新增資源,請選擇**新增資源 > 透過貼上資源 ARN 新增資源**。
**注意**
ARN 必須完全相符 – 不支援萬用字元。對於 Amazon S3,僅支援儲存貯體 ARN。不支援 Amazon S3 物件 ARN 和字首。
1. 對於每個資源 ARN,請輸入帳戶擁有者 ID 和資源 ARN (以逗號分隔)。每行輸入一個帳戶擁有者 ID 和資源 ARN。
1. 選擇**新增資源**。
+ 若要依 CSV 檔案新增資源,請選擇**新增資源 > 透過上傳 CSV 檔案新增資源**。
您可以使用 [AWS 資源總管](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) 來搜尋帳戶中的資源,並匯出 CSV 檔案。然後,您可以上傳 CSV 檔案來設定分析器要監控的資源。
1. 選擇**選擇檔案**,然後從您的電腦中選取 CSV 檔案。
1. 選擇**新增資源**。
1. 選用。新增您要套用至分析器的標籤。
1. 選擇 **Create analyzer (建立分析器)**。
建立內部存取分析器來啟用 IAM Access Analyzer 時,帳戶中會建立名為 `AWSServiceRoleForAccessAnalyzer` 的服務連結角色。
## 以組織為信任區域建立內部存取分析器
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 選擇 **Create analyzer (建立分析器)**。
1. 在**分析**區段中,選擇**資源分析 – 內部存取**。
1. 在**分析器詳細資訊**區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。
1. 輸入分析器的名稱。
1. 選擇**整個組織**作為分析器的信任區域。
1. 在**要分析的資源**區段中,新增分析器要監控的資源。
+ 若要為帳戶新增資源,請選擇**新增資源 > 從所選帳戶新增資源**。
1. 選擇**所有支援的資源類型**,或選擇**定義特定資源類型**,然後從**資源類型**清單中選取資源類型。
內部存取分析器支援下列資源類型:
+ [Amazon Simple Storage Service 儲存貯體](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service 目錄儲存貯體](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Service 資料庫快照](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service 資料庫叢集快照](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 資料表](access-analyzer-resources.md#access-analyzer-ddb-table)
1. 若要從您的組織中選取帳戶,請選擇**從組織中選取**。在**選取帳戶**區段中,選擇**階層**以依組織結構選取帳戶,或選擇**清單**以從組織中的所有帳戶清單中選取帳戶。
若要從組織手動輸入帳戶,請選擇**輸入 AWS 帳戶 ID**。在帳戶 AWS 帳戶 IDs欄位中輸入以逗號分隔的**AWS 一或多個 ID**。
1. 選擇**新增資源**。
+ 若要依 Amazon Resource Name (ARN) 新增資源,請選擇**新增資源 > 透過貼上資源 ARN 新增資源**。
**注意**
ARN 必須完全相符 – 不支援萬用字元。對於 Amazon S3,僅支援儲存貯體 ARN。不支援 Amazon S3 物件 ARN 和字首。
1. 對於每個資源 ARN,請輸入帳戶擁有者 ID 和資源 ARN (以逗號分隔)。每行輸入一個帳戶擁有者 ID 和資源 ARN。
1. 選擇**新增資源**。
+ 若要依 CSV 檔案新增資源,請選擇**新增資源 > 透過上傳 CSV 檔案新增資源**。
您可以使用 [AWS 資源總管](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) 來搜尋帳戶中的資源,並匯出 CSV 檔案。然後,您可以上傳 CSV 檔案來設定分析器要監控的資源。
1. 選擇**選擇檔案**,然後從您的電腦中選取 CSV 檔案。
1. 選擇**新增資源**。
1. 選用。新增您要套用至分析器的標籤。
1. 選擇**提交**。
當您建立以組織作為信任區域的內部存取分析器時,組織的每個帳戶中會建立一個名為 `AWSServiceRoleForAccessAnalyzer` 的服務連結角色。
# 管理 IAM Access Analyzer 內部存取分析器
若要在某個區域中啟用內部存取權分析器,必須在該區域中建立分析器。您必須在要監控資源存取的每個區域中,建立內部存取分析器。
**注意**
建立或更新分析器之後,可能需要一段時間才能取得調查結果。
## 更新內部存取分析器
使用下列程序更新內部存取分析器。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 在**分析器**區段中,選擇要管理之內部存取分析器的名稱。
1. 在**封存規則**索引標籤上,可以建立、編輯或刪除分析器的封存規則。如需詳細資訊,請參閱[封存規則](access-analyzer-archive-rules.md)。
1. 在**標籤**索引標籤上,可以管理和建立分析器的索引標籤。如需詳細資訊,請參閱[AWS Identity and Access Management 資源的標籤](id_tags.md)。
1. 在**資源**索引標籤上,選擇**要分析的資源**區段中的**編輯**。
1. 若要依帳戶新增資源,請選擇**新增資源 > 從所選帳戶新增資源**。
1. 選擇**所有支援的資源類型**,或選擇**定義特定資源類型**,然後從**資源類型**清單中選取資源類型。
內部存取分析器支援下列資源類型:
+ [Amazon Simple Storage Service 儲存貯體](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service 目錄儲存貯體](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Service 資料庫快照](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service 資料庫叢集快照](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 資料表](access-analyzer-resources.md#access-analyzer-ddb-table)
1. 選擇**新增資源**。
1. 若要依 Amazon Resource Name (ARN) 新增資源,請選擇**新增資源 > 透過貼上資源 ARN 新增資源**。
**注意**
ARN 必須完全相符 – 不支援萬用字元。對於 Amazon S3,僅支援儲存貯體 ARN。不支援 Amazon S3 物件 ARN 和字首。
1. 對於每個資源 ARN,請輸入帳戶擁有者 ID 和資源 ARN (以逗號分隔)。每行輸入一個帳戶擁有者 ID 和資源 ARN。
1. 選擇**新增資源**。
1. 若要依 CSV 檔案新增資源,請選擇**新增資源 > 透過上傳 CSV 檔案新增資源**。
您可以使用 [AWS 資源總管](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) 來搜尋帳戶中的資源,並匯出 CSV 檔案。然後,您可以上傳 CSV 檔案來設定分析器要監控的資源。
1. 選擇**選擇檔案**,然後從您的電腦中選取 CSV 檔案。
1. 選擇**新增資源**。
1. 若要從分析器中移除資源,請選取要移除的資源旁的核取方塊,然後選擇**移除**。
1. 選擇**儲存變更**。
**注意**
分析器的任何更新都會在 24 小時內於下一次自動重新掃描時進行評估。
## 刪除內部存取分析器
使用下列程序刪除內部存取分析器。刪除分析器後,系統將不再監控資源,也不會產生新的調查結果。分析器產生的所有調查結果都會刪除。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 在**分析器**區段中,選擇要刪除之內部存取分析器的名稱。
1. 選擇**刪除分析器**。
1. 輸入 **delete**,然後選擇**刪除**以確認刪除分析器。
# 建立 IAM Access Analyzer 未使用的存取權分析器
## 為目前帳戶建立未使用的存取權分析器
使用下列程序,為單一 AWS 帳戶建立未使用的存取權分析器。針對未使用的存取權,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。
IAM Access Analyzer 會根據每月每個分析器分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 [IAM Access Analyzer 定價](https://aws.amazon.com/iam/access-analyzer/pricing)。
**注意**
建立或更新分析器之後,可能需要一段時間才能取得調查結果。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 選擇 **Create analyzer (建立分析器)**。
1. 在**分析**區段中,選擇**主體分析 – 未使用的存取**。
1. 輸入分析器的名稱。
1. 在**追蹤期間**欄位中輸入分析天數。分析器僅會評估在整個追蹤期間一直存在於所選帳戶中的 IAM 實體的許可。例如,如果您將追蹤期間設定為 90 天,則只會對存在至少 90 天的許可進行分析,而且如果在此期間這些許可沒有顯示用量,則會產生調查結果。您可以輸入 1 到 365 天之間的數值。
1. 在**分析器詳細資訊**區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。
1. 在**選取的帳戶**欄位中選擇**目前帳戶**。
**注意**
如果您的帳戶不是 AWS Organizations 管理帳戶或[委派管理員](access-analyzer-delegated-administrator.md)帳戶,您只能使用您的帳戶建立一個分析器做為選取的帳戶。
1. 選用。在**排除具有標籤的 IAM 使用者和角色**區段中,您可以為 IAM 使用者和角色指定索引鍵值對,以將其從未使用的存取權分析中排除。不會為符合索引鍵值對的已排除 IAM 使用者和角色產生調查結果。針對**標籤索引鍵**,輸入長度為 1 到 128 個字元,而且不以 `aws:` 開頭的值。對於**值**,可以輸入長度為 0 到 256 個字元的值。如果您未輸入**值**,則規則會套用至具有指定**標籤索引鍵**的所有主體。選擇**新增排除**,以新增要排除的其他索引鍵值對。
1. 選用。新增您要套用至分析器的標籤。
1. 選擇 **Create analyzer (建立分析器)**。
建立未使用的存取權分析器來啟用 IAM Access Analyzer 時,您的帳戶會建立名為 `AWSServiceRoleForAccessAnalyzer` 的服務連結角色。
## 使用目前組織建立未使用的存取權分析器
使用下列程序為組織建立未使用的存取分析器,以集中檢閱 AWS 帳戶 組織中的所有 。針對未使用的存取權分析,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。
IAM Access Analyzer 會根據每月每個分析器分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 [IAM Access Analyzer 定價](https://aws.amazon.com/iam/access-analyzer/pricing)。
**注意**
如果從組織中移除成員帳戶,未使用的存取權分析器將在 24 小時後停止產生新的調查結果,並更新該帳戶的現有調查結果。與從組織中移除的成員帳戶相關聯的調查結果,將在 90 天後永久移除。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 選擇 **Create analyzer (建立分析器)**。
1. 在**分析**區段中,選擇**主體分析 – 未使用的存取**。
1. 輸入分析器的名稱。
1. 在**追蹤期間**欄位中輸入分析天數。分析器僅會評估在整個追蹤期間一直存在於所選組織帳戶中的 IAM 實體的許可。例如,如果您將追蹤期間設定為 90 天,則只會對存在至少 90 天的許可進行分析,而且如果在此期間這些許可沒有顯示用量,則會產生調查結果。您可以輸入 1 到 365 天之間的數值。
1. 在**分析器詳細資訊**區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。
1. 在**選取的帳戶**欄位中選擇**目前組織**。
1. 選用。在** AWS 帳戶 從分析中排除**區段 AWS 帳戶 中,您可以在組織中選擇要從未使用的存取分析中排除。不會為排除的帳戶產生調查結果。
1. 若要指定要排除的個別帳戶 ID,請選擇**指定 AWS 帳戶 ID**,然後在 **AWS 帳戶 ID** 欄位中輸入以逗號分隔的帳戶 ID。選擇**排除**。然後,帳戶會列在**要排除的AWS 帳戶 **資料表中。
1. 若要從組織內的帳戶清單中選擇要排除的帳戶,請選擇**從組織中選擇**。
1. 您可以在**從組織排除帳戶**欄位中,依名稱、電子郵件和帳戶 ID 搜尋帳戶。
1. 選擇**階層**依組織單位檢視您的帳戶,或選擇**清單**以檢視組織中所有個別帳戶的清單。
1. 選擇**排除所有目前帳戶**以排除組織單位中的所有帳戶,或選擇**排除**以排除個別帳戶。
然後,帳戶會列在**要排除的AWS 帳戶 **資料表中。
**注意**
排除的帳戶不能包含組織分析器擁有者帳戶。將新帳戶新增至您的組織時,不會將其排除在分析之外,即使您先前已排除組織單位中的所有目前帳戶。如需建立未使用的存取權分析器後排除帳戶的詳細資訊,請參閱[管理 IAM Access Analyzer 未使用的存取權分析器](access-analyzer-manage-unused.md)。
1. 選用。在**排除具有標籤的 IAM 使用者和角色**區段中,您可以為 IAM 使用者和角色指定索引鍵值對,以將其從未使用的存取權分析中排除。不會為符合索引鍵值對的已排除 IAM 使用者和角色產生調查結果。針對**標籤索引鍵**,輸入長度為 1 到 128 個字元,而且不以 `aws:` 開頭的值。對於**值**,可以輸入長度為 0 到 256 個字元的值。如果您未輸入**值**,則規則會套用至具有指定**標籤索引鍵**的所有主體。選擇**新增排除**,以新增要排除的其他索引鍵值對。
1. 選用。新增您要套用至分析器的標籤。
1. 選擇 **Create analyzer (建立分析器)**。
建立未使用的存取權分析器來啟用 IAM Access Analyzer 時,您的帳戶會建立名為 `AWSServiceRoleForAccessAnalyzer` 的服務連結角色。
# 管理 IAM Access Analyzer 未使用的存取權分析器
使用本主題中的資訊,了解如何更新或刪除現有的未使用存取權分析器。
**注意**
建立或更新分析器之後,可能需要一段時間才能取得調查結果。
## 更新未使用的存取權分析器
使用下列程序來更新未使用的外部存取權分析器。
IAM Access Analyzer 會根據每月每個分析器分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 [IAM Access Analyzer 定價](https://aws.amazon.com/iam/access-analyzer/pricing)。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 在**分析器**區段中,選擇要管理之未使用的存取分析器的名稱。
1. 在**排除**索引標籤上,如果建立的分析器以組織作為分析範圍,請選擇**已排除 AWS 帳戶**區段中的**管理**。
1. 若要指定要排除的個別帳戶 ID,請選擇**指定 AWS 帳戶 ID**,然後在 **AWS 帳戶 ID** 欄位中輸入以逗號分隔的帳戶 ID。選擇**排除**。然後,帳戶會列在**要排除的AWS 帳戶 **資料表中。
1. 若要從組織內的帳戶清單中選擇要排除的帳戶,請選擇**從組織中選擇**。
1. 您可以在**從組織排除帳戶**欄位中,依名稱、電子郵件和帳戶 ID 搜尋帳戶。
1. 選擇**階層**依組織單位檢視您的帳戶,或選擇**清單**以檢視組織中所有個別帳戶的清單。
1. 選擇**排除所有目前帳戶**以排除組織單位中的所有帳戶,或選擇**排除**以排除個別帳戶。
然後,帳戶會列在**要排除的AWS 帳戶 **資料表中。
1. 若要移除要排除的帳戶,請選擇**要排除的AWS 帳戶 **資料表旁的**移除**。
1. 選擇**儲存變更**。
**注意**
排除的帳戶不能包含組織分析器擁有者帳戶。
將新帳戶新增至您的組織時,不會將其排除在分析之外,即使您先前已排除組織單位中的所有目前帳戶。
更新分析器的排除項目後,最多可能需要兩天的時間才能更新排除的帳戶清單。
1. 在**排除**索引標籤上,選擇**排除具有標籤的 IAM 使用者和角色**區段中的**管理**。
1. 您可以為 IAM 使用者和角色指定索引鍵值對,以將其從未使用的存取權分析中排除。針對**標籤索引鍵**,輸入長度為 1 到 128 個字元,而且不以 `aws:` 開頭的值。對於**值**,可以輸入長度為 0 到 256 個字元的值。如果您未輸入**值**,則規則會套用至具有指定**標籤索引鍵**的所有主體。
1. 選擇**新增排除**,以新增要排除的其他索引鍵值對。
1. 若要移除要排除的索引鍵值對,請選擇索引鍵值對旁的**移除**。
1. 選擇**儲存變更**。
1. 在**封存規則**索引標籤上,可以建立、編輯或刪除分析器的封存規則。如需詳細資訊,請參閱[封存規則](access-analyzer-archive-rules.md)。
1. 在**標籤**索引標籤上,可以管理和建立分析器的索引標籤。如需詳細資訊,請參閱[AWS Identity and Access Management 資源的標籤](id_tags.md)。
## 刪除未使用的存取權分析器
使用下列程序來刪除未使用的外部存取權分析器。刪除分析器後,系統將不再監控資源,也不會產生新的調查結果。分析器產生的所有調查結果都會刪除。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在**存取權分析器**下,選擇**未使用的存取權**。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 在**分析器**區段中,選擇要刪除之未使用的存取分析器的名稱。
1. 選擇**刪除分析器**。
1. 輸入 **delete**,然後選擇**刪除**以確認刪除分析器。