# IAM Access Analyzer 미사용 액세스 분석기 생성
## 현재 계정에 미사용 액세스 분석기 생성
다음 절차를 통해 단일 AWS 계정을 위한 미사용 액세스 분석기를 생성합니다. 미사용 액세스의 경우 분석기에 대한 조사 결과는 리전에 따라 변경되지 않습니다. 리소스가 있는 각 리전에 분석기를 만들 필요는 없습니다.
IAM Access Analyzer는 분석기별로 매월 분석된 IAM 역할 및 사용자 수를 기준으로 미사용 액세스 분석에 대한 요금을 부과합니다. 요금에 대한 자세한 내용은 [IAM Access Analyzer 요금](https://aws.amazon.com/iam/access-analyzer/pricing)을 참조하세요.
**참고**
분석기를 생성하거나 업데이트한 후에 조사 결과를 사용할 수 있을 때까지 시간이 걸릴 수 있습니다.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
1. **분석** 섹션에서 **위탁자 분석 - 미사용 액세스**를 선택합니다.
1. 분석기의 이름을 입력합니다.
1. **추적 기간**에 분석 일수를 입력합니다. 분석기는 선택한 계정 내에서 전체 추적 기간에 존재한 IAM 엔터티에 대한 권한만 평가합니다. 예를 들어 추적 기간을 90일로 설정하면 최소 90일이 지난 권한만 분석되고 이 기간의 사용량이 표시되지 않으면 결과가 생성됩니다. 1일\$1365일의 값을 입력할 수 있습니다.
1. **분석기 상세 정보** 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.
1. **선택한 계정**에서 **현재 계정**을 선택합니다.
**참고**
계정이 AWS Organizations 관리 계정 또는 [위임된 관리자](access-analyzer-delegated-administrator.md) 계정이 아닌 경우, 선택된 계정으로 분석기를 하나만 생성할 수 있습니다.
1. 선택 사항. **태그가 있는 IAM 사용자 및 역할 제외** 섹션에서 미사용 액세스 분석에서 제외할 IAM 사용자 및 역할에 대한 키 값 페어를 지정할 수 있습니다. 키 값 페어와 일치하는 제외된 IAM 사용자 및 역할에 대해서는 조사 결과가 생성되지 않습니다. **태그 키**에 1\$1128자 길이의 값을 입력합니다. 이때 `aws:`을 접두사로 사용하지 않습니다. **값**에 0\$1256자 길이의 값을 입력할 수 있습니다. **값**을 입력하지 않으면 지정된 **태그 키**가 있는 모든 위탁자에 규칙이 적용됩니다. 제외할 키 값 페어를 추가하려면 **새로운 제외 추가**를 선택합니다.
1. 선택 사항. 분석기에 적용할 태그를 추가합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
IAM Access Analyzer를 활성화하기 위해 미사용 액세스 분석기를 생성하면 `AWSServiceRoleForAccessAnalyzer`라는 이름의 서비스 연결 역할이 계정에서 생성됩니다.
## 현재 조직에서 미사용 액세스 분석기 생성
다음 절차를 따라 조직에서 미사용 액세스 분석기를 만들어 조직의 모든 AWS 계정을 중앙에서 검토할 수 있습니다. 미사용 액세스 분석의 경우 분석기에 대한 조사 결과는 리전에 따라 변경되지 않습니다. 리소스가 있는 각 리전에 분석기를 만들 필요는 없습니다.
IAM Access Analyzer는 분석기별로 매월 분석된 IAM 역할 및 사용자 수를 기준으로 미사용 액세스 분석에 대한 요금을 부과합니다. 요금에 대한 자세한 내용은 [IAM Access Analyzer 요금](https://aws.amazon.com/iam/access-analyzer/pricing)을 참조하세요.
**참고**
구성원 계정이 조직에서 제거되면 미사용 액세스 분석기는 24시간 후부터 새 조사 결과를 생성하지 않으며 해당 계정에 대한 기존 조사 결과 업데이트를 중단합니다. 조직에서 제거된 구성원 계정과 관련된 조사 결과는 90일 후에 영구적으로 제거됩니다.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
1. **분석** 섹션에서 **위탁자 분석 - 미사용 액세스**를 선택합니다.
1. 분석기의 이름을 입력합니다.
1. **추적 기간**에 분석 일수를 입력합니다. 분석기는 선택한 조직의 계정 내에서 전체 추적 기간에 존재한 IAM 엔터티에 대한 권한만 평가합니다. 예를 들어 추적 기간을 90일로 설정하면 최소 90일이 지난 권한만 분석되고 이 기간의 사용량이 표시되지 않으면 결과가 생성됩니다. 1일\$1365일의 값을 입력할 수 있습니다.
1. **분석기 상세 정보** 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.
1. **선택한 계정**에서 **현재 조직**을 선택합니다.
1. 선택 사항. **AWS 계정 분석에서 제외** 섹션에서 미사용 액세스 분석에서 제외할 조직 내 AWS 계정을 선택할 수 있습니다. 제외된 계정에 대해서는 조사 결과가 생성되지 않습니다.
1. 제외할 개별 계정 ID를 지정하려면 **AWS 계정 ID 지정**을 선택하고 **AWS 계정 ID** 필드에 계정 ID를 쉼표로 구분하여 입력합니다. **제외**를 선택합니다. 그러면 **제외할 AWS 계정** 테이블에 계정이 나열됩니다.
1. 조직의 계정 목록에서 제외할 계정을 선택하려면 **조직에서 선택**을 선택합니다.
1. **조직에서 계정 제외** 필드에서 이름, 이메일 및 계정 ID로 계정을 검색할 수 있습니다.
1. **계층 구조**를 선택하여 조직 단위별로 계정을 보거나 **목록**을 선택하여 조직의 모든 개별 계정 목록을 봅니다.
1. **모든 현재 계정 제외**를 선택하여 조직 단위의 모든 계정을 제외하거나 **제외**를 선택하여 개별 계정을 제외합니다.
그러면 **제외할 AWS 계정** 테이블에 계정이 나열됩니다.
**참고**
제외된 계정에는 조직 분석기 소유자 계정이 포함될 수 없습니다. 조직에 새 계정이 추가되면 이전에 조직 단위 내의 모든 현재 계정을 제외한 경우에도 해당 계정은 분석에서 제외되지 않습니다. 미사용 액세스 분석기를 생성한 후 계정을 제외하는 방법에 대한 자세한 내용은 [IAM Access Analyzer 미사용 액세스 분석기 관리](access-analyzer-manage-unused.md) 섹션을 참조하세요.
1. 선택 사항. **태그가 있는 IAM 사용자 및 역할 제외** 섹션에서 미사용 액세스 분석에서 제외할 IAM 사용자 및 역할에 대한 키 값 페어를 지정할 수 있습니다. 키 값 페어와 일치하는 제외된 IAM 사용자 및 역할에 대해서는 조사 결과가 생성되지 않습니다. **태그 키**에 1\$1128자 길이의 값을 입력합니다. 이때 `aws:`을 접두사로 사용하지 않습니다. **값**에 0\$1256자 길이의 값을 입력할 수 있습니다. **값**을 입력하지 않으면 지정된 **태그 키**가 있는 모든 위탁자에 규칙이 적용됩니다. 제외할 키 값 페어를 추가하려면 **새로운 제외 추가**를 선택합니다.
1. 선택 사항. 분석기에 적용할 태그를 추가합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
IAM Access Analyzer를 활성화하기 위해 미사용 액세스 분석기를 생성하면 `AWSServiceRoleForAccessAnalyzer`라는 이름의 서비스 연결 역할이 계정에서 생성됩니다.