# 创建 IAM Access Analyzer 未使用的访问分析器
## 为当前账户创建未使用的访问分析器
使用以下过程为单个 AWS 账户 创建未使用的访问分析器。对于未使用的访问,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。
IAM Access Analyzer 根据每个分析器每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 [IAM Access Analyzer 定价](https://aws.amazon.com/iam/access-analyzer/pricing)。
**注意**
创建或更新分析器后,可能需要一些时间才能获得调查发现。
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 选择 **Create analyzer (创建分析器)**。
1. 在**分析**部分,选择**主体分析 - 未使用的访问**。
1. 输入分析器的名称。
1. 对于**跟踪周期**,输入分析的天数。分析器将仅评估选定账户内整个跟踪周期存在的 IAM 实体的权限。例如,如果将跟踪周期设置为 90 天,则只会分析至少 90 天的权限,如果在此期间未显示任何使用情况,则会生成调查发现。您可以输入 1 至 365 天之间的值。
1. 在**分析器详细信息**部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
1. 对于**选定账户**,选择**当前账户**。
**注意**
如果您的账户不是 AWS Organizations 管理账户或[委派管理员](access-analyzer-delegated-administrator.md)账户,则只能创建一个将您的账户作为信任区域的分析器。
1. 可选。在**排除带有标签的 IAM 用户和角色**部分中,您可以为 IAM 用户和角色指定键值对,以从未使用的访问分析中排除。不会为与键值对匹配的已排除 IAM 用户和角色生成调查发现。为**标签键**输入长度为 1 到 128 个字符并且不以 `aws:` 为前缀的值。对于**值**,您可以输入长度为 0 到 256 个字符的值。如果您未输入**值**,则规则将应用于具有指定的**标签键**的所有主体。选择**添加新的排除项**以添加要排除的其他键值对。
1. 可选。添加要应用于分析器的所有标签。
1. 选择 **Create analyzer (创建分析器)**。
创建未使用的访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 `AWSServiceRoleForAccessAnalyzer` 的服务相关角色。
## 使用当前组织创建未使用的访问分析器
使用以下过程为组织创建一个未使用的访问分析器,以集中查看组织中的所有 AWS 账户。对于未使用的访问分析,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。
IAM Access Analyzer 根据每个分析器每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 [IAM Access Analyzer 定价](https://aws.amazon.com/iam/access-analyzer/pricing)。
**注意**
如果成员账户从组织中删除,未使用的访问分析器将在 24 小时后停止为该账户生成新的调查发现和更新现有调查发现。与从组织中删除的成员账户关联的调查发现将在 90 天后永久删除。
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 选择 **Create analyzer (创建分析器)**。
1. 在**分析**部分,选择**主体分析 - 未使用的访问**。
1. 输入分析器的名称。
1. 对于**跟踪周期**,输入分析的天数。分析器将仅评估选定组织的账户内整个跟踪周期存在的 IAM 实体的权限。例如,如果将跟踪周期设置为 90 天,则只会分析至少 90 天的权限,如果在此期间未显示任何使用情况,则会生成调查发现。您可以输入 1 至 365 天之间的值。
1. 在**分析器详细信息**部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
1. 对于**选定账户**,选择**当前组织**。
1. 可选。在**从分析中排除 AWS 账户**部分中,您可以在组织中选择 AWS 账户,以从未使用的访问分析中排除。不会为排除的账户生成调查发现。
1. 若要指定要排除的个人账户 ID,请选择**指定 AWS 账户 ID**,然后在 **AWS 账户 ID** 字段中输入用逗号分隔的账户 ID。选择**排除**。然后,这些账户将列在**要排除的 AWS 账户**表中。
1. 要从您的组织的账户列表中选择要排除的账户,请选择**从组织中选择**。
1. 您可以在**从组织中排除账户**字段中按名称、电子邮件和账户 ID 搜索账户。
1. 选择**层级**以按组织单位查看您的账户,或选择**列表**以查看组织中所有个人账户的列表。
1. 选择**排除所有当前账户**以排除组织单位中的所有账户,或者选择**排除**以排除个人账户。
然后,这些账户将列在**要排除的 AWS 账户**表中。
**注意**
排除的账户不能包含组织分析器的所有者账户。向您的组织添加新账户后,它们不会被排除在分析范围之外,即使您之前已排除某个组织单位内的所有当前账户。有关创建未使用的访问分析器后排除账户的更多信息,请参阅[管理 IAM Access Analyzer 未使用的访问分析器](access-analyzer-manage-unused.md)。
1. 可选。在**排除带有标签的 IAM 用户和角色**部分中,您可以为 IAM 用户和角色指定键值对,以从未使用的访问分析中排除。不会为与键值对匹配的已排除 IAM 用户和角色生成调查发现。为**标签键**输入长度为 1 到 128 个字符并且不以 `aws:` 为前缀的值。对于**值**,您可以输入长度为 0 到 256 个字符的值。如果您未输入**值**,则规则将应用于具有指定的**标签键**的所有主体。选择**添加新的排除项**以添加要排除的其他键值对。
1. 可选。添加要应用于分析器的所有标签。
1. 选择 **Create analyzer (创建分析器)**。
创建未使用的访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 `AWSServiceRoleForAccessAnalyzer` 的服务相关角色。