# AWS Identity and Access Management Access Analyzer 入门
通过本主题中的信息了解使用和管理 AWS Identity and Access Management Access Analyzer 的要求。
## 使用 IAM Access Analyzer 所需的权限
要成功配置和使用 IAM Access Analyzer,您使用的账户必须获得所需的权限。
### IAM Access Analyzer 的 AWS 托管策略
AWS Identity and Access Management Access Analyzer 提供 AWS 托管策略,可帮助您快速入门。
+ [IAMAccessAnalyzerFullAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerFullAccess):允许管理员完全访问 IAM Access Analyzer。此策略还允许创建与服务关联的角色,以便允许 IAM Access Analyzer 分析您的账户或 AWS 企业。
+ [IAMAccessAnalyzerReadOnlyAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerReadOnlyAccess):允许只读访问 IAM Access Analyzer。您必须将其他策略添加到 IAM 身份(用户、用户组或角色),以允许他们查看他们的发现结果。
### IAM Access Analyzer 定义的资源
要查看 IAM Access Analyzer 定义的资源,请参阅《服务授权参考》**中的 [IAM Access Analyzer 定义的资源类型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-resources-for-iam-policies)。
### 所需的 IAM Access Analyzer 服务权限
IAM Access Analyzer 使用名为 `AWSServiceRoleForAccessAnalyzer` 的服务相关角色(SLR)。此 SLR 授予服务只读访问权限,以使用基于资源的策略分析 AWS 资源,并代表您分析未使用的访问。在以下情况下,服务会在您的账户中创建角色:
+ 您可以创建一个外部访问分析器,将您的账户作为信任区域。
+ 还可以创建一个未使用的访问分析器,将您的账户作为选定账户。
+ 您可以创建一个以您的账户作为信任区域的内部访问分析器。
有关更多信息,请参阅 [将服务关联角色用于 AWS Identity and Access Management Access Analyzer](access-analyzer-using-service-linked-roles.md)。
**注意**
IAM Access Analyzer 是区域性的。对于外部和内部访问,您必须在每个区域单独启用 IAM Access Analyzer。
对于未使用的访问,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。
在某些情况下,在 IAM Access Analyzer 中创建分析器后,加载的**调查发现**页面或控制面板没有调查发现或摘要。此情况可能是因用于填充结果的控制台中出现延迟导致的。您可能需要手动刷新浏览器,或稍后返回查看您的调查发现或摘要。如果您仍然没有看到外部访问分析器的任何调查发现,这是因为您的账户中没有可供外部实体访问的受支持资源。如果将向外部实体授予访问权限的策略应用于资源,则 IAM Access Analyzer 会生成结果。
**注意**
对于外部访问分析器,修改策略后,IAM Access Analyzer 可能需要长达 30 分钟的时间来分析资源,然后生成新的调查发现或更新现有的资源访问调查发现。
当您创建内部访问分析器时,可能需要几分钟或几小时才能获得调查发现。初始扫描后,IAM Access Analyzer 每 24 小时自动重新扫描所有策略。
对于所有类型的访问分析器,调查发现的更新可能不会立即反映在控制面板中。
### 查看调查发现控制面板所需的 IAM Access Analyzer 权限
要查看 [IAM Access Analyzer 调查发现控制面板](access-analyzer-dashboard.md),必须授予您使用的账户访问权限,以执行以下所需的操作:
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html)
查看 IAM Access Analyzer 定义的所有操作,请参阅《服务授权参考》**中的 [IAM Access Analyzer 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-actions-as-permissions)。
## IAM Access Analyzer 状态
要查看分析器的状态,请选择 **Analyzers (分析器)**。为组织或账户创建的分析器可具有以下状态:
| Status | 说明 |
| --- | --- |
| 活跃 | 对于外部和内部访问分析器,分析器将主动监控其信任区域内的资源。分析器会主动生成新的结果并更新现有结果。
对于未使用的访问分析器,分析器将主动监控选定组织或 AWS 账户 在指定跟踪期限内的未使用访问。分析器会主动生成新的结果并更新现有结果。 |
| Creating | 分析器的创建过程仍在进行中。在创建过程完成后,分析器将变为活动状态。 |
| 已禁用 | 分析器因 AWS Organizations 管理员执行的操作而被禁用。例如,删除作为 IAM Access Analyzer 的委派管理员的分析器的账户。当分析器处于禁用状态时,不会生成新的调查发现或更新现有调查发现。 |
| 失败 | 由于配置问题,分析器创建失败。分析器将不会生成任何结果。删除该分析器并创建新的分析器。 |