本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立 IAM Access Analyzer 未使用的存取權分析器
## 為目前帳戶建立未使用的存取權分析器
使用下列程序,為單一 AWS 帳戶建立未使用的存取權分析器。針對未使用的存取權,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。
IAM Access Analyzer 會根據每月每個分析器分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 [IAM Access Analyzer 定價](https://aws.amazon.com/iam/access-analyzer/pricing)。
**注意**
建立或更新分析器之後,可能需要一段時間才能取得調查結果。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 選擇 **Create analyzer (建立分析器)**。
1. 在**分析**區段中,選擇**主體分析 – 未使用的存取**。
1. 輸入分析器的名稱。
1. 在**追蹤期間**欄位中輸入分析天數。分析器僅會評估在整個追蹤期間一直存在於所選帳戶中的 IAM 實體的許可。例如,如果您將追蹤期間設定為 90 天,則只會對存在至少 90 天的許可進行分析,而且如果在此期間這些許可沒有顯示用量,則會產生調查結果。您可以輸入 1 到 365 天之間的數值。
1. 在**分析器詳細資訊**區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。
1. 在**選取的帳戶**欄位中選擇**目前帳戶**。
**注意**
如果您的帳戶不是 AWS Organizations 管理帳戶或[委派管理員](access-analyzer-delegated-administrator.md)帳戶,您只能使用您的帳戶建立一個分析器做為選取的帳戶。
1. 選用。在**排除具有標籤的 IAM 使用者和角色**區段中,您可以為 IAM 使用者和角色指定索引鍵值對,以將其從未使用的存取權分析中排除。不會為符合索引鍵值對的已排除 IAM 使用者和角色產生調查結果。針對**標籤索引鍵**,輸入長度為 1 到 128 個字元,而且不以 `aws:` 開頭的值。對於**值**,可以輸入長度為 0 到 256 個字元的值。如果您未輸入**值**,則規則會套用至具有指定**標籤索引鍵**的所有主體。選擇**新增排除**,以新增要排除的其他索引鍵值對。
1. 選用。新增您要套用至分析器的標籤。
1. 選擇 **Create analyzer (建立分析器)**。
建立未使用的存取權分析器來啟用 IAM Access Analyzer 時,您的帳戶會建立名為 `AWSServiceRoleForAccessAnalyzer` 的服務連結角色。
## 使用目前組織建立未使用的存取權分析器
使用下列程序為組織建立未使用的存取分析器,以集中檢閱 AWS 帳戶 組織中的所有 。針對未使用的存取權分析,分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。
IAM Access Analyzer 會根據每月每個分析器分析的 IAM 角色和使用者數量,針對未使用的存取權分析收費。如需定價的詳細資訊,請參閱 [IAM Access Analyzer 定價](https://aws.amazon.com/iam/access-analyzer/pricing)。
**注意**
如果從組織中移除成員帳戶,未使用的存取權分析器將在 24 小時後停止產生新的調查結果,並更新該帳戶的現有調查結果。與從組織中移除的成員帳戶相關聯的調查結果,將在 90 天後永久移除。
1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access Analyzer** 下,選擇**分析器設定**。
1. 選擇 **Create analyzer (建立分析器)**。
1. 在**分析**區段中,選擇**主體分析 – 未使用的存取**。
1. 輸入分析器的名稱。
1. 在**追蹤期間**欄位中輸入分析天數。分析器僅會評估在整個追蹤期間一直存在於所選組織帳戶中的 IAM 實體的許可。例如,如果您將追蹤期間設定為 90 天,則只會對存在至少 90 天的許可進行分析,而且如果在此期間這些許可沒有顯示用量,則會產生調查結果。您可以輸入 1 到 365 天之間的數值。
1. 在**分析器詳細資訊**區段中,確認顯示的區域是您要啟用 IAM Access Analyzer 的區域。
1. 在**選取的帳戶**欄位中選擇**目前組織**。
1. 選用。在** AWS 帳戶 從分析中排除**區段 AWS 帳戶 中,您可以在組織中選擇要從未使用的存取分析中排除。不會為排除的帳戶產生調查結果。
1. 若要指定要排除的個別帳戶 ID,請選擇**指定 AWS 帳戶 ID**,然後在 **AWS 帳戶 ID** 欄位中輸入以逗號分隔的帳戶 ID。選擇**排除**。然後,帳戶會列在**要排除的AWS 帳戶 **資料表中。
1. 若要從組織內的帳戶清單中選擇要排除的帳戶,請選擇**從組織中選擇**。
1. 您可以在**從組織排除帳戶**欄位中,依名稱、電子郵件和帳戶 ID 搜尋帳戶。
1. 選擇**階層**依組織單位檢視您的帳戶,或選擇**清單**以檢視組織中所有個別帳戶的清單。
1. 選擇**排除所有目前帳戶**以排除組織單位中的所有帳戶,或選擇**排除**以排除個別帳戶。
然後,帳戶會列在**要排除的AWS 帳戶 **資料表中。
**注意**
排除的帳戶不能包含組織分析器擁有者帳戶。將新帳戶新增至您的組織時,不會將其排除在分析之外,即使您先前已排除組織單位中的所有目前帳戶。如需建立未使用的存取權分析器後排除帳戶的詳細資訊,請參閱[管理 IAM Access Analyzer 未使用的存取權分析器](access-analyzer-manage-unused.md)。
1. 選用。在**排除具有標籤的 IAM 使用者和角色**區段中,您可以為 IAM 使用者和角色指定索引鍵值對,以將其從未使用的存取權分析中排除。不會為符合索引鍵值對的已排除 IAM 使用者和角色產生調查結果。針對**標籤索引鍵**,輸入長度為 1 到 128 個字元,而且不以 `aws:` 開頭的值。對於**值**,可以輸入長度為 0 到 256 個字元的值。如果您未輸入**值**,則規則會套用至具有指定**標籤索引鍵**的所有主體。選擇**新增排除**,以新增要排除的其他索引鍵值對。
1. 選用。新增您要套用至分析器的標籤。
1. 選擇 **Create analyzer (建立分析器)**。
建立未使用的存取權分析器來啟用 IAM Access Analyzer 時,您的帳戶會建立名為 `AWSServiceRoleForAccessAnalyzer` 的服務連結角色。