# IAM Access Analyzer의 위임된 관리자
<a name="access-analyzer-delegated-administrator"></a>

AWS Organizations 관리 계정에서 AWS Identity and Access Management Access Analyzer를 구성하는 경우 조직의 멤버 계정을 위임된 관리자로 추가하여 조직의 IAM Access Analyzer를 관리할 수 있습니다. 위임된 관리자에게는 조직 내에서 분석기를 만들고 관리할 수 있는 권한이 있습니다. 관리 계정만 위임된 관리자를 추가할 수 있습니다.

IAM Access Analyzer에 대한 위임된 관리자는 조직 내의 구성원 계정이며 전체 조직을 대상으로 분석기를 생성하고 관리할 수 있는 권한이 있는 계정입니다. 관리 계정만 위임된 관리자를 추가, 제거 또는 변경할 수 있습니다.

위임된 관리자를 추가하는 경우 이후에 위임된 관리자의 다른 계정으로 변경할 수 있습니다. 이렇게 하면 이전에 위임된 관리자 계정은 전체 조직을 대상으로 분석하기 위해 해당 계정을 사용하여 생성했던 모든 분석기에 대한 권한을 잃게 됩니다. 이러한 분석기는 비활성화된 상태로 이동하고 더 이상 새 결과를 생성하거나 기존 결과를 업데이트하지 않습니다. 이러한 분석기의 기존 결과에도 더 이상 액세스할 수 없습니다. 계정을 위임된 관리자로 구성하여 향후에 다시 이들을 액세스할 수 있습니다. 위임된 관리자와 동일한 계정을 사용하지 않을 경우 위임된 관리자를 변경하기 전에 분석기를 삭제하는 것이 좋습니다. 이렇게 하면 생성된 모든 결과가 삭제됩니다. 새로 위임된 관리자가 새 분석기를 생성하면 동일한 결과에 대해 새 인스턴스가 생성됩니다. 결과가 손실되지 않으며, 다른 계정의 새 분석기를 위해 인스턴스가 생성됩니다. 또한 관리자 권한도 가지고 있는 조직 관리 계정을 사용하여 조직에서 결과에 계속 액세스할 수 있습니다. 새로 위임된 관리자는 이 조직에서 리소스 모니터링을 시작할 수 있도록 IAM Access Analyzer에서 새 분석기를 생성해야 합니다.

위임된 관리자가 AWS 조직을 퇴사하면 위임된 관리 권한이 계정에서 제거됩니다. 조직을 신뢰 영역으로 하는 계정의 모든 분석기는 비활성화된 상태로 이동합니다. 이러한 분석기의 기존 결과에도 더 이상 액세스할 수 없습니다.

관리 계정에서 분석기를 처음 구성할 때 IAM Access Analyzer 콘솔의 **분석기 설정** 페이지에서 **위임된 관리자 추가**를 선택할 수 있습니다.

**참고**  
IAM Access Analyzer는 매월 분석기별로 분석된 IAM 역할 및 사용자 수를 기준으로 미사용 액세스 분석기에 대한 요금을 부과합니다. 관리 계정과 위임된 관리자 계정에서 미사용 액세스 분석기를 생성하면 미사용 액세스 분석기 모두에 대한 요금이 부과됩니다. 요금에 대한 자세한 내용은 [IAM Access Analyzer 요금](https://aws.amazon.com/iam/access-analyzer/pricing)을 참조하세요.

위임된 관리자를 변경하고 나면 새 관리자가 조직의 리소스에 대한 액세스 권한 모니터링을 시작하기 위해 분석기를 생성해야 합니다.

# IAM Access Analyzer의 위임된 관리자 추가
<a name="access-analyzer-delegated-administrator-add"></a>

AWS Organizations 관리 계정에서 AWS Identity and Access Management Access Analyzer를 구성하는 경우 조직의 멤버 계정을 위임된 관리자로 추가하여 조직의 IAM Access Analyzer를 관리할 수 있습니다. 위임된 관리자에게는 조직 내에서 분석기를 만들고 관리할 수 있는 권한이 있습니다. 관리 계정만 위임된 관리자를 추가할 수 있습니다.

**콘솔을 사용하여 위임된 관리자를 추가하려면**

1. 조직의 관리 계정을 사용하여 AWS 콘솔에 로그인합니다.

1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.

1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.

1. **Add delegated administrator(위임된 관리자 추가)**를 선택합니다.

1. **위임된 관리자** 필드에서 위임된 관리자를 만들려면 조직 구성원 계정의 AWS 계정 번호를 입력합니다.

   계정은 조직의 구성원이어야 합니다.

1. **변경 사항 저장**을 선택합니다.

**AWS CLI 또는 AWS SDK를 사용하여 위임된 관리자를 추가하려면**

AWS CLI, AWS API(AWS SDK 사용) 또는 CloudFormation을 사용하여 위임된 관리자 계정에 조직 전체를 대상으로 액세스할 수 있는 분석기를 생성하는 경우, AWS Organizations API를 사용하여 IAM Access Analyzer에 대한 서비스 액세스를 활성화하고 구성원 계정을 위임된 관리자로 등록해야 합니다.

1. AWS Organizations에서 IAM Access Analyzer에 대해 신뢰할 수 있는 서비스 액세스를 활성화합니다. AWS Organizations 사용 설명서의 [신뢰할 수 있는 액세스를 활성화 또는 비활성화하는 방법](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)을 참조하십시오.

1. AWS Organizations [https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) API 작업 또는 `register-delegated-administrator` AWS CLI 명령을 사용하여 AWS 조직의 유효한 멤버 계정을 위임된 관리자로 등록합니다.