# AWS Identity and Access Management Access Analyzer 시작
이 주제의 정보를 사용하여 AWS Identity and Access Management Access Analyzer를 사용하고 관리하는 데 필요한 요구 사항에 대해 알아보세요.
## IAM Access Analyzer를 사용하는 데 필요한 권한
IAM Access Analyzer를 성공적으로 구성하고 사용하려면 사용하는 계정에 필요한 권한을 부여해야 합니다.
### IAM Access Analyzer의 AWS 관리형 정책
AWS Identity and Access Management Access Analyzer에서는 빠르게 시작하는 데 도움이 되는 AWS 관리형 정책을 제공합니다.
+ [IAMAccessAnalyzerFullAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerFullAccess) - 관리자에게 IAM Access Analyzer에 대한 전체 액세스 권한을 허용합니다. 또한 이 정책을 통해 IAM Access Analyzer가 사용자 계정 또는 AWS 조직의 리소스를 분석할 수 있도록 하는 데 필요한 서비스 연결 역할을 생성할 수 있습니다.
+ [IAMAccessAnalyzerReadOnlyAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerReadOnlyAccess) - IAM Access Analyzer에 대한 읽기 전용 액세스 권한을 허용합니다. IAM 자격 증명(사용자, 사용자 그룹 또는 역할)이 결과를 볼 수 있도록 허용하는 정책을 추가해야 합니다.
### IAM Access Analyzer에서 정의한 리소스
IAM Access Analyzer에서 정의한 리소스를 보려면 서비스 권한 부여 참조의 [IAM Access Analyzer에서 정의한 리소스 유형](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-resources-for-iam-policies)을 참조하세요.
### 필요한 IAM Access Analyzer 서비스 권한
IAM Access Analyzer는 `AWSServiceRoleForAccessAnalyzer`라는 서비스 연결 역할(SLR)을 사용합니다. 해당 SLR은 사용자를 대신해 리소스 기반 정책으로 AWS 리소스를 분석하고 미사용 액세스를 분석할 수 있도록 서비스에 읽기 전용 액세스 권한을 부여합니다. 다음 시나리오에서 서비스는 계정에 역할을 생성합니다.
+ 계정을 신뢰 영역으로 하여 외부 액세스 분석기를 만듭니다.
+ 사용자 계정을 선택한 계정으로 사용하여 미사용 액세스 분석기를 생성합니다.
+ 계정을 신뢰 영역으로 설정하여 내부 액세스 분석기를 만듭니다.
자세한 내용은 [AWS Identity and Access Management Access Analyzer에 서비스 연결 역할 사용](access-analyzer-using-service-linked-roles.md) 섹션을 참조하세요.
**참고**
IAM Access Analyzer는 리전별로 적용됩니다. 외부 액세스 및 내부 액세스를 위해 각 리전에서 독립적으로 IAM Access Analyzer를 활성화해야 합니다.
미사용 액세스의 경우 분석기에 대한 조사 결과는 리전에 따라 변경되지 않습니다. 리소스가 있는 각 리전에 분석기를 만들 필요는 없습니다.
경우에 따라 IAM Access Analyzer에서 분석기를 생성하면 조사 결과 또는 요약 없이 **조사 결과** 페이지 또는 대시보드가 로드됩니다. 이는 결과를 채우기 위해 콘솔에서 발생하는 지연으로 인한 것일 수 있습니다. 조사 결과 또는 요약을 보려면 브라우저를 수동으로 새로고침 하거나 나중에 다시 확인해야 할 수 있습니다. 외부 엔터티가 액세스할 수 있는 지원 리소스가 계정에 없으면 외부 액세스 분석기에 대한 조사 결과가 표시되지 않습니다. 외부 엔터티에 대한 액세스 권한을 부여하는 정책이 리소스에 적용되는 경우 IAM Access Analyzer에서 결과를 생성합니다.
**참고**
외부 액세스 분석기의 경우, 정책이 수정되고 최대 30분 후에 IAM Access Analyzer에서 리소스를 분석한 다음 리소스 액세스에 대한 새로운 결과를 생성하거나 기존 결과를 업데이트할 수 있습니다.
내부 액세스 분석기를 생성할 때 조사 결과를 사용할 수 있게 되기까지 몇 분 또는 몇 시간이 걸릴 수 있습니다. 초기 스캔 후 IAM Access Analyzer는 24시간마다 모든 정책을 자동으로 다시 스캔합니다.
모든 유형의 액세스 분석기에서 조사 결과에 대한 업데이트가 대시보드에 즉시 반영되지 않을 수 있습니다.
### 조사 결과 대시보드를 보기 위한 IAM Access Analyzer 필수 권한
[IAM Access Analyzer 조사 결과 대시보드](access-analyzer-dashboard.md)를 보려면 사용하는 계정에 다음 필수 작업을 수행할 수 있도록 액세스 권한을 부여해야 합니다.
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html)
IAM Access Analyzer에서 정의한 모든 작업을 보려면 [서비스 권한 부여 참조](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-actions-as-permissions)에서 IAM Access Analyzer에서 정의한 작업을 참조하세요.
## IAM Access Analyzer 상태
분석기의 상태를 보려면 **분석기**를 선택합니다. 조직 또는 계정에 대해 생성된 분석기의 상태는 다음과 같습니다.
| Status | 설명 |
| --- | --- |
| 활성 | 외부 및 내부 액세스 분석기에 대해 분석기는 신뢰 영역 내에서 리소스를 적극적으로 모니터링합니다. 분석기는 새로운 결과를 적극적으로 생성하고 기존 결과를 업데이트합니다. 미사용 액세스 분석기의 경우 분석기는 선택한 조직 내에서 또는 지정된 추적 기간의 AWS 계정 내에서 미사용 액세스를 능동적으로 모니터링합니다. 분석기는 새로운 결과를 적극적으로 생성하고 기존 결과를 업데이트합니다. |
| 생성 중 | 분석기 생성이 아직 진행 중입니다. 생성이 완료되면 분석기가 활성화됩니다. |
| 비활성화됨 | AWS Organizations 관리자가 수행한 작업으로 인해 분석기가 비활성화되었습니다. 예를 들어 IAM Access Analyzer의 위임된 관리자로서 분석기의 계정을 제거합니다. 분석기가 비활성화된 상태면 새 조사 결과를 생성하거나 기존 조사 결과를 업데이트하지 않습니다. |
| 실패 | 구성 문제로 인해 분석기를 만들지 못했습니다. 분석기는 결과를 생성하지 않습니다. 분석기를 삭제하고 새 분석기를 만듭니다. |
# IAM Access Analyzer 외부 액세스 분석기 생성
리전에서 외부 액세스 분석기를 활성화하려면 해당 리전에서 분석기를 생성해야 합니다. 리소스에 대한 액세스 권한을 모니터링하려는 각 리전에서 분석기를 생성해야 합니다.
**참고**
분석기를 생성하거나 업데이트한 후에 조사 결과를 사용할 수 있을 때까지 시간이 걸릴 수 있습니다.
## AWS 계정을 신뢰 영역으로 설정하여 외부 액세스 분석기 생성
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
1. **분석** 섹션에서 **리소스 분석 - 외부 액세스**를 선택합니다.
1. **분석기 상세 정보** 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.
1. 분석기의 이름을 입력합니다.
1. **현재 계정**을 분석기의 신뢰 영역으로 선택합니다.
**참고**
계정이 AWS Organizations 관리 계정 또는 [위임된 관리자](access-analyzer-delegated-administrator.md) 계정이 아닌 경우, 계정을 신뢰 영역으로 하여 분석기를 하나만 생성할 수 있습니다.
1. 선택 사항. 분석기에 적용할 태그를 추가합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
IAM Access Analyzer를 활성화하기 위해 외부 액세스 분석기를 생성하면 `AWSServiceRoleForAccessAnalyzer`라는 이름의 서비스 연결 역할이 계정에서 생성됩니다.
## 조직을 신뢰 영역으로 하여 외부 액세스 분석기 생성
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
1. **분석** 섹션에서 **리소스 분석 - 외부 액세스**를 선택합니다.
1. **분석기 상세 정보** 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.
1. 분석기의 이름을 입력합니다.
1. **현재 조직**을 분석기의 신뢰 영역으로 선택합니다.
1. 선택 사항. 분석기에 적용할 태그를 추가합니다.
1. **제출**을 선택합니다.
조직을 신뢰 영역으로 하여 외부 액세스 분석기를 만들면 조직의 각 계정에 `AWSServiceRoleForAccessAnalyzer`이라는 서비스 연결 역할이 만들어집니다.
# IAM Access Analyzer 외부 액세스 분석기 관리
리전에서 외부 액세스 분석기를 활성화하려면 해당 리전에서 분석기를 생성해야 합니다. 리소스에 대한 액세스 권한을 모니터링하려는 각 리전에서 분석기를 생성해야 합니다.
**참고**
분석기를 생성하거나 업데이트한 후에 조사 결과를 사용할 수 있을 때까지 시간이 걸릴 수 있습니다.
## 외부 액세스 분석기 업데이트
다음 절차에 따라 외부 액세스 분석기를 업데이트하세요.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **분석기** 섹션에서 관리할 외부 액세스 분석기의 이름을 선택합니다.
1. **아카이브 규칙** 탭에서 분석기에 대한 아카이브 규칙을 생성, 편집 또는 삭제할 수 있습니다. 자세한 내용은 [아카이브 규칙](access-analyzer-archive-rules.md) 섹션을 참조하세요.
1. **태그** 탭에서 분석기에 대한 태그를 관리하고 생성할 수 있습니다. 자세한 내용은 [AWS Identity and Access Management 리소스용 태그](id_tags.md) 섹션을 참조하세요.
## 외부 액세스 분석기 삭제
다음 절차에 따라 외부 액세스 분석기를 삭제하세요. 분석기를 삭제하면 리소스가 더 이상 모니터링되지 않으며 새 조사 결과도 생성되지 않습니다. 분석기에서 생성된 모든 조사 결과가 삭제됩니다.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **분석기** 섹션에서 삭제할 외부 액세스 분석기의 이름을 선택합니다.
1. **분석기 삭제**를 선택합니다.
1. **delete**를 입력하고 **삭제**를 선택하여 분석기 삭제를 확인합니다.
# IAM Access Analyzer 내부 액세스 분석기 생성
리전에서 내부 액세스 분석기를 사용 설정하려면 해당 리전에서 분석기를 생성해야 합니다. 내부 액세스 분석기는 리소스에 대한 액세스 권한을 모니터링하려는 각 리전에서 생성해야 합니다.
IAM Access Analyzer는 분석기별로 매월 모니터링되는 리소스 수를 기준으로 내부 액세스 분석에 대한 요금을 부과합니다. 요금에 대한 자세한 내용은 [IAM Access Analyzer 요금](https://aws.amazon.com/iam/access-analyzer/pricing)을 참조하세요.
**참고**
분석기를 생성하거나 업데이트한 후에 조사 결과를 사용할 수 있을 때까지 시간이 걸릴 수 있습니다.
IAM Access Analyzer는 70,000개 이상의 위탁자(IAM 사용자 및 역할 결합)가 포함된 조직에 대해 내부 액세스 조사 결과를 생성할 수 없습니다.
AWS 조직에서는 하나의 조직 수준 내부 액세스 분석기만 생성할 수 있습니다.
## AWS 계정을 신뢰 영역으로 설정하여 내부 액세스 분석기 생성
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
1. **분석** 섹션에서 **리소스 분석 - 내부 액세스**를 선택합니다.
1. **분석기 상세 정보** 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.
1. 분석기의 이름을 입력합니다.
1. **현재 계정**을 분석기의 신뢰 영역으로 선택합니다.
**참고**
계정이 AWS Organizations 관리 계정 또는 [위임된 관리자](access-analyzer-delegated-administrator.md) 계정이 아닌 경우, 계정을 신뢰 영역으로 하여 분석기를 하나만 생성할 수 있습니다.
1. **분석할 리소스** 섹션에서 모니터링할 분석기의 리소스를 추가합니다.
+ 계정별로 리소스를 추가하려면 **추가 > 선택한 계정의 리소스 추가**를 선택합니다.
1. **지원되는 모든 리소스 유형**을 선택하거나 **특정 리소스 유형 정의**를 선택하고 **리소스 유형** 목록에서 리소스 유형을 선택합니다.
내부 액세스 분석기는 다음과 같은 리소스 유형을 지원합니다.
+ [Amazon Simple Storage Service 버킷](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service 디렉터리 버킷](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Database Service DB 스냅샷](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service DB 클러스터 스냅샷](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 테이블](access-analyzer-resources.md#access-analyzer-ddb-table)
1. **리소스 추가(Add resources)**를 선택합니다.
+ Amazon 리소스 이름(ARN)으로 리소스를 추가하려면 **리소스 추가 > 리소스 ARN에 붙여넣어 리소스 추가**를 선택합니다.
**참고**
ARN이 정확히 일치해야 하며 와일드카드는 지원되지 않습니다. Amazon S3의 경우 버킷 ARN만 지원됩니다. Amazon S3 객체 ARN 및 접두사는 지원되지 않습니다.
1. 각 리소스 ARN에 대해 계정 소유자 ID와 리소스 ARN을 쉼표로 구분하여 입력합니다. 한 줄에 하나의 계정 소유자 ID와 리소스 ARN을 입력합니다.
1. **리소스 추가(Add resources)**를 선택합니다.
+ CSV 파일로 리소스를 추가하려면 **리소스 추가 > CSV를 업로드하여 리소스 추가**를 선택합니다.
[AWS Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html)를 사용하여 계정에서 리소스를 검색하고 CSV 파일을 내보낼 수 있습니다. 그런 다음 CSV 파일을 업로드하여 분석기가 모니터링할 리소스를 구성할 수 있습니다.
1. **파일 선택**을 선택한 후 컴퓨터에서 CSV 파일을 선택합니다.
1. **리소스 추가(Add resources)**를 선택합니다.
1. 선택 사항. 분석기에 적용할 태그를 추가합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
IAM Access Analyzer를 활성화하기 위해 내부 액세스 분석기를 생성하면 `AWSServiceRoleForAccessAnalyzer`라는 이름의 서비스 연결 역할이 계정에서 생성됩니다.
## 조직을 신뢰 영역으로 설정하여 내부 액세스 분석기 생성
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
1. **분석** 섹션에서 **리소스 분석 - 내부 액세스**를 선택합니다.
1. **분석기 상세 정보** 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.
1. 분석기의 이름을 입력합니다.
1. **전체 조직**을 분석기의 신뢰 영역으로 선택합니다.
1. **분석할 리소스** 섹션에서 모니터링할 분석기의 리소스를 추가합니다.
+ 계정에 리소스를 추가하려면 **리소스 추가 > 선택한 계정의 리소스 추가**를 선택합니다.
1. **지원되는 모든 리소스 유형**을 선택하거나 **특정 리소스 유형 정의**를 선택하고 **리소스 유형** 목록에서 리소스 유형을 선택합니다.
내부 액세스 분석기는 다음과 같은 리소스 유형을 지원합니다.
+ [Amazon Simple Storage Service 버킷](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service 디렉터리 버킷](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Database Service DB 스냅샷](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service DB 클러스터 스냅샷](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 테이블](access-analyzer-resources.md#access-analyzer-ddb-table)
1. 조직에서 계정을 선택하려면 **조직에서 선택**을 선택합니다. **계정 선택** 섹션에서 **계층 구조**를 선택하여 조직 구조별로 계정을 선택하거나 **목록**을 선택하여 조직의 모든 계정 목록에서 계정을 선택합니다.
조직의 계정을 수동으로 입력하려면 **AWS 계정 ID 입력**을 선택합니다. **AWS 계정 ID** 필드에 쉼표로 구분된 AWS 계정 ID를 하나 이상 입력합니다.
1. **리소스 추가(Add resources)**를 선택합니다.
+ Amazon 리소스 이름(ARN)으로 리소스를 추가하려면 **리소스 추가 > 리소스 ARN에 붙여넣어 리소스 추가**를 선택합니다.
**참고**
ARN이 정확히 일치해야 하며 와일드카드는 지원되지 않습니다. Amazon S3의 경우 버킷 ARN만 지원됩니다. Amazon S3 객체 ARN 및 접두사는 지원되지 않습니다.
1. 각 리소스 ARN에 대해 계정 소유자 ID와 리소스 ARN을 쉼표로 구분하여 입력합니다. 한 줄에 하나의 계정 소유자 ID와 리소스 ARN을 입력합니다.
1. **리소스 추가(Add resources)**를 선택합니다.
+ CSV 파일로 리소스를 추가하려면 **리소스 추가 > CSV를 업로드하여 리소스 추가**를 선택합니다.
[AWS Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html)를 사용하여 계정에서 리소스를 검색하고 CSV 파일을 내보낼 수 있습니다. 그런 다음 CSV 파일을 업로드하여 분석기가 모니터링할 리소스를 구성할 수 있습니다.
1. **파일 선택**을 선택한 후 컴퓨터에서 CSV 파일을 선택합니다.
1. **리소스 추가(Add resources)**를 선택합니다.
1. 선택 사항. 분석기에 적용할 태그를 추가합니다.
1. **제출**을 선택합니다.
조직을 신뢰 영역으로 설정하여 내부 액세스 분석기를 생성하면 조직의 각 계정에 `AWSServiceRoleForAccessAnalyzer`라는 이름의 서비스 연결 역할이 생성됩니다.
# IAM Access Analyzer 내부 액세스 분석기 관리
리전에서 내부 액세스 분석기를 사용 설정하려면 해당 리전에서 분석기를 생성해야 합니다. 내부 액세스 분석기는 리소스에 대한 액세스 권한을 모니터링하려는 각 리전에서 생성해야 합니다.
**참고**
분석기를 생성하거나 업데이트한 후에 조사 결과를 사용할 수 있을 때까지 시간이 걸릴 수 있습니다.
## 내부 액세스 분석기 업데이트
다음 절차에 따라 내부 액세스 분석기를 업데이트하세요.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **분석기** 섹션에서 관리할 내부 액세스 분석기의 이름을 선택합니다.
1. **아카이브 규칙** 탭에서 분석기에 대한 아카이브 규칙을 생성, 편집 또는 삭제할 수 있습니다. 자세한 내용은 [아카이브 규칙](access-analyzer-archive-rules.md) 섹션을 참조하세요.
1. **태그** 탭에서 분석기에 대한 태그를 관리하고 생성할 수 있습니다. 자세한 내용은 [AWS Identity and Access Management 리소스용 태그](id_tags.md) 섹션을 참조하세요.
1. **리소스** 탭의 **분석할 리소스** 섹션에서 **편집**을 선택합니다.
1. 계정별로 리소스를 추가하려면 **리소스 추가 > 선택한 계정의 리소스 추가**를 선택합니다.
1. **지원되는 모든 리소스 유형**을 선택하거나 **특정 리소스 유형 정의**를 선택하고 **리소스 유형** 목록에서 리소스 유형을 선택합니다.
내부 액세스 분석기는 다음과 같은 리소스 유형을 지원합니다.
+ [Amazon Simple Storage Service 버킷](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service 디렉터리 버킷](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Database Service DB 스냅샷](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service DB 클러스터 스냅샷](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 테이블](access-analyzer-resources.md#access-analyzer-ddb-table)
1. **리소스 추가(Add resources)**를 선택합니다.
1. Amazon 리소스 이름(ARN)으로 리소스를 추가하려면 **리소스 추가 > 리소스 ARN에 붙여넣어 리소스 추가**를 선택합니다.
**참고**
ARN이 정확히 일치해야 하며 와일드카드는 지원되지 않습니다. Amazon S3의 경우 버킷 ARN만 지원됩니다. Amazon S3 객체 ARN 및 접두사는 지원되지 않습니다.
1. 각 리소스 ARN에 대해 계정 소유자 ID와 리소스 ARN을 쉼표로 구분하여 입력합니다. 한 줄에 하나의 계정 소유자 ID와 리소스 ARN을 입력합니다.
1. **리소스 추가(Add resources)**를 선택합니다.
1. CSV 파일로 리소스를 추가하려면 **리소스 추가 > CSV를 업로드하여 리소스 추가**를 선택합니다.
[AWS Resource Explorer](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html)를 사용하여 계정에서 리소스를 검색하고 CSV 파일을 내보낼 수 있습니다. 그런 다음 CSV 파일을 업로드하여 분석기가 모니터링할 리소스를 구성할 수 있습니다.
1. **파일 선택**을 선택한 후 컴퓨터에서 CSV 파일을 선택합니다.
1. **리소스 추가(Add resources)**를 선택합니다.
1. 분석기에서 리소스를 제거하려면 제거할 리소스 옆의 확인란을 선택하고 **제거**를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
**참고**
분석기에 대한 모든 업데이트는 다음 자동 재스캔에서 24시간 이내에 평가됩니다.
## 내부 액세스 분석기 삭제
다음 절차에 따라 내부 액세스 분석기를 삭제하세요. 분석기를 삭제하면 리소스가 더 이상 모니터링되지 않으며 새 조사 결과도 생성되지 않습니다. 분석기에서 생성된 모든 조사 결과가 삭제됩니다.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **분석기** 섹션에서 삭제할 내부 액세스 분석기의 이름을 선택합니다.
1. **분석기 삭제**를 선택합니다.
1. **delete**를 입력하고 **삭제**를 선택하여 분석기 삭제를 확인합니다.
# IAM Access Analyzer 미사용 액세스 분석기 생성
## 현재 계정에 미사용 액세스 분석기 생성
다음 절차를 통해 단일 AWS 계정을 위한 미사용 액세스 분석기를 생성합니다. 미사용 액세스의 경우 분석기에 대한 조사 결과는 리전에 따라 변경되지 않습니다. 리소스가 있는 각 리전에 분석기를 만들 필요는 없습니다.
IAM Access Analyzer는 분석기별로 매월 분석된 IAM 역할 및 사용자 수를 기준으로 미사용 액세스 분석에 대한 요금을 부과합니다. 요금에 대한 자세한 내용은 [IAM Access Analyzer 요금](https://aws.amazon.com/iam/access-analyzer/pricing)을 참조하세요.
**참고**
분석기를 생성하거나 업데이트한 후에 조사 결과를 사용할 수 있을 때까지 시간이 걸릴 수 있습니다.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
1. **분석** 섹션에서 **위탁자 분석 - 미사용 액세스**를 선택합니다.
1. 분석기의 이름을 입력합니다.
1. **추적 기간**에 분석 일수를 입력합니다. 분석기는 선택한 계정 내에서 전체 추적 기간에 존재한 IAM 엔터티에 대한 권한만 평가합니다. 예를 들어 추적 기간을 90일로 설정하면 최소 90일이 지난 권한만 분석되고 이 기간의 사용량이 표시되지 않으면 결과가 생성됩니다. 1일\$1365일의 값을 입력할 수 있습니다.
1. **분석기 상세 정보** 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.
1. **선택한 계정**에서 **현재 계정**을 선택합니다.
**참고**
계정이 AWS Organizations 관리 계정 또는 [위임된 관리자](access-analyzer-delegated-administrator.md) 계정이 아닌 경우, 선택된 계정으로 분석기를 하나만 생성할 수 있습니다.
1. 선택 사항. **태그가 있는 IAM 사용자 및 역할 제외** 섹션에서 미사용 액세스 분석에서 제외할 IAM 사용자 및 역할에 대한 키 값 페어를 지정할 수 있습니다. 키 값 페어와 일치하는 제외된 IAM 사용자 및 역할에 대해서는 조사 결과가 생성되지 않습니다. **태그 키**에 1\$1128자 길이의 값을 입력합니다. 이때 `aws:`을 접두사로 사용하지 않습니다. **값**에 0\$1256자 길이의 값을 입력할 수 있습니다. **값**을 입력하지 않으면 지정된 **태그 키**가 있는 모든 위탁자에 규칙이 적용됩니다. 제외할 키 값 페어를 추가하려면 **새로운 제외 추가**를 선택합니다.
1. 선택 사항. 분석기에 적용할 태그를 추가합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
IAM Access Analyzer를 활성화하기 위해 미사용 액세스 분석기를 생성하면 `AWSServiceRoleForAccessAnalyzer`라는 이름의 서비스 연결 역할이 계정에서 생성됩니다.
## 현재 조직에서 미사용 액세스 분석기 생성
다음 절차를 따라 조직에서 미사용 액세스 분석기를 만들어 조직의 모든 AWS 계정을 중앙에서 검토할 수 있습니다. 미사용 액세스 분석의 경우 분석기에 대한 조사 결과는 리전에 따라 변경되지 않습니다. 리소스가 있는 각 리전에 분석기를 만들 필요는 없습니다.
IAM Access Analyzer는 분석기별로 매월 분석된 IAM 역할 및 사용자 수를 기준으로 미사용 액세스 분석에 대한 요금을 부과합니다. 요금에 대한 자세한 내용은 [IAM Access Analyzer 요금](https://aws.amazon.com/iam/access-analyzer/pricing)을 참조하세요.
**참고**
구성원 계정이 조직에서 제거되면 미사용 액세스 분석기는 24시간 후부터 새 조사 결과를 생성하지 않으며 해당 계정에 대한 기존 조사 결과 업데이트를 중단합니다. 조직에서 제거된 구성원 계정과 관련된 조사 결과는 90일 후에 영구적으로 제거됩니다.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
1. **분석** 섹션에서 **위탁자 분석 - 미사용 액세스**를 선택합니다.
1. 분석기의 이름을 입력합니다.
1. **추적 기간**에 분석 일수를 입력합니다. 분석기는 선택한 조직의 계정 내에서 전체 추적 기간에 존재한 IAM 엔터티에 대한 권한만 평가합니다. 예를 들어 추적 기간을 90일로 설정하면 최소 90일이 지난 권한만 분석되고 이 기간의 사용량이 표시되지 않으면 결과가 생성됩니다. 1일\$1365일의 값을 입력할 수 있습니다.
1. **분석기 상세 정보** 섹션에서 표시된 리전이 IAM Access Analyzer를 활성화하려는 리전인지 확인합니다.
1. **선택한 계정**에서 **현재 조직**을 선택합니다.
1. 선택 사항. **AWS 계정 분석에서 제외** 섹션에서 미사용 액세스 분석에서 제외할 조직 내 AWS 계정을 선택할 수 있습니다. 제외된 계정에 대해서는 조사 결과가 생성되지 않습니다.
1. 제외할 개별 계정 ID를 지정하려면 **AWS 계정 ID 지정**을 선택하고 **AWS 계정 ID** 필드에 계정 ID를 쉼표로 구분하여 입력합니다. **제외**를 선택합니다. 그러면 **제외할 AWS 계정** 테이블에 계정이 나열됩니다.
1. 조직의 계정 목록에서 제외할 계정을 선택하려면 **조직에서 선택**을 선택합니다.
1. **조직에서 계정 제외** 필드에서 이름, 이메일 및 계정 ID로 계정을 검색할 수 있습니다.
1. **계층 구조**를 선택하여 조직 단위별로 계정을 보거나 **목록**을 선택하여 조직의 모든 개별 계정 목록을 봅니다.
1. **모든 현재 계정 제외**를 선택하여 조직 단위의 모든 계정을 제외하거나 **제외**를 선택하여 개별 계정을 제외합니다.
그러면 **제외할 AWS 계정** 테이블에 계정이 나열됩니다.
**참고**
제외된 계정에는 조직 분석기 소유자 계정이 포함될 수 없습니다. 조직에 새 계정이 추가되면 이전에 조직 단위 내의 모든 현재 계정을 제외한 경우에도 해당 계정은 분석에서 제외되지 않습니다. 미사용 액세스 분석기를 생성한 후 계정을 제외하는 방법에 대한 자세한 내용은 [IAM Access Analyzer 미사용 액세스 분석기 관리](access-analyzer-manage-unused.md) 섹션을 참조하세요.
1. 선택 사항. **태그가 있는 IAM 사용자 및 역할 제외** 섹션에서 미사용 액세스 분석에서 제외할 IAM 사용자 및 역할에 대한 키 값 페어를 지정할 수 있습니다. 키 값 페어와 일치하는 제외된 IAM 사용자 및 역할에 대해서는 조사 결과가 생성되지 않습니다. **태그 키**에 1\$1128자 길이의 값을 입력합니다. 이때 `aws:`을 접두사로 사용하지 않습니다. **값**에 0\$1256자 길이의 값을 입력할 수 있습니다. **값**을 입력하지 않으면 지정된 **태그 키**가 있는 모든 위탁자에 규칙이 적용됩니다. 제외할 키 값 페어를 추가하려면 **새로운 제외 추가**를 선택합니다.
1. 선택 사항. 분석기에 적용할 태그를 추가합니다.
1. **Create analyzer(분석기 생성)**를 선택합니다.
IAM Access Analyzer를 활성화하기 위해 미사용 액세스 분석기를 생성하면 `AWSServiceRoleForAccessAnalyzer`라는 이름의 서비스 연결 역할이 계정에서 생성됩니다.
# IAM Access Analyzer 미사용 액세스 분석기 관리
이 주제의 정보를 사용하여 기존 미사용 액세스 분석기를 업데이트하거나 삭제하는 방법에 대해 알아봅니다.
**참고**
분석기를 생성하거나 업데이트한 후에 조사 결과를 사용할 수 있을 때까지 시간이 걸릴 수 있습니다.
## 미사용 액세스 분석기 업데이트
다음 절차를 통해 미사용 액세스 분석기를 업데이트합니다.
IAM Access Analyzer는 분석기별로 매월 분석된 IAM 역할 및 사용자 수를 기준으로 미사용 액세스 분석에 대한 요금을 부과합니다. 요금에 대한 자세한 내용은 [IAM Access Analyzer 요금](https://aws.amazon.com/iam/access-analyzer/pricing)을 참조하세요.
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)에서 IAM 콘솔을 엽니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **분석기** 섹션에서 관리할 미사용 액세스 분석기의 이름을 선택합니다.
1. 분석 범위로 조직에 대해 분석기가 생성된 경우 **제외** 탭의 **제외된 AWS 계정** 섹션에서 **관리**를 선택합니다.
1. 제외할 개별 계정 ID를 지정하려면 **AWS 계정 ID 지정**을 선택하고 **AWS 계정 ID** 필드에 계정 ID를 쉼표로 구분하여 입력합니다. **제외**를 선택합니다. 그러면 **제외할 AWS 계정** 테이블에 계정이 나열됩니다.
1. 조직의 계정 목록에서 제외할 계정을 선택하려면 **조직에서 선택**을 선택합니다.
1. **조직에서 계정 제외** 필드에서 이름, 이메일 및 계정 ID로 계정을 검색할 수 있습니다.
1. **계층 구조**를 선택하여 조직 단위별로 계정을 보거나 **목록**을 선택하여 조직의 모든 개별 계정 목록을 봅니다.
1. **모든 현재 계정 제외**를 선택하여 조직 단위의 모든 계정을 제외하거나 **제외**를 선택하여 개별 계정을 제외합니다.
그러면 **제외할 AWS 계정** 테이블에 계정이 나열됩니다.
1. 제외할 계정을 제거하려면 **제외할 AWS 계정** 테이블에서 해당 계정 옆에 있는 **제거**를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
**참고**
제외된 계정에는 조직 분석기 소유자 계정이 포함될 수 없습니다.
조직에 새 계정이 추가되면 이전에 조직 단위 내의 모든 현재 계정을 제외한 경우에도 해당 계정은 분석에서 제외되지 않습니다.
분석기의 제외 항목을 업데이트한 후 제외된 계정 목록이 업데이트되는 데 최대 2일이 걸릴 수 있습니다.
1. **제외** 탭의 **태그가 있는 제외된 IAM 사용자 및 역할** 섹션에서 **관리**를 선택합니다.
1. 미사용 액세스 분석에서 제외할 IAM 사용자 및 역할에 대한 키 값 페어를 지정할 수 있습니다. **태그 키**에 1\$1128자 길이의 값을 입력합니다. 이때 `aws:`을 접두사로 사용하지 않습니다. **값**에 0\$1256자 길이의 값을 입력할 수 있습니다. **값**을 입력하지 않으면 지정된 **태그 키**가 있는 모든 위탁자에 규칙이 적용됩니다.
1. 제외할 키 값 페어를 추가하려면 **새로운 제외 추가**를 선택합니다.
1. 제외할 키 값 페어를 제거하려면 키 값 페어 옆에 있는 **제거**를 선택합니다.
1. **변경 사항 저장**을 선택합니다.
1. **아카이브 규칙** 탭에서 분석기에 대한 아카이브 규칙을 생성, 편집 또는 삭제할 수 있습니다. 자세한 내용은 [아카이브 규칙](access-analyzer-archive-rules.md) 섹션을 참조하세요.
1. **태그** 탭에서 분석기에 대한 태그를 관리하고 생성할 수 있습니다. 자세한 내용은 [AWS Identity and Access Management 리소스용 태그](id_tags.md) 섹션을 참조하세요.
## 미사용 액세스 분석기 삭제
다음 절차를 통해 미사용 액세스 분석기를 삭제합니다. 분석기를 삭제하면 리소스가 더 이상 모니터링되지 않으며 새 조사 결과도 생성되지 않습니다. 분석기에서 생성된 모든 조사 결과가 삭제됩니다.
1. IAM 콘솔([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/))을 엽니다.
1. **액세스 분석기**에서 **미사용 액세스**를 선택합니다.
1. **분석기 액세스**에서 **분석기 설정**을 선택합니다.
1. **분석기** 섹션에서 삭제할 미사용 액세스 분석기의 이름을 선택합니다.
1. **분석기 삭제**를 선택합니다.
1. **delete**를 입력하고 **삭제**를 선택하여 분석기 삭제를 확인합니다.