# IAM Access Analyzer 的委托管理员。
<a name="access-analyzer-delegated-administrator"></a>

如果您在 AWS Organizations 管理账户中配置 AWS Identity and Access Management Access Analyzer，则可以在企业中添加成员账户作为委托管理员来管理企业的 IAM Access Analyzer。委派管理员有权在组织内创建和管理分析器。只有管理账户才能添加委派管理员。

IAM Access Analyzer 委派管理员是组织内的成员账户，拥有创建和管理分析器的权限，这些分析器用于分析整个组织的访问。只有管理账户才能添加、删除或更改委托管理员。

如果您添加了委派管理员，则可稍后更改为委派管理员的其他账户。执行此操作时，以前的委派管理员账户将失去对使用该账户创建的所有分析器的权限，这些分析器用于分析整个组织的访问。这些分析器将变为禁用状态，并且不再生成新的结果或更新现有结果。这些分析器的现有结果也不再可供访问。您可在以后通过将账户配置为委派管理员来再次访问它们。如果您知道您不会使用与委派管理员相同的账户，请考虑在更改委派管理员之前删除分析器。这将删除生成的所有结果。当新的委派管理员创建新分析器时，会生成相同结果的新实例。您不会丢失任何结果，只是会在其他账户中为新分析器生成结果。您可以继续使用企业管理账户（也具有管理员权限）访问企业的结果。新的委托管理员必须为 IAM Access Analyzer 创建新的分析器，以便它开始监控企业中的资源。

如果委托管理员离开 AWS 组织，则将从账户中删除委托管理权限。账户中所有将组织作为信任区域的分析器都将变为禁用状态。这些分析器的现有结果也不再可供访问。

首次在管理账户中配置分析器时，可以在 IAM Access Analyzer 控制台的**分析器设置**页面上选择**添加委派管理员**。

**注意**  
IAM Access Analyzer 根据每月每个分析器分析的 IAM 角色和用户数量对未使用的访问分析器收费。如果您在管理账户和委派管理员账户中创建了未使用的访问分析器，则要为这两个未使用的访问分析器付费。有关定价的更多详细信息，请参阅 [IAM Access Analyzer 定价](https://aws.amazon.com/iam/access-analyzer/pricing)。

更改委派管理员后，新管理员必须创建分析器才能开始监控对组织中资源的访问。

# 添加 IAM Access Analyzer 的委托管理员
<a name="access-analyzer-delegated-administrator-add"></a>

如果您在 AWS Organizations 管理账户中配置 AWS Identity and Access Management Access Analyzer，则可以在企业中添加成员账户作为委托管理员来管理企业的 IAM Access Analyzer。委派管理员有权在组织内创建和管理分析器。只有管理账户才能添加委派管理员。

**使用控制台添加委派管理员**

1. 使用企业的管理账户登录 AWS 控制台。

1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在**访问分析器**下，选择**分析器设置**。

1. 选择 **Add delegated administrator (添加委派管理员)**。

1. 在**委派管理员**字段中，输入组织成员账户的 AWS 账户 号，使其成为委派管理员。

   该账户必须是您组织的成员。

1. 选择**保存更改**。

**使用 AWS CLI 或 AWS 开发工具包添加委托管理员**

当您使用 AWS CLI、AWS API（使用 AWS SDK）或 CloudFormation 在委派管理员账户中创建将分析器以分析整个组织的访问时，必须使用 AWS Organizations API 为 IAM Access Analyzer 启用服务访问，并将成员账户注册为委派管理员。

1. 在 AWS Organizations 中为 IAM Access Analyzer 启用受信任的服务访问。请参阅《AWS Organizations 用户指南》中的[如何启用或禁用可信访问](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。

1. 使用 AWS Organizations [https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) API 操作或 `register-delegated-administrator` AWS CLI 命令将 AWS 企业的有效成员账户注册为委托管理员。