# AWS Identity and Access Management Access Analyzer 入门
通过本主题中的信息了解使用和管理 AWS Identity and Access Management Access Analyzer 的要求。
## 使用 IAM Access Analyzer 所需的权限
要成功配置和使用 IAM Access Analyzer,您使用的账户必须获得所需的权限。
### IAM Access Analyzer 的 AWS 托管策略
AWS Identity and Access Management Access Analyzer 提供 AWS 托管策略,可帮助您快速入门。
+ [IAMAccessAnalyzerFullAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerFullAccess):允许管理员完全访问 IAM Access Analyzer。此策略还允许创建与服务关联的角色,以便允许 IAM Access Analyzer 分析您的账户或 AWS 企业。
+ [IAMAccessAnalyzerReadOnlyAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerReadOnlyAccess):允许只读访问 IAM Access Analyzer。您必须将其他策略添加到 IAM 身份(用户、用户组或角色),以允许他们查看他们的发现结果。
### IAM Access Analyzer 定义的资源
要查看 IAM Access Analyzer 定义的资源,请参阅《服务授权参考》**中的 [IAM Access Analyzer 定义的资源类型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-resources-for-iam-policies)。
### 所需的 IAM Access Analyzer 服务权限
IAM Access Analyzer 使用名为 `AWSServiceRoleForAccessAnalyzer` 的服务相关角色(SLR)。此 SLR 授予服务只读访问权限,以使用基于资源的策略分析 AWS 资源,并代表您分析未使用的访问。在以下情况下,服务会在您的账户中创建角色:
+ 您可以创建一个外部访问分析器,将您的账户作为信任区域。
+ 还可以创建一个未使用的访问分析器,将您的账户作为选定账户。
+ 您可以创建一个以您的账户作为信任区域的内部访问分析器。
有关更多信息,请参阅 [将服务关联角色用于 AWS Identity and Access Management Access Analyzer](access-analyzer-using-service-linked-roles.md)。
**注意**
IAM Access Analyzer 是区域性的。对于外部和内部访问,您必须在每个区域单独启用 IAM Access Analyzer。
对于未使用的访问,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。
在某些情况下,在 IAM Access Analyzer 中创建分析器后,加载的**调查发现**页面或控制面板没有调查发现或摘要。此情况可能是因用于填充结果的控制台中出现延迟导致的。您可能需要手动刷新浏览器,或稍后返回查看您的调查发现或摘要。如果您仍然没有看到外部访问分析器的任何调查发现,这是因为您的账户中没有可供外部实体访问的受支持资源。如果将向外部实体授予访问权限的策略应用于资源,则 IAM Access Analyzer 会生成结果。
**注意**
对于外部访问分析器,修改策略后,IAM Access Analyzer 可能需要长达 30 分钟的时间来分析资源,然后生成新的调查发现或更新现有的资源访问调查发现。
当您创建内部访问分析器时,可能需要几分钟或几小时才能获得调查发现。初始扫描后,IAM Access Analyzer 每 24 小时自动重新扫描所有策略。
对于所有类型的访问分析器,调查发现的更新可能不会立即反映在控制面板中。
### 查看调查发现控制面板所需的 IAM Access Analyzer 权限
要查看 [IAM Access Analyzer 调查发现控制面板](access-analyzer-dashboard.md),必须授予您使用的账户访问权限,以执行以下所需的操作:
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html)
查看 IAM Access Analyzer 定义的所有操作,请参阅《服务授权参考》**中的 [IAM Access Analyzer 定义的操作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-actions-as-permissions)。
## IAM Access Analyzer 状态
要查看分析器的状态,请选择 **Analyzers (分析器)**。为组织或账户创建的分析器可具有以下状态:
| Status | 说明 |
| --- | --- |
| 活跃 | 对于外部和内部访问分析器,分析器将主动监控其信任区域内的资源。分析器会主动生成新的结果并更新现有结果。 对于未使用的访问分析器,分析器将主动监控选定组织或 AWS 账户 在指定跟踪期限内的未使用访问。分析器会主动生成新的结果并更新现有结果。 |
| Creating | 分析器的创建过程仍在进行中。在创建过程完成后,分析器将变为活动状态。 |
| 已禁用 | 分析器因 AWS Organizations 管理员执行的操作而被禁用。例如,删除作为 IAM Access Analyzer 的委派管理员的分析器的账户。当分析器处于禁用状态时,不会生成新的调查发现或更新现有调查发现。 |
| 失败 | 由于配置问题,分析器创建失败。分析器将不会生成任何结果。删除该分析器并创建新的分析器。 |
# 创建 IAM Access Analyzer 外部访问分析器
要在某个区域启用外部访问分析器,必须在该区域创建一个分析器。您必须在要监控资源访问的每个区域中创建一个外部访问分析器。
**注意**
创建或更新分析器后,可能需要一些时间才能获得调查发现。
## 将 AWS 账户作为信任区域创建一个外部访问分析器
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 选择 **Create analyzer (创建分析器)**。
1. 在**分析**部分,选择**资源分析 - 外部访问**。
1. 在**分析器详细信息**部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
1. 输入分析器的名称。
1. 选择**当前账户**作为分析器的信任区域。
**注意**
如果您的账户不是 AWS Organizations 管理账户或[委托管理员](access-analyzer-delegated-administrator.md)账户,则您只能创建一个将您的账户作为信任区域的分析器。
1. 可选。添加要应用于分析器的所有标签。
1. 选择 **Create analyzer (创建分析器)**。
创建外部访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 `AWSServiceRoleForAccessAnalyzer` 的服务相关角色。
## 将组织作为信任区域创建一个外部访问分析器
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 选择 **Create analyzer (创建分析器)**。
1. 在**分析**部分,选择**资源分析 - 外部访问**。
1. 在**分析器详细信息**部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
1. 输入分析器的名称。
1. 选择**当前组织**作为分析器的信任区域。
1. 可选。添加要应用于分析器的所有标签。
1. 选择**提交**。
创建以组织作为信任区域的外部访问分析器时,系统会在组织的每个账户中创建一个名为 `AWSServiceRoleForAccessAnalyzer` 的服务相关角色。
# 管理 IAM Access Analyzer 外部访问分析器
要在某个区域启用外部访问分析器,必须在该区域创建一个分析器。您必须在要监控资源访问的每个区域中创建一个外部访问分析器。
**注意**
创建或更新分析器后,可能需要一些时间才能获得调查发现。
## 更新外部访问分析器
按照以下过程更新外部访问分析器。
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 在**分析器**部分,选择要管理的外部访问分析器的名称。
1. 在**存档规则**选项卡上,您可以为分析器创建、编辑或删除存档规则。有关更多信息,请参阅 [存档规则](access-analyzer-archive-rules.md)。
1. 在**标签**选项卡上,您可以为分析器管理和创建标签。有关更多信息,请参阅 [AWS Identity and Access Management 资源的标签](id_tags.md)。
## 删除外部访问分析器
按照以下过程删除外部访问分析器。删除分析器后,将不再监控资源,也不会生成新的调查发现。分析器生成的所有调查发现都将被删除。
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 在**分析器**部分,选择要删除的外部访问分析器的名称。
1. 选择**删除分析器**。
1. 输入 **delete** 并选择**删除**以确认删除分析器。
# 创建 IAM Access Analyzer 内部访问分析器
要在某个区域启用内部访问分析器,必须在该区域创建一个分析器。您必须在要监控资源访问的每个区域中创建一个内部访问分析器。
IAM Access Analyzer 根据每个分析器每月监控的资源数量对内部访问分析收费。有关定价的更多详细信息,请参阅 [IAM Access Analyzer 定价](https://aws.amazon.com/iam/access-analyzer/pricing)。
**注意**
创建或更新分析器后,可能需要一些时间才能获得调查发现。
IAM Access Analyzer 无法为包含超过 70,000 个主体(IAM 用户和角色合并)的组织生成内部访问调查发现。
您只能在 AWS 组织中创建一个组织级别内部访问分析器。
## 创建以 AWS 账户作为信任区域的内部访问分析器
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 选择 **Create analyzer (创建分析器)**。
1. 在**分析**部分,选择**资源分析 - 内部访问**。
1. 在**分析器详细信息**部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
1. 输入分析器的名称。
1. 选择**当前账户**作为分析器的信任区域。
**注意**
如果您的账户不是 AWS Organizations 管理账户或[委托管理员](access-analyzer-delegated-administrator.md)账户,则您只能创建一个将您的账户作为信任区域的分析器。
1. 在**要分析的资源**部分,添加分析器要监控的资源。
+ 要按账户添加资源,请选择**添加 > 添加选定账户中的资源**。
1. 选择**所有支持的资源类型**,或者选择**定义特定的资源类型**,然后从**资源类型**列表中选择资源类型。
内部访问分析器支持以下资源类型:
+ [Amazon Simple Storage Service 存储桶](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service 目录存储桶](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Database Service 数据库快照](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service 数据库集群快照](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 表](access-analyzer-resources.md#access-analyzer-ddb-table)
1. 选择**添加资源**。
+ 要按 Amazon 资源名称 (ARN) 添加资源,请选择**添加资源 > 通过粘贴资源 ARN 来添加资源**。
**注意**
ARN 必须完全匹配 - 不支持通配符。对于 Amazon S3,仅支持存储桶 ARN。不支持 Amazon S3 对象 ARN 和前缀。
1. 对于每个资源 ARN,输入账户所有者 ID 和资源 ARN(以逗号分隔)。每行输入一个账户所有者 ID 和资源 ARN。
1. 选择**添加资源**。
+ 要通过 CSV 文件添加资源,请选择**添加资源 > 通过上传 CSV 添加资源**。
您可以使用 [AWS 资源探索器](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) 搜索您账户中的资源并导出 CSV 文件。然后,您可以上传 CSV 文件来配置分析器要监控的资源。
1. 选择**选择文件**,然后从您的计算机中选择 CSV 文件。
1. 选择**添加资源**。
1. 可选。添加要应用于分析器的所有标签。
1. 选择 **Create analyzer (创建分析器)**。
创建内部访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建名为 `AWSServiceRoleForAccessAnalyzer` 的服务相关角色。
## 创建以组织作为信任区域的内部访问分析器
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 选择 **Create analyzer (创建分析器)**。
1. 在**分析**部分,选择**资源分析 - 内部访问**。
1. 在**分析器详细信息**部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
1. 输入分析器的名称。
1. 选择**整个组织**作为分析器的信任区域。
1. 在**要分析的资源**部分,添加分析器要监控的资源。
+ 要为账户添加资源,请选择**添加资源 > 添加选定账户中的资源**。
1. 选择**所有支持的资源类型**,或者选择**定义特定的资源类型**,然后从**资源类型**列表中选择资源类型。
内部访问分析器支持以下资源类型:
+ [Amazon Simple Storage Service 存储桶](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service 目录存储桶](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Database Service 数据库快照](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service 数据库集群快照](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 表](access-analyzer-resources.md#access-analyzer-ddb-table)
1. 要从您的组织选择账户,请选择**从组织中选择**。在**选择账户**部分,选择**层次结构**以按组织结构选择账户,或选择**列表**以从您的组织中所有账户的列表中选择账户。
要手动输入组织中的账户,请选择**输入 AWS 账户 ID**。在 **AWS 账户 IDAWS 账户 字段中输入一个或多个 ** ID(用逗号分隔)。
1. 选择**添加资源**。
+ 要按 Amazon 资源名称 (ARN) 添加资源,请选择**添加资源 > 通过粘贴资源 ARN 来添加资源**。
**注意**
ARN 必须完全匹配 - 不支持通配符。对于 Amazon S3,仅支持存储桶 ARN。不支持 Amazon S3 对象 ARN 和前缀。
1. 对于每个资源 ARN,输入账户所有者 ID 和资源 ARN(以逗号分隔)。每行输入一个账户所有者 ID 和资源 ARN。
1. 选择**添加资源**。
+ 要通过 CSV 文件添加资源,请选择**添加资源 > 通过上传 CSV 添加资源**。
您可以使用 [AWS 资源探索器](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) 搜索您账户中的资源并导出 CSV 文件。然后,您可以上传 CSV 文件来配置分析器要监控的资源。
1. 选择**选择文件**,然后从您的计算机中选择 CSV 文件。
1. 选择**添加资源**。
1. 可选。添加要应用于分析器的所有标签。
1. 选择**提交**。
在创建以组织作为信任区域的内部访问分析器时,系统会在组织的每个账户中创建名为 `AWSServiceRoleForAccessAnalyzer` 的服务相关角色。
# 管理 IAM Access Analyzer 内部访问分析器
要在某个区域启用内部访问分析器,必须在该区域创建一个分析器。您必须在要监控资源访问的每个区域中创建一个内部访问分析器。
**注意**
创建或更新分析器后,可能需要一些时间才能获得调查发现。
## 更新内部访问分析器
按照以下过程更新内部访问分析器。
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 在**分析器**部分中,选择要管理的内部访问分析器的名称。
1. 在**存档规则**选项卡上,您可以为分析器创建、编辑或删除存档规则。有关更多信息,请参阅 [存档规则](access-analyzer-archive-rules.md)。
1. 在**标签**选项卡上,您可以为分析器管理和创建标签。有关更多信息,请参阅 [AWS Identity and Access Management 资源的标签](id_tags.md)。
1. 在**资源**选项卡上,在**要分析的资源**部分中选择**编辑**。
1. 要按账户添加资源,请选择**添加资源 > 添加选定账户中的资源**。
1. 选择**所有支持的资源类型**,或者选择**定义特定的资源类型**,然后从**资源类型**列表中选择资源类型。
内部访问分析器支持以下资源类型:
+ [Amazon Simple Storage Service 存储桶](access-analyzer-resources.md#access-analyzer-s3)
+ [Amazon Simple Storage Service 目录存储桶](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Amazon Relational Database Service 数据库快照](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Amazon Relational Database Service 数据库集群快照](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Amazon DynamoDB 表](access-analyzer-resources.md#access-analyzer-ddb-table)
1. 选择**添加资源**。
1. 要按 Amazon 资源名称 (ARN) 添加资源,请选择**添加资源 > 通过粘贴资源 ARN 来添加资源**。
**注意**
ARN 必须完全匹配 - 不支持通配符。对于 Amazon S3,仅支持存储桶 ARN。不支持 Amazon S3 对象 ARN 和前缀。
1. 对于每个资源 ARN,输入账户所有者 ID 和资源 ARN(以逗号分隔)。每行输入一个账户所有者 ID 和资源 ARN。
1. 选择**添加资源**。
1. 要通过 CSV 文件添加资源,请选择**添加资源 > 通过上传 CSV 添加资源**。
您可以使用 [AWS 资源探索器](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) 搜索您账户中的资源并导出 CSV 文件。然后,您可以上传 CSV 文件来配置分析器要监控的资源。
1. 选择**选择文件**,然后从您的计算机中选择 CSV 文件。
1. 选择**添加资源**。
1. 要从分析器中删除资源,请选中要删除的资源旁边的复选框,然后选择**删除**。
1. 选择**保存更改**。
**注意**
分析器的任何更新都将在 24 小时内的下一次自动重新扫描中进行评估。
## 删除内部访问分析器
按照以下过程删除内部访问分析器。删除分析器后,将不再监控资源,也不会生成新的调查发现。分析器生成的所有调查发现都将被删除。
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 在**分析器**部分中,选择要删除的内部访问分析器的名称。
1. 选择**删除分析器**。
1. 输入 **delete** 并选择**删除**以确认删除分析器。
# 创建 IAM Access Analyzer 未使用的访问分析器
## 为当前账户创建未使用的访问分析器
使用以下过程为单个 AWS 账户 创建未使用的访问分析器。对于未使用的访问,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。
IAM Access Analyzer 根据每个分析器每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 [IAM Access Analyzer 定价](https://aws.amazon.com/iam/access-analyzer/pricing)。
**注意**
创建或更新分析器后,可能需要一些时间才能获得调查发现。
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 选择 **Create analyzer (创建分析器)**。
1. 在**分析**部分,选择**主体分析 - 未使用的访问**。
1. 输入分析器的名称。
1. 对于**跟踪周期**,输入分析的天数。分析器将仅评估选定账户内整个跟踪周期存在的 IAM 实体的权限。例如,如果将跟踪周期设置为 90 天,则只会分析至少 90 天的权限,如果在此期间未显示任何使用情况,则会生成调查发现。您可以输入 1 至 365 天之间的值。
1. 在**分析器详细信息**部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
1. 对于**选定账户**,选择**当前账户**。
**注意**
如果您的账户不是 AWS Organizations 管理账户或[委派管理员](access-analyzer-delegated-administrator.md)账户,则只能创建一个将您的账户作为信任区域的分析器。
1. 可选。在**排除带有标签的 IAM 用户和角色**部分中,您可以为 IAM 用户和角色指定键值对,以从未使用的访问分析中排除。不会为与键值对匹配的已排除 IAM 用户和角色生成调查发现。为**标签键**输入长度为 1 到 128 个字符并且不以 `aws:` 为前缀的值。对于**值**,您可以输入长度为 0 到 256 个字符的值。如果您未输入**值**,则规则将应用于具有指定的**标签键**的所有主体。选择**添加新的排除项**以添加要排除的其他键值对。
1. 可选。添加要应用于分析器的所有标签。
1. 选择 **Create analyzer (创建分析器)**。
创建未使用的访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 `AWSServiceRoleForAccessAnalyzer` 的服务相关角色。
## 使用当前组织创建未使用的访问分析器
使用以下过程为组织创建一个未使用的访问分析器,以集中查看组织中的所有 AWS 账户。对于未使用的访问分析,分析器的调查发现不会因区域而变化。不需要在您拥有资源的每个区域创建分析器。
IAM Access Analyzer 根据每个分析器每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 [IAM Access Analyzer 定价](https://aws.amazon.com/iam/access-analyzer/pricing)。
**注意**
如果成员账户从组织中删除,未使用的访问分析器将在 24 小时后停止为该账户生成新的调查发现和更新现有调查发现。与从组织中删除的成员账户关联的调查发现将在 90 天后永久删除。
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 选择 **Create analyzer (创建分析器)**。
1. 在**分析**部分,选择**主体分析 - 未使用的访问**。
1. 输入分析器的名称。
1. 对于**跟踪周期**,输入分析的天数。分析器将仅评估选定组织的账户内整个跟踪周期存在的 IAM 实体的权限。例如,如果将跟踪周期设置为 90 天,则只会分析至少 90 天的权限,如果在此期间未显示任何使用情况,则会生成调查发现。您可以输入 1 至 365 天之间的值。
1. 在**分析器详细信息**部分,确认显示的区域是您要启用 IAM Access Analyzer 的区域。
1. 对于**选定账户**,选择**当前组织**。
1. 可选。在**从分析中排除 AWS 账户**部分中,您可以在组织中选择 AWS 账户,以从未使用的访问分析中排除。不会为排除的账户生成调查发现。
1. 若要指定要排除的个人账户 ID,请选择**指定 AWS 账户 ID**,然后在 **AWS 账户 ID** 字段中输入用逗号分隔的账户 ID。选择**排除**。然后,这些账户将列在**要排除的 AWS 账户**表中。
1. 要从您的组织的账户列表中选择要排除的账户,请选择**从组织中选择**。
1. 您可以在**从组织中排除账户**字段中按名称、电子邮件和账户 ID 搜索账户。
1. 选择**层级**以按组织单位查看您的账户,或选择**列表**以查看组织中所有个人账户的列表。
1. 选择**排除所有当前账户**以排除组织单位中的所有账户,或者选择**排除**以排除个人账户。
然后,这些账户将列在**要排除的 AWS 账户**表中。
**注意**
排除的账户不能包含组织分析器的所有者账户。向您的组织添加新账户后,它们不会被排除在分析范围之外,即使您之前已排除某个组织单位内的所有当前账户。有关创建未使用的访问分析器后排除账户的更多信息,请参阅[管理 IAM Access Analyzer 未使用的访问分析器](access-analyzer-manage-unused.md)。
1. 可选。在**排除带有标签的 IAM 用户和角色**部分中,您可以为 IAM 用户和角色指定键值对,以从未使用的访问分析中排除。不会为与键值对匹配的已排除 IAM 用户和角色生成调查发现。为**标签键**输入长度为 1 到 128 个字符并且不以 `aws:` 为前缀的值。对于**值**,您可以输入长度为 0 到 256 个字符的值。如果您未输入**值**,则规则将应用于具有指定的**标签键**的所有主体。选择**添加新的排除项**以添加要排除的其他键值对。
1. 可选。添加要应用于分析器的所有标签。
1. 选择 **Create analyzer (创建分析器)**。
创建未使用的访问分析器以启用 IAM Access Analyzer 时,系统会在账户中创建一个名为 `AWSServiceRoleForAccessAnalyzer` 的服务相关角色。
# 管理 IAM Access Analyzer 未使用的访问分析器
使用本主题中的信息了解如何更新或删除现有的未使用访问分析器。
**注意**
创建或更新分析器后,可能需要一些时间才能获得调查发现。
## 更新未使用的访问分析器
按照以下过程更新未使用的访问分析器。
IAM Access Analyzer 根据每个分析器每月分析的 IAM 角色和用户数量对未使用的访问分析收费。有关定价的更多详细信息,请参阅 [IAM Access Analyzer 定价](https://aws.amazon.com/iam/access-analyzer/pricing)。
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**分析器设置**。
1. 在**分析器**部分中,选择要管理的未使用访问分析器的名称。
1. 如果分析器是为组织创建的,则在**排除项**选项卡上的**已排除的 AWS 账户**部分中选择**管理**。
1. 若要指定要排除的个人账户 ID,请选择**指定 AWS 账户 ID**,然后在 **AWS 账户 ID** 字段中输入用逗号分隔的账户 ID。选择**排除**。然后,这些账户将列在**要排除的 AWS 账户**表中。
1. 要从您的组织的账户列表中选择要排除的账户,请选择**从组织中选择**。
1. 您可以在**从组织中排除账户**字段中按名称、电子邮件和账户 ID 搜索账户。
1. 选择**层级**以按组织单位查看您的账户,或选择**列表**以查看组织中所有个人账户的列表。
1. 选择**排除所有当前账户**以排除组织单位中的所有账户,或者选择**排除**以排除个人账户。
然后,这些账户将列在**要排除的 AWS 账户**表中。
1. 若要移除要排除的账户,请选择要**排除的 AWS 账户**表中的账户旁的**移除**。
1. 选择**保存更改**。
**注意**
排除的账户不能包含组织分析器的所有者账户。
向您的组织添加新账户后,它们不会被排除在分析范围之外,即使您之前已排除某个组织单位内的所有当前账户。
更新分析器的排除项后,被排除的账户列表最多可能需要两天才能更新。
1. 在**排除项**选项卡上,在**带标签的已排除 IAM 用户和角色**部分中选择**管理**。
1. 您可以为 IAM 用户和角色指定键值对,以从未使用的访问分析中排除。为**标签键**输入长度为 1 到 128 个字符并且不以 `aws:` 为前缀的值。对于**值**,您可以输入长度为 0 到 256 个字符的值。如果您未输入**值**,则规则将应用于具有指定的**标签键**的所有主体。
1. 选择**添加新的排除项**以添加要排除的其他键值对。
1. 若要移除要排除的键值对,请选择键值对旁的**移除**。
1. 选择**保存更改**。
1. 在**存档规则**选项卡上,您可以为分析器创建、编辑或删除存档规则。有关更多信息,请参阅 [存档规则](access-analyzer-archive-rules.md)。
1. 在**标签**选项卡上,您可以为分析器管理和创建标签。有关更多信息,请参阅 [AWS Identity and Access Management 资源的标签](id_tags.md)。
## 删除未使用的访问分析器
按照以下过程删除未使用的访问分析器。删除分析器后,将不再监控资源,也不会生成新的调查发现。分析器生成的所有调查发现都将被删除。
1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。
1. 在**访问分析器**下,选择**未使用的访问**。
1. 在**访问分析器**下,选择**分析器设置**。
1. 在**分析器**部分中,选择要删除的未使用访问分析器的名称。
1. 选择**删除分析器**。
1. 输入 **delete** 并选择**删除**以确认删除分析器。