本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# IAM Access Analyzer 的委派管理員
<a name="access-analyzer-delegated-administrator"></a>

如果您在 AWS Identity and Access Management Access Analyzer AWS Organizations 管理帳戶中設定 ，您可以將組織中的成員帳戶新增為委派管理員，以管理組織的 IAM Access Analyzer。委派管理員擁有許可，有權建立及管理以組織做為信任區域的分析器。只有管理帳戶可以新增委派管理員。

IAM Access Analyzer 的委派管理員是組織內擁有許可的成員帳戶，有權建立及管理為整個組織分析存取權的分析器。只有管理帳戶可以新增、移除或變更委派管理員。

如果您新增委派管理員，您可以在稍後將委派管理員變更為不同帳戶。當您這麼做時，先前的委派管理員帳戶會失去許可，無法再管理使用該帳戶建立來為整個組織分析存取權的所有分析器。這類分析器會進入已停用狀態，且不會再產生新的問題清單或更新現有的問題清單。您也無法無法再存取這類分析器的現有問題清單。您未來可透過將該帳戶配置為委派管理員，而再次存取那些問題清單。如果您知道您不會使用該相同的帳戶作為委派管理員，請考慮在變更委派管理員之前刪除分析器。這會刪除所有產生的問題清單。當新的委派管理員建立新的分析器時，則會產生相同問題清單的新執行個體。你不會遺失任何問題清單，它們只是在不同的帳戶中為新的分析器而產生。而且您可以使用組織管理帳戶 (該帳戶也具有管理員許可) 繼續存取組織的問題清單。新委派的管理員必須為 IAM Access Analyzer 建立新的分析器，才能開始在組織中監控資源。

如果委派管理員離開 AWS 組織，委派的管理權限會從帳戶中移除。帳戶中所有以組織做為信任區域的分析器都會進入已停用狀態，您也無法無法再存取這類分析器的現有問題清單。

第一次在管理帳戶中設定分析器時，您可以在 IAM Access Analyzer 主控台的**分析器設定**頁面中，選擇**新增委派管理員**。

**注意**  
IAM Access Analyzer 會根據每月每個分析器所分析的 IAM 角色和使用者數量，收取未使用的存取權分析器費用。如果您在管理帳戶和委派管理員帳戶中都建立了未使用的存取權分析器，將需支付兩個未使用的存取權分析器的費用。如需定價的詳細資訊，請參閱 [IAM Access Analyzer 定價](https://aws.amazon.com/iam/access-analyzer/pricing)。

變更委派管理員後，新的管理員必須建立分析器，以開始在組織中監控資源的存取權。

# 新增 IAM Access Analyzer 的委派管理員
<a name="access-analyzer-delegated-administrator-add"></a>

如果您在 AWS Identity and Access Management Access Analyzer AWS Organizations 管理帳戶中設定 ，您可以將組織中的成員帳戶新增為委派管理員，以管理組織的 IAM Access Analyzer。委派管理員擁有許可，有權建立及管理以組織做為信任區域的分析器。只有管理帳戶可以新增委派管理員。

**使用主控台新增委派管理員**

1. 使用組織的管理帳戶登入 AWS 主控台。

1. 前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在 **Access Analyzer** 下，選擇**分析器設定**。

1. 選擇 **Add delegated administrator (新增委派管理員)**。

1. 在**委派管理員**欄位中，輸入組織成員帳戶的 AWS 帳戶 號碼以設為委派管理員。

   此帳戶必須是您組織的成員。

1. 選擇**儲存變更**。

**使用 AWS CLI 或 AWS SDKs 新增委派管理員**

當您使用 AWS CLI、 AWS API （使用 AWS SDKs) 或 建立分析器來分析委派管理員帳戶中整個組織的存取權時 CloudFormation，您必須使用 AWS Organizations APIs來啟用 IAM Access Analyzer 的服務存取權，並將成員帳戶註冊為委派管理員。

1. 在 中啟用 IAM Access Analyzer 的受信任服務存取 AWS Organizations。請參閱 AWS Organizations 《 使用者指南》中的[如何啟用或停用受信任存取](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html)。

1. 使用 API 操作或 `register-delegated-administrator` AWS CLI 命令，將 AWS AWS Organizations [https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html)組織的有效成員帳戶註冊為委派管理員。