本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 入門 AWS Identity and Access Management Access Analyzer
<a name="access-analyzer-getting-started"></a>

藉由此主題內的資訊，了解使用及管理 AWS Identity and Access Management Access Analyzer的必備需求。

## 使用 IAM Access Analyzer 的必要許可
<a name="access-analyzer-permissions"></a>

若要成功設定和使用 IAM Access Analyzer，您使用的帳戶必須獲得必要的許可。

### AWS IAM Access Analyzer 的 受管政策
<a name="access-analyzer-permissions-awsmanpol"></a>

AWS Identity and Access Management Access Analyzer 提供 AWS 受管政策，協助您快速入門。
+ [IAMAccessAnalyzerFullAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerFullAccess)：允許管理員完整存取 IAM Access Analyzer。此政策也允許建立服務連結的角色，這些角色允許 IAM Access Analyzer 分析您帳戶或 AWS 組織中的資源。
+ [IAMAccessAnalyzerReadOnlyAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerReadOnlyAccess)：允許對 IAM Access Analyzer 的唯讀存取權。您必須將其他政策新增到 IAM 身分 (使用者、使用者群組或角色)，以允許他們檢視其問題清單。

### IAM Access Analyzer 定義的資源
<a name="permission-resources"></a>

若要檢視 IAM Access Analyzer 定義的資源，請參閱*服務授權參考*中的 [IAM Access Analyzer 定義的資源類型](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-resources-for-iam-policies)。

### 必要的 IAM Access Analyzer 服務許可
<a name="access-analyzer-permissions-service"></a>

IAM Access Analyzer 會使用名為 `AWSServiceRoleForAccessAnalyzer` 的服務連結角色 (SLR)。此 SLR 授予服務唯讀存取權，以使用 AWS 資源型政策分析資源，並代表您分析未使用的存取權。此服務會在以下情境中為您的帳戶建立角色：
+ 您以自己的帳戶為信任區域建立外部存取權分析器。
+ 您以自己的帳戶為選定帳戶來建立未使用的存取權分析器。
+ 您以自己的帳戶為信任區域建立內部存取分析器。

如需詳細資訊，請參閱[使用 的服務連結角色 AWS Identity and Access Management Access Analyzer](access-analyzer-using-service-linked-roles.md)。

**注意**  
IAM Access Analyzer 是區域性的。針對外部和內部存取，必須在每個區域中分別啟用 IAM Access Analyzer。  
針對未使用的存取權，分析器的調查結果不會因區域而變更。不需要在每個您擁有資源的區域中都建立分析器。

某些情況下，在 IAM Access Analyzer 中建立分析器後，系統會載入**調查結果**頁面或儀表板，但不含任何調查結果或摘要。這可能是因為主控台在填入您的問題清單時出現延遲。您可能須手動重新整理瀏覽器，或稍後再回來檢視調查結果或摘要。若仍沒有看到外部存取權分析器的調查結果，是因為您的帳戶沒有外部實體可存取的支援資源。若資源套用的政策會將存取權授與外部實體，則 IAM Access Analyzer 會產生問題清單。

**注意**  
對於外部存取分析器，在修改政策後，IAM Access Analyzer 最多可能需要 30 分鐘才能分析資源並產生新的調查結果，或更新資源存取的現有調查結果。  
建立內部存取分析器後，可能需要幾分鐘或幾小時才能取得調查結果。初次掃描後，IAM Access Analyzer 會每 24 小時自動重新掃描所有政策。  
對於所有類型的存取分析器，調查結果的更新內容可能不會立即反映在儀表板中。

### 檢視調查結果儀表板所需的 IAM Access Analyzer 許可
<a name="access-analyzer-permissions-dashboard"></a>

若要檢視 [IAM Access Analyzer 調查結果儀告板](access-analyzer-dashboard.md)，您使用的帳戶必須擁有存取權，才能執行以下必要動作：
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html)

若要檢視 IAM Access Analyzer 定義的所有動作，請參閱*服務授權參考*中的 [IAM Access Analyzer 定義的動作](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-actions-as-permissions)。

## IAM Access Analyzer 狀態
<a name="access-analyzer-status"></a>

若要檢視分析器的狀態，請選擇 **Analyzers (分析器)**。為組織或帳戶建立的分析器可能具備下列狀態：


| 狀態 | 描述 | 
| --- | --- | 
|  作用中  |  對於外部和內部存取分析器，分析器會主動監控信任區域內的資源。分析器會主動產生新的問題清單，並更新現有的問題清單。 對於未使用的存取分析器，分析器會主動監控所選組織或 AWS 帳戶 指定追蹤期間內未使用的存取。分析器會主動產生新的問題清單，並更新現有的問題清單。  | 
|  正在建立  |  分析器仍在建立中。建立完成後，分析器就會變成作用中狀態。  | 
|  已停用  |  由於 AWS Organizations 管理員採取的動作，分析器已停用。例如，移除身分為 IAM Access Analyzer 委派管理員的分析器帳戶。當分析器處於停用狀態時，不會產生新的調查結果或更新現有的調查結果。  | 
|  失敗  |  由於組態發生問題，分析器建立失敗。分析器不會產生任何問題清單。請刪除該分析器並建立新的分析器。  |