创建未使用的访问分析器

约束与限制

• 当前组织级分析器仅支持由组织管理员或者组织管理员设置的委托管理员创建。
• “跟踪周期”设置值大于7天时，未使用权限的跟踪周期仅支持最多7天。当设置值小于或等于7天时，则以实际输入的跟踪周期天数为准。未使用的访问分析器分析IAM用户密码、访问密钥、委托以及信任委托时无此限制。

创建账号分析器

1. 登录统一身份认证服务新版控制台。
2. 在统一身份认证服务的左侧导航窗格中，选择“访问分析 > 分析器设置”，单击上方的“创建访问分析器”。
   图1 创建访问分析器
   

3. 在创建访问分析器页面，“分析器类型”选择“未使用的访问分析”。
   图2 选择未使用的访问分析
   

4. 设置“分析器名称”。
   图3 设置分析器名称
   

5. 输入“跟踪周期”的天数。指定跟踪周期的天数。对于超过指定天数未使用的IAM用户密码和密钥等，将生成访问分析结果。可以输入1到180之间的整数。
6. 配置信任范围，分析器将会分析信任区域中支持分析的所有资源类型。可以选择“当前账号”。
7. （可选）如果不想为部分IAM用户和信任委托生成分析结果，您可以通过标签来排除IAM用户和信任委托。
   

   • 如果“信任范围”是“当前账号”，可以排除带有标签的IAM用户和信任委托。
   • 如果您未指定值，则具有指定标签键的所有IAM用户和信任委托都将被排除在未使用的访问分析之外。

8. （可选）为分析器添加标签。单击“添加标签”，输入标签键和标签值。
9. （可选）单击“查看权限信息”。了解创建组织分析器时需要同步创建的服务关联委托内容。

   创建组织分析器时，IAM访问分析器将在Organizations开启可信服务。此外，还将在组织中的所有账号中创建服务关联委托，服务关联委托将授予IAM访问分析器代表您与资源交互的权限。

   图4 服务关联委托信息
   

10. 单击“确定”，完成分析器创建。在列表中可以看到创建成功的分析器。

创建组织分析器

1. 登录统一身份认证服务新版控制台。
2. 在统一身份认证服务的左侧导航窗格中，选择“访问分析 > 分析器设置”，单击上方的“创建访问分析器”。
   图5 创建访问分析器
   

3. 在创建访问分析器页面，“分析器类型”选择“未使用的访问分析”。
   图6 选择未使用的访问分析
   

4. 设置“分析器名称”。
   图7 设置分析器名称
   

5. 输入“跟踪周期”的天数。指定跟踪周期的天数。对于超过指定天数未使用的IAM用户密码和密钥等，将生成访问分析结果。

   默认值为90天，可以输入1到180之间的整数。

6. 配置信任范围，分析器将会分析信任区中支持分析的所有资源类型。选择“当前组织”。
7. （可选）如果不想为组织中的部分账号生成分析结果，您可以将这些账号排除在外。您可以指定组织中要排除的个人账号ID，也可以从组织的账号列表中选择要排除的账号。
8. （可选）如果不想为部分IAM用户和信任委托生成分析结果，您可以通过标签来排除IAM用户和信任委托。
   

   • 如果“信任范围”是“当前组织”，可以排除组织下的带有标签的IAM用户、信任委托、管理账号和成员账号。
   • 如果您未指定值，则具有指定标签键的所有IAM用户和信任委托都将被排除在未使用的访问分析之外。

9. （可选）单击“查看权限信息”。了解创建组织分析器时需要同步创建的服务关联委托内容。

   创建组织分析器时，IAM访问分析器将在Organizations开启可信服务。此外，还将在组织中的所有账号中创建服务关联委托，服务关联委托将授予IAM访问分析器代表您与资源交互的权限。

   图8 服务关联委托信息
   

10. （可选）为分析器添加标签。单击“添加新标签”，输入标签键和标签值。
11. 单击“确定”，完成分析器创建。在列表中可以看到创建成功的分析器。

后续操作

完成分析器创建后，可以前往“未使用的访问分析”页面，筛选分析器后查看分析结果，并针对结果进行操作。