Paramètres pour IAM Access Analyzer

Si vous configurez AWS Identity and Access Management Access Analyzer dans votre compte de gestion AWS Organizations, il est possible d’ ajouter un compte membre dans l'organisation en tant qu'administrateur délégué afin de gérer IAM Access Analyzer pour votre organisation. L’administrateur délégué dispose des autorisations pour créer et gérer des analyseurs au sein de l’organisation. Seul le compte de gestion peut ajouter un administrateur délégué.

Administrateur délégué pour IAM Access Analyzer

L’administrateur délégué pour l’analyseur d’accès IAM est un compte membre de l’organisation qui dispose d’autorisations pour créer et gérer des analyseurs qui analysent l’accès au sein de l’organisation. Seul le compte de gestion peut ajouter, supprimer ou modifier un administrateur délégué.

Si vous ajoutez un administrateur délégué, vous pouvez ultérieurement passer à un compte différent pour l'administrateur délégué. Dans ce cas, le compte d’administrateur délégué précédent perd l’autorisation sur tous les analyseurs qui ont été créés à l’aide de ce compte pour analyser les accès à travers l’organisation. Ces analyseurs passent à l'état désactivé et ne génèrent plus de résultats et ne mettent pas à jour les résultats existants. Les résultats existants pour ces analyseurs ne sont plus accessibles. Vous pouvez y accéder à nouveau ultérieurement en configurant le compte en tant qu'administrateur délégué. Si vous savez que vous n'utiliserez pas le même compte qu'un administrateur délégué, vous pouvez envisager de supprimer les analyseurs avant de changer d'administrateur délégué. Cela supprime tous les résultats générés. Lorsque le nouvel administrateur délégué crée de nouveaux analyseurs, de nouvelles instances des mêmes résultats sont générées. Vous ne perdez pas les résultats. Ceux-ci sont simplement générés pour le nouvel analyseur dans un compte différent. Vous pouvez également continuer à accéder aux résultats de l'organisation à l'aide du compte de gestion de l'organisation, qui dispose également des autorisations d'administrateur. Le nouvel administrateur délégué doit créer de nouveaux analyseurs pour que l’IAM Access Analyzer commence à surveiller les ressources de votre organisation.

Si l'administrateur délégué quitte l'organisation AWS, les privilèges d'administration déléguée sont supprimés du compte. Tous les analyseurs du compte dont l'organisation est la zone de confiance passent à l'état désactivé. Les résultats existants pour ces analyseurs ne sont plus accessibles.

La première fois que vous configurez des analyseurs dans le compte de gestion, vous pouvez choisir l’option Ajouter un administrateur délégué sur la page Paramètres de l’analyseurdans la console de l’analyseur d’accès IAM.

Note

L’analyseur d’accès IAM facture les analyseurs d’accès non utilisés en fonction du nombre de rôles et d’utilisateurs IAM analysés par analyseur et par mois. Si vous créez un analyseur d’accès non utilisé dans le compte de gestion et le compte d’administrateur délégué, les deux analyseurs d’accès non utilisés vous seront facturés. Pour plus d’informations sur les tarifs, consultez la Tarification de l’analyseur d’accès IAM.

Pour ajouter un administrateur délégué à l'aide de la console

1. Connectez-vous à la console AWS à l'aide du compte de gestion de votre organisation.

2. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

3. Sous Accéder à l’analyseur, sélectionnez Paramètres de l’analyseur.

4. Choisissez Add delegated administrator (Ajouter un administrateur délégué).

5. Dans le champ Administrateur délégué, saisissez le numéro de Compte AWS d’un compte membre de l’organisation à désigner comme administrateur délégué.

   Le compte doit être membre de votre organisation.

6. Choisissez Enregistrer les modifications.

Pour ajouter un administrateur délégué à l'aide de la AWS CLI ou des kits SDK AWS

Lorsque vous créez un accès d’analyseur à analyseur à l’échelle de l’organisation dans un compte d’administrateur délégué à l’aide de la CLI AWS, de l’API AWS (avec les kits SDK AWS) ou AWS CloudFormation, vous devez utiliser des API AWS Organizations pour activer l’accès au service pour l’analyseur d’accès IAM et enregistrer le compte de membre en tant qu’administrateur délégué.

1. Activation de l'accès au service approuvé pour IAM Access Analyzer dans AWS Organizations. Consultez Comment activer ou désactiver l'accès approuvé dans le guide de l'utilisateur AWS Organizations.

2. Enregistrez un compte membre valide de votre organisation AWS en tant qu'administrateur délégué à l'aide de l'opération d'API AWS Organizations RegisterDelegatedAdministrator ou de la commande register-delegated-administrator AWS CLI.

Après avoir modifié l'administrateur délégué, le nouvel administrateur doit créer des analyseurs pour commencer à surveiller l'accès aux ressources de votre organisation.

Supprimer les analyseurs

Vous pouvez supprimer les analyseurs d’accès externes existants et non utilisés depuis la page des Paramètres de l’analyseur. Lorsque vous supprimez un analyseur, les ressources spécifiées dans l’analyseur ne sont plus surveillées et aucun nouveau résultat n’est généré. Tous les résultats générés par l’analyseur sont supprimés.

Pour les résultats supprimés parce que l’analyseur les ayant générés est supprimé, l’événement est envoyé à EventBridge dans les deux jours suivant la suppression de l’analyseur. La suppression des résultats du Security Hub peut prendre jusqu’à 90 jours après la suppression de l’analyseur.

Pour supprimer un analyseur

1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

2. Sous Accéder à l’analyseur, sélectionnez Paramètres de l’analyseur.

3. Sélectionnez l’analyseur à supprimer, puis choisissez Supprimer.

4. Tapez delete dans la zone de texte de confirmation, puis choisissez Supprimer.