Impostazioni per Sistema di analisi degli accessi AWS IAM

Se esegui la configurazione AWS Identity and Access Management Access Analyzer nel tuo account di AWS Organizations gestione, puoi aggiungere un account membro nell'organizzazione come amministratore delegato per gestire IAM Access Analyzer per la tua organizzazione. L'amministratore delegato dispone delle autorizzazioni per creare e gestire gli analizzatori nell'organizzazione. Solo l'account di gestione può aggiungere un amministratore delegato.

Amministratore delegato per Sistema di analisi degli accessi AWS IAM.

L'amministratore delegato per Sistema di analisi degli accessi AWS IAM è un account membro all'interno dell'organizzazione che dispone delle autorizzazioni per creare e gestire gli analizzatori che analizzano gli accessi nell'organizzazione. Solo l'account di gestione può aggiungere, rimuovere o modificare un amministratore delegato.

Se aggiungi un amministratore delegato, puoi in un secondo momento passare a un account diverso per l'amministratore delegato. In questo caso, l'account amministratore delegato precedente perde l'autorizzazione per tutti gli analizzatori creati utilizzando tale account per analizzare gli accessi nell'organizzazione. Questi analizzatori passano a uno stato disabilitato e non generano più nuovi risultati, né aggiornano quelli esistenti. Anche i risultati esistenti per questi analizzatori non sono più accessibili. Puoi accedervi nuovamente in futuro configurando l'account come amministratore delegato. Se ritieni che uno stesso account di amministratore delegato non verrà più utilizzato, è consigliabile eliminare gli analizzatori prima di modificare l'amministratore delegato. Questa operazione elimina tutti i risultati generati. Quando il nuovo amministratore delegato crea nuovi analizzatori, vengono generate nuove istanze degli stessi risultati. Non perdi alcun risultato, vengono solo generati per il nuovo analizzatore in un altro account. Puoi continuare ad accedere ai risultati dell'organizzazione anche utilizzando l'account di gestione dell'organizzazione che dispone anche di autorizzazioni di amministratore. Il nuovo amministratore delegato deve creare i nuovi analizzatori per Sistema di analisi degli accessi AWS IAM per avviare il monitoraggio delle risorse nell'organizzazione.

Se l'amministratore delegato lascia l' AWS organizzazione, i privilegi di amministrazione delegata vengono rimossi dall'account. Tutti gli analizzatori nell'account con l'organizzazione come zona di attendibilità passano a uno stato disabilitato. Anche i risultati esistenti per questi analizzatori non sono più accessibili.

La prima volta che si configurano gli analizzatori nell'account di gestione, puoi scegliere l'opzione Aggiungi amministratore delegato nella pagina Impostazioni dell'analizzatore nella console di Sistema di analisi degli accessi AWS IAM.

Nota

Sistema di analisi degli accessi AWS IAM addebita i costi per gli analizzatori degli accessi inutilizzati in base al numero di ruoli e utenti IAM analizzati ogni mese da ogni analizzatore. Se crei un analizzatore degli accessi inutilizzati nell'account di gestione e uno nell'account dell'amministratore delegato, ti verranno addebitati i costi per entrambi gli analizzatori. Per maggiori dettagli sui prezzi, consulta i prezzi di Sistema di analisi degli accessi AWS IAM.

Per aggiungere un amministratore delegato utilizzando la console

1. Accedi alla AWS console utilizzando l'account di gestione dell'organizzazione.

2. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

3. In Access Analyzer, scegli Impostazioni dell'analizzatore.

4. Scegliere Add delegated administrator (Aggiungi amministratore delegato).

5. Nel campo Amministratore delegato, inserisci il numero Account AWS di un account membro dell'organizzazione per creare l'amministratore delegato.

   L'account deve essere un membro dell'organizzazione.

6. Seleziona Salvataggio delle modifiche.

Per aggiungere un amministratore delegato utilizzando AWS CLI o gli SDK AWS

Quando crei un analizzatore per analizzare l'accesso all'intera organizzazione in un account amministratore delegato utilizzando la AWS CLI, l' AWS API (utilizzando gli AWS SDK) oppure AWS CloudFormation, devi utilizzare AWS Organizations le API per abilitare l'accesso al servizio per IAM Access Analyzer e registrare l'account membro come amministratore delegato.

1. Abilita l'accesso affidabile ai servizi per IAM Access Analyzer in. AWS Organizations Scopri come abilitare o disabilitare l'accesso affidabile nella Guida per l' AWS Organizations utente.

2. Registra un account membro valido della tua AWS organizzazione come amministratore delegato utilizzando l'operazione AWS Organizations RegisterDelegatedAdministratorAPI o il register-delegated-administrator AWS CLI comando.

Dopo aver cambiato l'amministratore delegato, il nuovo amministratore deve creare gli analizzatori per avviare il monitoraggio dell'accesso alle risorse dell'organizzazione.

Eliminazione degli analizzatori

È possibile eliminare gli analizzatori degli accessi esterni e inutilizzati esistenti dalla pagina Impostazioni dell'analizzatore. Quando si elimina un analizzatore, le risorse specificate nell'analizzatore non vengono più monitorate e non vengono generati nuovi risultati. Tutti i risultati generati dall'analizzatore vengono eliminati.

Per i risultati che vengono eliminati perché l'analizzatore che li ha generati viene eliminato, l'evento viene inviato a EventBridge nei due giorni successivi all'eliminazione dell'analizzatore. Dopo l'eliminazione dell'analizzatore, possono essere necessari fino a 90 giorni prima che i risultati di Security Hub vengano eliminati.

Per eliminare un analizzatore

1. Aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

2. In Access Analyzer, scegli Impostazioni dell'analizzatore.

3. Seleziona l'analizzatore da eliminare, quindi scegli Elimina.

4. Nella casella di conferma, scrivi delete e quindi scegli Elimina.