Criar um analisador de acesso interno com a Conta da AWS como zona de confiança Criar um analisador de acesso interno com a organização como zona de confiança

Criar um analisador de acesso interno do IAM Access Analyzer

Para habilitar um analisador de acesso interno em uma região, você deve criar um analisador nessa região. Você deve criar um analisador de acesso interno em cada região onde quiser monitorar o acesso aos recursos.

O IAM Access Analyzer cobra análise de acesso interno com base no número de recursos monitorados por analisador por mês. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

nota

Após você criar ou atualizar um analisador, pode levar algum tempo para as descobertas ficarem disponíveis.

O IAM Access Analyzer não pode gerar descobertas de acesso interno para organizações com mais de 70.000 entidades principais (usuários e perfis do IAM combinados).

Você pode criar somente um analisador de acesso interno ao nível organizacional de uma organização da AWS.

Criar um analisador de acesso interno com a Conta da AWS como zona de confiança

Abra o console do IAM, em https://console.aws.amazon.com/iam/.
Em Analisador de acessos, escolha Configurações do analisador.
Selecione Create analyzer (Criar analisador).
Na seção Análise, escolha Análise de recursos: acesso interno.
Na seção Detalhes do analisador confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.
Insira um nome para o analisador.
Escolha Conta atual como a zona de confiança do analisador.

nota
Se sua conta não for a conta de gerenciamento do AWS Organizations ou uma conta de administrador substituto, você pode criar apenas um analisador com sua conta como a zona de confiança.
Na seção Recursos a serem analisados, adicione os recursos para o analisador monitorar.
- Para adicionar recursos por conta, escolha Adicionar > Adicionar recursos das contas selecionadas.
  1. Escolha Todos os tipos de recursos compatíveis ou Definir tipos de recursos específicos e selecione os tipos de recursos na lista Tipo de recurso.
    
    Os analisadores de acesso interno são compatíveis com os seguintes tipos de recursos:
    
    Buckets do Amazon Simple Storage Service
    
    Buckets de diretório do Amazon Simple Storage Service
    
    Snapshots de banco de dados do Amazon Relational Database Service
    
    Snapshots de cluster de banco de dados do Amazon Relational Database Service
    
    Amazon DynamoDB Streams
    
    Tabelas do Amazon DynamoDB
  2. Selecione Adicionar recursos.
- Para adicionar recursos pelo nome do recurso da Amazon (ARN), escolha Adicionar > Adicionar recursos colando o ARN do recurso.
  1. Para cada ARN de recurso, insira o ID do proprietário da conta e o ARN do recurso, separados por vírgula. Insira um único ID de proprietário de conta e ARN de recurso por linha.
  2. Selecione Adicionar recursos.
- Para adicionar recursos por meio de um arquivo CSV, escolha Adicionar recursos > Adicionar recursos carregando um CSV.
  
  Você pode usar o Explorador de recursos da AWS para pesquisar recursos em suas contas e exportar um arquivo CSV. Depois, você pode carregar o arquivo CSV para configurar os recursos para o analisador monitorar.
  1. Escolha Escolher arquivo e selecione o arquivo CSV no seu computador.
  2. Selecione Adicionar recursos.
Opcional. Adicione as tags que deseja aplicar ao analisador.
Selecione Create analyzer (Criar analisador).

Quando você cria um analisador de acesso interno para habilitar o IAM Access Analyzer, um perfil vinculado ao serviço denominado AWSServiceRoleForAccessAnalyzer é criado na sua conta.

Criar um analisador de acesso interno com a organização como zona de confiança

Abra o console do IAM, em https://console.aws.amazon.com/iam/.
Em Analisador de acessos, escolha Configurações do analisador.
Selecione Create analyzer (Criar analisador).
Na seção Análise, escolha Análise de recursos: acesso interno.
Na seção Detalhes do analisador confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.
Insira um nome para o analisador.
Escolha Toda a organização como a zona de confiança do analisador.
Na seção Recursos a serem analisados, adicione os recursos para o analisador monitorar.
- Para adicionar recursos à conta, escolha Adicionar recursos > Adicionar recursos das contas selecionadas.
  1. Escolha Todos os tipos de recursos compatíveis ou Definir tipos de recursos específicos e selecione os tipos de recursos na lista Tipo de recurso.
    
    Os analisadores de acesso interno são compatíveis com os seguintes tipos de recursos:
    
    Buckets do Amazon Simple Storage Service
    
    Buckets de diretório do Amazon Simple Storage Service
    
    Snapshots de banco de dados do Amazon Relational Database Service
    
    Snapshots de cluster de banco de dados do Amazon Relational Database Service
    
    Amazon DynamoDB Streams
    
    Tabelas do Amazon DynamoDB
  2. Para selecionar contas da sua organização, escolha Selecionar na organização. Na seção Selecionar contas, escolha Hierarquia para selecionar contas por estrutura organizacional ou Lista para selecionar contas em uma lista de todas as contas da organização.
    
    Para inserir manualmente contas da organização, escolha Inserir ID da conta da AWS. Insira um ou mais IDs de Conta da AWS separados por vírgulas no campo ID da conta da AWS.
  3. Selecione Adicionar recursos.
- Para adicionar recursos pelo nome do recurso da Amazon (ARN), escolha Adicionar recursos > Adicionar recursos colando o ARN do recurso.
  1. Para cada ARN de recurso, insira o ID do proprietário da conta e o ARN do recurso, separados por vírgula. Insira um único ID de proprietário de conta e ARN de recurso por linha.
  2. Selecione Adicionar recursos.
- Para adicionar recursos por meio de um arquivo CSV, escolha Adicionar recursos > Adicionar recursos carregando um CSV.
  
  Você pode usar o Explorador de recursos da AWS para pesquisar recursos em suas contas e exportar um arquivo CSV. Depois, você pode carregar o arquivo CSV para configurar os recursos para o analisador monitorar.
  1. Escolha Escolher arquivo e selecione o arquivo CSV no seu computador.
  2. Selecione Adicionar recursos.
Opcional. Adicione as tags que deseja aplicar ao analisador.
Selecione Enviar.

Quando você cria um analisador de acesso interno com a organização como a zona de confiança, um perfil vinculado ao serviço, denominado AWSServiceRoleForAccessAnalyzer, é criado em cada conta da organização.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Gerenciamento de um analisador de acessos externos

Gerenciar um analisador de acesso interno