Criação de um analisador de acessos não utilizados do IAM Access Analyzer - AWS Identity and Access Management
Criação de um analisador de acessos não utilizados para a conta atualCriação de um analisador de acessos não utilizados com a organização atual

Criação de um analisador de acessos não utilizados do IAM Access Analyzer

Criação de um analisador de acessos não utilizados para a conta atual

Use o procedimento a seguir para criar um analisador de acessos não utilizados para uma única Conta da AWS. Para acessos não utilizados, as descobertas do analisador não mudam com base na região. Não é necessário criar um analisador em cada região em que você tem recursos.

O IAM Access Analyzer cobra pela análise de acessos não utilizados com base no número de usuários e perfis do IAM analisados por mês por analisador. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

nota

Após você criar ou atualizar um analisador, pode levar algum tempo para as descobertas ficarem disponíveis.

  1. Abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. Em Analisador de acessos, escolha Configurações do analisador.

  3. Selecione Create analyzer (Criar analisador).

  4. Na seção Análise, escolha Análise de entidade principal: acesso não utilizado.

  5. Insira um nome para o analisador.

  6. Em Período de rastreamento, insira o número de dias para análise. O analisador avaliará permissões apenas para as entidades do IAM na conta selecionada que existiram durante todo o período de rastreamento. Por exemplo, se você definir um período de rastreamento de 90 dias, apenas as permissões com pelo menos 90 dias serão analisadas, e as descobertas serão geradas se elas não mostrarem nenhum uso durante esse período. Você pode inserir um valor entre 1 e 365 dias.

  7. Na seção Detalhes do analisador confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.

  8. Em Contas selecionadas, escolha Conta atual.

    nota

    Se sua conta não for a conta de gerenciamento do AWS Organizations ou uma conta de administrador delegado, você pode criar apenas um analisador com sua conta como a conta selecionada.

  9. Opcional. Na seção Excluir perfis e usuários do IAM com tags, é possível especificar pares de valores-chave para perfis e usuários do IAM a serem excluídos da análise de acesso não utilizado. As descobertas não serão geradas para perfis e usuários do IAM excluídos que correspondam aos pares de valores-chave. Para Chave de tag, insira um valor de 1 a 128 caracteres e que não tenha o prefixo aws:. Para Valor, é possível inserir um valor de 0 a 256 caracteres de comprimento. Se você não inserir um Valor, a regra será aplicada a todas as entidades principais com a Chave de tag especificada. Escolha Adicionar nova exclusão para adicionar mais pares de valores-chave a serem excluídos.

  10. Opcional. Adicione as tags que deseja aplicar ao analisador.

  11. Selecione Create analyzer (Criar analisador).

Ao criar um analisador de acessos não utilizados para habilitar o IAM Access Analyzer, uma função vinculada ao serviço chamada AWSServiceRoleForAccessAnalyzer será criada em sua conta.

Criação de um analisador de acessos não utilizados com a organização atual

Use o procedimento a seguir para criar um analisador de acessos não utilizados para que uma organização analise centralmente todas as Contas da AWS em uma organização. Para a análise de acessos não utilizados, as descobertas do analisador não mudam com base na região. Não é necessário criar um analisador em cada região em que você tem recursos.

O IAM Access Analyzer cobra pela análise de acessos não utilizados com base no número de usuários e perfis do IAM analisados por mês por analisador. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

nota

Se uma conta-membro for removida da organização, o analisador de acessos não utilizados deixará de gerar novas descobertas e atualizar as descobertas existentes para essa conta após 24 horas. As descobertas associadas à conta do membro que for removida da organização serão removidas permanentemente após 90 dias.

  1. Abra o console do IAM, em https://console.aws.amazon.com/iam/.

  2. Em Analisador de acessos, escolha Configurações do analisador.

  3. Selecione Create analyzer (Criar analisador).

  4. Na seção Análise, escolha Análise de entidade principal: acesso não utilizado.

  5. Insira um nome para o analisador.

  6. Em Período de rastreamento, insira o número de dias para análise. O analisador avaliará permissões apenas para as entidades do IAM nas contas da organização selecionada que existiram durante todo o período de rastreamento. Por exemplo, se você definir um período de rastreamento de 90 dias, apenas as permissões com pelo menos 90 dias serão analisadas, e as descobertas serão geradas se elas não mostrarem nenhum uso durante esse período. Você pode inserir um valor entre 1 e 365 dias.

  7. Na seção Detalhes do analisador confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.

  8. Em Contas selecionadas, escolha Organização atual.

  9. Opcional. Na seção Excluir Contas da AWS da análise, é possível escolher Contas da AWS em sua organização para excluir da análise de acesso não utilizado. As descobertas não serão geradas para contas excluídas.

    1. Para especificar os IDs de contas individuais a serem excluídas, escolha Especificar ID de Conta da AWS e insira os IDs das contas separados por vírgulas no campo ID da Conta da AWS. Escolha Excluir. As contas serão então listadas na tabela Contas da AWS a serem excluídas.

    2. Para escolher entre uma lista de contas a serem excluídas em sua organização, escolha Escolher na organização.

      1. É possível pesquisar as contas por nome, e-mail e ID da conta no campo Excluir contas da organização.

      2. Escolha Hierarquia para visualizar suas contas por unidade organizacional ou escolha Lista para ver uma lista de todas as contas individuais em sua organização.

      3. Escolha Excluir todas as contas atuais para excluir todas as contas em uma unidade organizacional ou escolha Excluir para excluir contas individuais.

    As contas serão então listadas na tabela Contas da AWS a serem excluídas.

    nota

    As contas excluídas não podem incluir a conta do proprietário do analisador da organização. Quando novas contas são adicionadas à organização, elas não são excluídas da análise, mesmo que você tenha excluído anteriormente todas as contas atuais dentro de uma unidade organizacional. Para obter mais informações sobre a exclusão de contas após a criação de um analisador de acesso não utilizado, consulte Gerenciamento de um analisador de acessos não utilizados do IAM Access Analyzer.

  10. Opcional. Na seção Excluir perfis e usuários do IAM com tags, é possível especificar pares de valores-chave para perfis e usuários do IAM a serem excluídos da análise de acesso não utilizado. As descobertas não serão geradas para perfis e usuários do IAM excluídos que correspondam aos pares de valores-chave. Para Chave de tag, insira um valor de 1 a 128 caracteres e que não tenha o prefixo aws:. Para Valor, é possível inserir um valor de 0 a 256 caracteres de comprimento. Se você não inserir um Valor, a regra será aplicada a todas as entidades principais com a Chave de tag especificada. Escolha Adicionar nova exclusão para adicionar mais pares de valores-chave a serem excluídos.

  11. Opcional. Adicione as tags que deseja aplicar ao analisador.

  12. Selecione Create analyzer (Criar analisador).

Ao criar um analisador de acessos não utilizados para habilitar o IAM Access Analyzer, uma função vinculada ao serviço chamada AWSServiceRoleForAccessAnalyzer será criada em sua conta.