Se você estiver configurando o AWS Identity and Access Management Access Analyzer IAM Access Analyzer em sua conta de gerenciamento do AWS Organizations, poderá adicionar uma conta-membro na organização como o administrador delegado para gerenciar o IAM Access Analyzer para sua organização. O administrador delegado tem permissões para criar e gerenciar analisadores dentro da organização. Somente a conta de gerenciamento pode adicionar um administrador delegado.
O administrador delegado do IAM Access Analyzer é uma conta-membro dentro da organização que tem permissões para criar e gerenciar que analisam credenciais em toda a organização. Somente a conta de gerenciamento pode adicionar, remover ou alterar um administrador delegado.
Se você adicionar um administrador delegado, poderá alterar posteriormente para outra conta para o administrador delegado. Ao fazer isso, a conta do administrador delegado anterior perderá as permissões para todos os analisadores que foram criados usando essa conta. Esses analisadores passam para um estado desabilitado e não geram mais descobertas nem atualizam descobertas existentes. As descobertas existentes desses analisadores também não ficam mais acessíveis. Será possível acessá-los novamente no futuro configurando a conta como o administrador delegado. Se você sabe que não usará a mesma conta como administrador delegado, considere excluir os analisadores antes de alterar o administrador delegado. Isso excluirá todas as descobertas geradas. Quando o novo administrador delegado cria outros analisadores, novas instâncias das mesmas descobertas são geradas. Você não perderá nenhuma descoberta. Elas apenas serão geradas para o novo analisador em outra conta. Além disso, você poderá continuar acessando as descobertas para a organização usando a conta de gerenciamento da organização, que também tem permissões de administrador. O novo administrador delegado deve criar outros analisadores para que o IAM Access Analyzer comece a monitorar recursos na organização.
Se o administrador delegado sair da organização da AWS, os privilégios da administração delegada serão removidos da conta. Todos os analisadores da conta com a organização como zona de confiança passam para um estado desabilitado. As descobertas existentes desses analisadores também não ficam mais acessíveis.
Na primeira vez que você configurar analisadores na conta de gerenciamento, é possível escolher a opção Adicionar administrador delegado em Configurações do analisador, no console do IAM Access Analyzer.
nota
O IAM Access Analyzer cobra por analisadores de acessos não utilizados com base no número de usuários e perfis do IAM analisados por analisador por mês. Se você criar um analisador de acessos não utilizados na conta de gerenciamento e na conta de administrador delegado, você será cobrado pelos dois analisadores de acessos não utilizados. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer
Após alterar o administrador delegado, o novo administrador deverá criar analisadores para começar a monitorar o acesso aos recursos da organização.
