Configurações do IAM Access Analyzer - AWS Identity and Access Management
Administrador delegado do IAM Access AnalyzerExcluindo analisadores

Configurações do IAM Access Analyzer

Se você estiver configurando o AWS Identity and Access Management Access Analyzer IAM Access Analyzer em sua conta de gerenciamento do AWS Organizations, poderá adicionar uma conta-membro na organização como o administrador delegado para gerenciar o IAM Access Analyzer para sua organização. O administrador delegado tem permissões para criar e gerenciar analisadores dentro da organização. Somente a conta de gerenciamento pode adicionar um administrador delegado.

Administrador delegado do IAM Access Analyzer

O administrador delegado do IAM Access Analyzer é uma conta-membro dentro da organização que tem permissões para criar e gerenciar que analisam credenciais em toda a organização. Somente a conta de gerenciamento pode adicionar, remover ou alterar um administrador delegado.

Se você adicionar um administrador delegado, poderá alterar posteriormente para outra conta para o administrador delegado. Ao fazer isso, a conta do administrador delegado anterior perderá as permissões para todos os analisadores que foram criados usando essa conta. Esses analisadores passam para um estado desabilitado e não geram mais descobertas nem atualizam descobertas existentes. As descobertas existentes desses analisadores também não ficam mais acessíveis. Será possível acessá-los novamente no futuro configurando a conta como o administrador delegado. Se você sabe que não usará a mesma conta como administrador delegado, considere excluir os analisadores antes de alterar o administrador delegado. Isso excluirá todas as descobertas geradas. Quando o novo administrador delegado cria outros analisadores, novas instâncias das mesmas descobertas são geradas. Você não perderá nenhuma descoberta. Elas apenas serão geradas para o novo analisador em outra conta. Além disso, você poderá continuar acessando as descobertas para a organização usando a conta de gerenciamento da organização, que também tem permissões de administrador. O novo administrador delegado deve criar outros analisadores para que o IAM Access Analyzer comece a monitorar recursos na organização.

Se o administrador delegado sair da organização da AWS, os privilégios da administração delegada serão removidos da conta. Todos os analisadores da conta com a organização como zona de confiança passam para um estado desabilitado. As descobertas existentes desses analisadores também não ficam mais acessíveis.

Na primeira vez que você configurar analisadores na conta de gerenciamento, é possível escolher a opção Adicionar administrador delegado em Configurações do analisador, no console do IAM Access Analyzer.

nota

O IAM Access Analyzer cobra por analisadores de acessos não utilizados com base no número de usuários e perfis do IAM analisados por analisador por mês. Se você criar um analisador de acessos não utilizados na conta de gerenciamento e na conta de administrador delegado, você será cobrado pelos dois analisadores de acessos não utilizados. Para obter mais detalhes sobre preços, consulte Preços do IAM Access Analyzer.

Como adicionar um administrador delegado usando o console

  1. Faça login no Console AWS usando a conta de gerenciamento da sua organização.

  2. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  3. Em Analisador de acessos, selecione Configurações do analisador.

  4. Selecione Add delegated administrator (Adicionar administrador delegado).

  5. No campo Administrador delegado, insira o número de uma conta-membro da organização Conta da AWS para torná-la o administrador delegado.

    A conta deve ser membro da organização.

  6. Escolha Save changes (Salvar alterações).

Para adicionar um administrador delegado usando a AWS CLI ou AWS SDKs

Ao criar um analisador para analisar acessos externos na organização em uma conta de administrador delegado usando a AWS CLI, a API da AWS (usando os SDKs da AWS) ou o AWS CloudFormation, você deverá usar APIs do AWS Organizations para habilitar o acesso ao serviço para o IAM Access Analyzer e registrar a conta-membro como administrador delegado.

  1. Habilitar o acesso de serviço confiável para o IAM Access Analyzer no AWS Organizations. Consulte Como habilitar ou desabilitar o acesso confiável no Guia do usuário do AWS Organizations.

  2. Registre uma conta-membro válida de sua organização da AWS como administrador delegado usando a operação da API RegisterDelegatedAdministrator do AWS Organizations ou o comando register-delegated-administrator da AWS CLI.

Após alterar o administrador delegado, o novo administrador deverá criar analisadores para começar a monitorar o acesso aos recursos da organização.

Excluindo analisadores

Você pode excluir analisadores de acessos externos e não utilizados existentes na página Configurações do analisador. Quando você exclui um analisador, os recursos especificados no analisador não são mais monitorados e nenhuma nova descoberta é gerada. Todas as descobertas geradas pelo analisador são excluídas.

Para descobertas que são excluídas em função da exclusão do analisador que as gerou, o evento é enviado ao EventBridge nos dois dias subsequentes à exclusão do analisador. Após a exclusão do analisador, pode levar até 90 dias para que as descobertas do Security Hub sejam excluídas.

Para excluir um analisador

  1. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. Em Analisador de acessos, selecione Configurações do analisador.

  3. Selecione o analisador para excluir e, em seguida, escolha Excluir.

  4. Digite delete na caixa de texto de confirmação e, em seguida, escolha Excluir.