Configurações do Access Analyzer - AWS Identity and Access Management

Configurações do Access Analyzer

Se você estiver configurando o AWS IAM Access Analyzer em sua conta de gerenciamento do AWS Organizations, poderá adicionar uma conta-membro na organização como o administrador delegado para gerenciar o Access Analyzer para sua organização. O administrador delegado tem permissões para criar e gerenciar analisadores com a organização como zona de confiança. Somente a conta de gerenciamento pode adicionar um administrador delegado.

Administrador delegado do Access Analyzer

O administrador delegado do Access Analyzer é uma conta-membro dentro da organização que tem permissões para criar e gerenciar analisadores com a organização como zona de confiança. Somente a conta de gerenciamento pode adicionar, remover ou alterar um administrador delegado.

Se você adicionar um administrador delegado, poderá alterar posteriormente para outra conta para o administrador delegado. Ao fazer isso, a conta do administrador delegado anterior perderá as permissões para todos os analisadores com a organização como zona de confiança que foram criados usando essa conta. Esses analisadores passam para um estado desabilitado e não geram mais descobertas nem atualizam descobertas existentes. As descobertas existentes desses analisadores também não ficam mais acessíveis. Será possível acessá-los novamente no futuro configurando a conta como o administrador delegado. Se você sabe que não usará a mesma conta como administrador delegado, considere excluir os analisadores antes de alterar o administrador delegado. Isso excluirá todas as descobertas geradas. Quando o novo administrador delegado cria outros analisadores, novas instâncias das mesmas descobertas são geradas. Você não perderá nenhuma descoberta. Elas apenas serão geradas para o novo analisador em outra conta. Além disso, você poderá continuar acessando as descobertas para a organização usando a conta de gerenciamento da organização, que também tem permissões de administrador. O novo administrador delegado deve criar outros analisadores para que o Access Analyzer comece a monitorar recursos na organização.

Se o administrador delegado sair da organização da AWS, os privilégios da administração delegada serão removidos da conta. Todos os analisadores da conta com a organização como zona de confiança passam para um estado desabilitado. As descobertas existentes desses analisadores também não ficam mais acessíveis.

Na primeira vez que você configura analisadores na conta de gerenciamento, é possível escolher a opção Add delegated administrator (Adicionar administrador delegado) que é exibida na página inicial do Access Analyzer no console do IAM.

Como adicionar um administrador delegado usando o console

  1. Faça login no Console AWS usando a conta de gerenciamento da sua organização.

  2. Abra o console do IAM em https://console.aws.amazon.com/iam/.

  3. Em Access Analyzer (Analisador de acesso), selecione Settings (Configurações).

  4. Selecione Add delegated administrator (Adicionar administrador delegado).

  5. Insira o número da conta de uma conta-membro da organização para torná-la o administrador delegado.

    A conta deve ser membro da organização.

  6. Selecione Save changes.

Para adicionar um administrador delegado usando a AWS CLI ou AWS SDKs

Ao criar um analisador com a organização como zona de confiança em uma conta de administrador delegado usando a AWS CLI, a API da AWS (usando os SDKs da AWS) ou o AWS CloudFormation, você deverá usar APIs do AWS Organizations para habilitar o acesso ao serviço para o Access Analyzer e registrar a conta-membro como administrador delegado.

  1. Habilitar o acesso de serviço confiável para o Access Analyzer no AWS Organizations. Consulte Como habilitar ou desabilitar o acesso confiável no Guia do usuário do AWS Organizations.

  2. Registre uma conta-membro válida de sua organização da AWS como administrador delegado usando a operação da API RegisterDelegatedAdministrator do AWS Organizations ou o comando register-delegated-administrator da AWS CLI.

Após alterar o administrador delegado, o novo administrador deverá criar analisadores para começar a monitorar o acesso aos recursos da organização.