Delegierter Administrator für IAM Access Analyzer - AWS Identity and Access Management

Delegierter Administrator für IAM Access Analyzer

Wenn Sie AWS Identity and Access Management Access Analyzer in Ihrem AWS Organizations-Verwaltungskonto konfigurieren, können Sie ein Mitgliedskonto in der Organisation als delegierter Administrator hinzufügen, um IAM Access Analyzer für Ihre Organisation zu verwalten. Der delegierte Administrator verfügt über Berechtigungen zum Erstellen und Verwalten von Analysatoren innerhalb der Organisation. Nur das Hauptkonto kann einen delegierten Administrator hinzufügen.

Der delegierte Administrator für IAM Access Analyzer ist ein Mitgliedskonto innerhalb der Organisation, das über Berechtigungen zum Erstellen und Verwalten von Analysatoren verfügt, die Zugriff innerhalb der Organisation analysieren. Nur das Hauptkonto kann einen delegierten Administrator hinzufügen, entfernen oder ändern.

Wenn Sie einen delegierten Administrator hinzufügen, können Sie später zu einem anderen Konto für den delegierten Administrator wechseln. Dann verliert das frühere delegierte Administratorkonto die Berechtigung für alle Analysatoren, die mit diesem Konto zum Analysieren des Zugriffs innerhalb der Organisation erstellt wurden. Diese Analysatoren wechseln in einen deaktivierten Zustand und generieren keine neuen Ergebnisse oder aktualisieren keine vorhandenen Ergebnisse mehr. Die vorhandenen Erkenntnisse für diese Analysatoren sind ebenfalls nicht mehr zugänglich. Sie können in Zukunft wieder darauf zugreifen, indem Sie das Konto als delegierten Administrator konfigurieren. Wenn Sie wissen, dass Sie nicht dasselbe Konto als ein delegierter Administrator verwenden, sollten Sie die Analysatoren löschen, bevor Sie den delegierten Administrator ändern. Dadurch werden alle generierten Ergebnisse gelöscht. Wenn der neue delegierte Administrator neue Analysatoren erstellt, werden neue Instances derselben Ergebnisse generiert. Sie verlieren keine Ergebnisse, sie werden nur für den neuen Analysator in einem anderen Konto generiert. Außerdem können Sie mit dem Hauptkonto der Organisation, das auch über Administratorberechtigungen verfügt, weiterhin auf Ergebnisse für die Organisation zugreifen. Der neue delegierte Administrator muss neue Analysatoren erstellen, damit IAM Access Analyzer die Ressourcen in Ihrer Organisation überwachen kann.

Wenn der delegierte Administrator die AWS-Organisation verlässt, werden die delegierten Verwaltungsberechtigungen von Konto entfernt. Alle Analysatoren im Konto mit der Organisation als Vertrauenszone werden in einen deaktivierten Status verschoben. Die vorhandenen Erkenntnisse für diese Analysatoren sind ebenfalls nicht mehr zugänglich.

Wenn Sie Analysatoren erstmals im Hauptkonto konfigurieren, können Sie die Option Delegierten Administrator hinzufügen auswählen, die auf der Seite mit den Analysator-Einstellungen in der IAM-Access-Analyzer-Konsole angezeigt wird.

Anmerkung

IAM Access Analyzer erhebt Gebühren für die Analysatoren für ungenutzten Zugriff. Sie entsprechen der Anzahl der pro Analysator und pro Monat analysierten IAM-Rollen und -Benutzer. Wenn Sie einen Analysator für ungenutzten Zugriff im Verwaltungskonto und im delegierten Administratorkonto erstellen, werden Ihnen beide Analysatoren für ungenutzten Zugriff in Rechnung gestellt. Weitere Informationen zur Preisgestaltung finden Sie unter Preise für IAM Access Analyzer.

Nachdem Sie den delegierten Administrator geändert haben, muss der neue Administrator Analysatoren erstellen, um den Zugriff auf die Ressourcen in Ihrer Organisation zu überwachen.