# Introducción a con () AWS Identity and Access Management Access Analyzer
<a name="access-analyzer-getting-started"></a>

Utilice la información de este tema para obtener información acerca de los requisitos necesarios para usar y administrar AWS Identity and Access Management Access Analyzer.

## Permisos requeridos para utilizar el Analizador de acceso de IAM
<a name="access-analyzer-permissions"></a>

Para configurar y utilizar correctamente el Analizador de acceso de IAM, se deben conceder los permisos necesarios a la cuenta que utilice. 

### Políticas de AWS administradas para el Analizador de acceso de IAM
<a name="access-analyzer-permissions-awsmanpol"></a>

AWS Identity and Access Management Access Analyzer brinda políticas administradas de AWS para ayudarle a comenzar a trabajar rápidamente.
+ [IAMAccessAnalyzerFullAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerFullAccess): permite el acceso completo al Analizador de acceso de IAM para los administradores. Esta política también permite crear los roles vinculados a servicios que son necesarios para permitir que el Analizador de acceso de IAM analice los recursos de su cuenta u organización de AWS.
+ [IAMAccessAnalyzerReadOnlyAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerReadOnlyAccess): permite el acceso de solo lectura al Analizador de acceso de IAM. Debe agregar políticas adicionales a sus identidades de IAM (usuarios, grupos de usuarios o roles) para permitirles ver sus resultados.

### Recursos definidos por el Analizador de acceso de IAM
<a name="permission-resources"></a>

Para ver los recursos definidos por el Analizador de acceso de IAM, consulte [Tipos de recursos definidos por el Analizador de acceso de IAM ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-resources-for-iam-policies) en la * Referencia de autorización de servicios*.

### Permisos de servicio del Analizador de acceso de IAM requeridos
<a name="access-analyzer-permissions-service"></a>

El Analizador de acceso de IAM usa un Rol vinculado al servicio (SLR) llamado `AWSServiceRoleForAccessAnalyzer`. Este SLR concede al servicio acceso de solo lectura para analizar recursos de AWS con políticas basadas en los recursos y analizar en su nombre el acceso no utilizado. El servicio crea el rol de su cuenta en los siguientes casos:
+ Crea un analizador de acceso externo con su cuenta como la zona de confianza.
+ Crea un analizador de acceso no utilizado con su cuenta como la cuenta seleccionada.
+ Cree un analizador de acceso interno con su cuenta como la zona de confianza.

Para obtener más información, consulte [Cómo utilizar roles vinculados a servicios de AWS Identity and Access Management Access Analyzer](access-analyzer-using-service-linked-roles.md).

**nota**  
El Analizador de acceso de IAM es regional. Para acceso externo e interno, debe activar el Analizador de acceso de IAM en cada Región de forma independiente.  
En el caso del acceso no utilizado, los resultados del analizador no cambian en función de la región. No es necesario crear un analizador en cada región en la que tenga recursos.

En algunos casos, después de crear un analizador en el Analizador de acceso de IAM, la página o el panel **Resultados** se carga sin ningún resultado ni resumen. Esto puede deberse a un retraso en la consola para rellenar sus resultados. Es posible que tenga que actualizar manualmente el navegador o volver a consultarlo más adelante para ver sus resultados o su resumen. Si sigue sin ver ningún resultado, es porque no tiene recursos compatibles en su cuenta a los que pueda acceder una entidad externa. Si una política que concede acceso a una entidad externa se aplica a un recurso, el Analizador de acceso de IAM genera un resultado.

**nota**  
Para analizadores de acceso externo, puede tardar hasta 30 minutos después de modificar una política para que el Analizador de acceso de IAM analice el recurso y, a continuación, genere un nuevo resultado o actualice un resultado existente para el acceso al recurso.  
Al crear un analizador de acceso interno, es posible que pasen varios minutos u horas antes de que los resultados estén disponibles. Tras el análisis inicial, el Analizador de acceso de IAM vuelve a analizar automáticamente todas las políticas cada 24 horas.  
Para todos los tipos de analizadores de acceso, es posible que las actualizaciones de los resultados no se reflejen inmediatamente en el panel.

### Se requieren permisos del Analizador de acceso de IAM para ver el panel de resultados
<a name="access-analyzer-permissions-dashboard"></a>

Para ver el [panel de resultados del Analizador de acceso de IAM](access-analyzer-dashboard.md), se deben conceder accesos a la cuenta que utilice para realizar las siguientes acciones necesarias:
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html)

Para ver todas las acciones definidas por el Analizador de acceso de IAM, consulte [Acciones definidas por el Analizador de acceso de IAM ](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-actions-as-permissions) en la * Referencia de autorización de servicios*.

## Estado del Analizador de acceso de IAM
<a name="access-analyzer-status"></a>

Para ver el estado de los analizadores, elija **Analizadores**. Los analizadores creados para una organización o cuenta pueden tener el siguiente estado:


| Estado | Descripción | 
| --- | --- | 
|  Activo  |  Para analizadores de acceso externo e interno, el analizador monitoriza activamente los recursos dentro de su zona de confianza. El analizador genera activamente nuevos resultados y actualiza los resultados existentes. En el caso de los analizadores de acceso no utilizados, el analizador supervisa activamente el acceso no utilizado dentro de la organización seleccionada o Cuenta de AWS durante el período de seguimiento especificado. El analizador genera activamente nuevos resultados y actualiza los resultados existentes.  | 
|  Creación  |  La creación del analizador todavía está en curso. El analizador se activa una vez completada la creación.  | 
|  Deshabilitado  |  El analizador está deshabilitado debido a una acción realizada por el administrador de AWS Organizations. Por ejemplo, quitar la cuenta del analizador como administrador delegado para el Analizador de acceso de IAM. Cuando el analizador está en un estado desactivado, no genera nuevos resultados ni actualiza los resultados existentes.  | 
|  Con error  |  Error al crear el analizador debido a un problema de configuración. El analizador no generará ningún resultado. Elimine el analizador y cree un nuevo analizador.  | 

# Creación de un analizador de acceso externo de Analizador de acceso de IAM
<a name="access-analyzer-create-external"></a>

Para activar el analizador de acceso externo, debe crear un analizador en dicha región. Debe crear un analizador de acceso externo en cada región en la que desee monitorizar el acceso a los recursos.

**nota**  
Después de crear o actualizar un analizador, los resultados pueden tardar un tiempo en estar disponibles.

## Creación de un analizador de acceso externo con la Cuenta de AWS como la zona de confianza
<a name="access-analyzer-create-external-account"></a>

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. Elija **Crear analizador**.

1. En la sección **Análisis**, seleccione **Análisis de recurso: acceso externo**.

1. En la sección **Información del analizador** confirme que la región mostrada es la región en la que desea activar el Analizador de acceso de IAM.

1. Escriba un nombre para el analizador.

1. Seleccione **Cuenta actual** como la zona de confianza para el analizador.
**nota**  
Si su cuenta no es la de administración de AWS Organizations o la de [administrador delegado](access-analyzer-delegated-administrator.md), puede crear un solo analizador con su cuenta como zona de confianza.

1. Opcional. Agregue las etiquetas que desee aplicar al analizador.

1. Elija **Crear analizador**.

Cuando crea un analizador de acceso externo para activar el Analizador de acceso de IAM, se crea en su cuenta un rol vinculado a servicios denominado `AWSServiceRoleForAccessAnalyzer`.

## Creación de un analizador de acceso externo con la organización como zona de confianza
<a name="access-analyzer-create-external-organization"></a>

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. Elija **Crear analizador**.

1. En la sección **Análisis**, seleccione **Análisis de recurso: acceso externo**.

1. En la sección **Información del analizador** confirme que la región mostrada es la región en la que desea activar el Analizador de acceso de IAM.

1. Escriba un nombre para el analizador.

1. Elija **Organización actual** como la zona de confianza del analizador.

1. Opcional. Agregue las etiquetas que desee aplicar al analizador.

1. Elija **Enviar**.

Cuando crea un analizador de acceso externo con la organización como zona de confianza, se crea un rol vinculado a servicios denominado `AWSServiceRoleForAccessAnalyzer` en cada cuenta de la organización.

# Administración de un analizador de acceso externo de Analizador de acceso de IAM
<a name="access-analyzer-manage-external"></a>

Para activar el analizador de acceso externo, debe crear un analizador en dicha región. Debe crear un analizador de acceso externo en cada región en la que desee monitorizar el acceso a los recursos.

**nota**  
Después de crear o actualizar un analizador, los resultados pueden tardar un tiempo en estar disponibles.

## Actualización de un analizador de acceso externo
<a name="access-analyzer-manage-external-update"></a>

Utilice el siguiente procedimiento para actualizar un analizador de acceso externo.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. En la sección **Analizadores**, seleccione el nombre del analizador de acceso externo que desea administrar.

1. En la pestaña **Reglas de archivado**, puede crear, editar o eliminar reglas de archivado para el analizador. Para obtener más información, consulte [Reglas de archivado](access-analyzer-archive-rules.md).

1. En la pestaña **Etiquetas**, puede administrar y crear etiquetas para el analizador. Para obtener más información, consulte [Etiquetas para recursos de AWS Identity and Access Management](id_tags.md).

## Eliminación de un analizador de acceso externo
<a name="access-analyzer-manage-external-delete"></a>

Utilice el siguiente procedimiento para eliminar un analizador de acceso externo. Al eliminar un analizador, los recursos dejan de supervisarse y no se generan nuevos resultados. Se eliminan todos los resultados generados por el analizador.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. En la sección **Analizadores**, seleccione el nombre del analizador de acceso externo que desea eliminar.

1. Elija **Eliminar analizador**.

1. Escriba **eliminar** y elija **Eliminar** para confirmar la eliminación del analizador.

# Creación de un analizador de acceso interno de Analizador de acceso de IAM
<a name="access-analyzer-create-internal"></a>

Para activar el analizador de acceso interno en una Región, debe crear un analizador en dicha Región. Debe crear un analizador de acceso interno en cada región en la que desee monitorizar el acceso a los recursos.

El Analizador de acceso de IAM cobra por el análisis de acceso interno en función del número de recursos monitorizados por el analizador por mes. Para obtener más información sobre los precios, consulte los [precios del Analizador de acceso de IAM](https://aws.amazon.com/iam/access-analyzer/pricing).

**nota**  
Después de crear o actualizar un analizador, los resultados pueden tardar un tiempo en estar disponibles.  
El Analizador de acceso de IAM no puede generar resultados de acceso interno para las organizaciones que tienen más de 70 000 entidades principales (usuarios y roles de IAM juntos).  
Solo puede crear un analizador de acceso interno a nivel de organización en una organización de AWS.

## Creación de un analizador de acceso interno con la Cuenta de AWS como zona de confianza
<a name="access-analyzer-create-internal-account"></a>

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. Elija **Crear analizador**.

1. En la sección **Análisis**, seleccione **Análisis de recurso: acceso interno**.

1. En la sección **Información del analizador** confirme que la región mostrada es la región en la que desea activar el Analizador de acceso de IAM.

1. Escriba un nombre para el analizador.

1. Seleccione **Cuenta actual** como la zona de confianza para el analizador.
**nota**  
Si su cuenta no es la de administración de AWS Organizations o la de [administrador delegado](access-analyzer-delegated-administrator.md), puede crear un solo analizador con su cuenta como zona de confianza.

1. En la sección **Recursos para analizar**, agregue recursos para que el analizador los monitorice.
   + Para añadir recursos por cuenta, seleccione **Añadir > Añadir recursos de las cuentas seleccionadas**.

     1. Seleccione **Todos los tipos de recursos compatibles** o seleccione **Definir tipos de recursos específicos** y seleccione los tipos de recursos de la lista **Tipo de recurso**.

        Los analizadores de acceso interno son compatibles con los siguientes tipos de recursos:
        + [Buckets de Amazon Simple Storage Service Batch](access-analyzer-resources.md#access-analyzer-s3)
        + [Buckets de directorio de Amazon Simple Storage Service Batch](access-analyzer-resources.md#access-analyzer-s3-directory)
        + [Instantáneas de base de datos de Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db)
        + [Instantáneas de clúster de base de datos de Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
        + [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
        + [Tablas de Amazon DynamoDB](access-analyzer-resources.md#access-analyzer-ddb-table)

     1. Elija **Agregar recursos**.
   + Para añadir recursos por nombre de recurso de Amazon (ARN), seleccione **Añadir recursos > Añadir recursos pegando el ARN del recurso**.
**nota**  
Los ARN deben tener una coincidencia exacta; no se admiten caracteres comodín. En Amazon S3, solo se admiten los ARN de bucket. No se admiten los ARN ni los prefijos de los objetos de Amazon S3.

     1. Para cada ARN de recurso, introduzca el ID del propietario de la cuenta y el ARN del recurso separados por una coma. Introduzca un ID de propietario de cuenta y un ARN de recurso por línea.

     1. Elija **Agregar recursos**.
   + Para añadir recursos mediante un archivo CSV, seleccione **Añadir recursos > Añadir recursos cargando un CSV**.

     Puedes usar [Explorador de recursos de AWS](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) para buscar recursos en sus cuentas y exportar un archivo CSV. A continuación, puede cargar el archivo CSV para configurar los recursos que el analizador debe monitorizar.

     1. Seleccione **Elegir un archivo** y luego seleccione el archivo CSV desde el equipo local.

     1. Elija **Agregar recursos**.

1. Opcional. Agregue las etiquetas que desee aplicar al analizador.

1. Elija **Crear analizador**.

Cuando crea un analizador de acceso interno para activar el Analizador de acceso de IAM, se crea en su cuenta un rol vinculado a servicios denominado `AWSServiceRoleForAccessAnalyzer`.

## Creación de un analizador de acceso interno con la organización como zona de confianza
<a name="access-analyzer-create-internal-organization"></a>

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. Elija **Crear analizador**.

1. En la sección **Análisis**, seleccione **Análisis de recurso: acceso interno**.

1. En la sección **Información del analizador** confirme que la región mostrada es la región en la que desea activar el Analizador de acceso de IAM.

1. Escriba un nombre para el analizador.

1. Seleccione **Organización entera** como la zona de confianza del analizador.

1. En la sección **Recursos para analizar**, agregue recursos para que el analizador los monitorice.
   + Para añadir recursos a la cuenta, seleccione **Añadir recursos > Añadir recursos de las cuentas seleccionadas**.

     1. Seleccione **Todos los tipos de recursos compatibles** o seleccione **Definir tipos de recursos específicos** y seleccione los tipos de recursos de la lista **Tipo de recurso**.

        Los analizadores de acceso interno son compatibles con los siguientes tipos de recursos:
        + [Buckets de Amazon Simple Storage Service Batch](access-analyzer-resources.md#access-analyzer-s3)
        + [Buckets de directorio de Amazon Simple Storage Service Batch](access-analyzer-resources.md#access-analyzer-s3-directory)
        + [Instantáneas de base de datos de Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db)
        + [Instantáneas de clúster de base de datos de Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
        + [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
        + [Tablas de Amazon DynamoDB](access-analyzer-resources.md#access-analyzer-ddb-table)

     1. Para seleccionar cuentas de su organización, seleccione **Seleccionar de la organización**. En la sección **Seleccionar cuentas**, seleccione **Jerarquía** para seleccionar las cuentas por estructura organizativa o **Lista** para seleccionar las cuentas de una lista de todas las cuentas de su organización.

        Para introducir manualmente las cuentas de su organización, seleccione **Introducir ID de cuenta de AWS**. Introduzca uno o más ID de Cuenta de AWS separados por comas en el campo del **identificador de la cuenta de AWS**.

     1. Elija **Agregar recursos**.
   + Para añadir recursos por nombre de recurso de Amazon (ARN), seleccione **Añadir recursos > Añadir recursos pegando el ARN del recurso**.
**nota**  
Los ARN deben tener una coincidencia exacta; no se admiten caracteres comodín. En Amazon S3, solo se admiten los ARN de bucket. No se admiten los ARN ni los prefijos de los objetos de Amazon S3.

     1. Para cada ARN de recurso, introduzca el ID del propietario de la cuenta y el ARN del recurso separados por una coma. Introduzca un ID de propietario de cuenta y un ARN de recurso por línea.

     1. Elija **Agregar recursos**.
   + Para añadir recursos mediante un archivo CSV, seleccione **Añadir recursos > Añadir recursos cargando un CSV**.

     Puedes usar [Explorador de recursos de AWS](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) para buscar recursos en sus cuentas y exportar un archivo CSV. A continuación, puede cargar el archivo CSV para configurar los recursos que el analizador debe monitorizar.

     1. Seleccione **Elegir un archivo** y luego seleccione el archivo CSV desde el equipo local.

     1. Elija **Agregar recursos**.

1. Opcional. Agregue las etiquetas que desee aplicar al analizador.

1. Elija **Enviar**.

Cuando crea un analizador de acceso interno con la organización como zona de confianza, se crea un rol vinculado a servicios denominado `AWSServiceRoleForAccessAnalyzer` en cada cuenta de la organización.

# Administración de un analizador de acceso interno de Analizador de acceso de IAM
<a name="access-analyzer-manage-internal"></a>

Para activar el analizador de acceso interno en una Región, debe crear un analizador en dicha Región. Debe crear un analizador de acceso interno en cada región en la que desee monitorizar el acceso a los recursos.

**nota**  
Después de crear o actualizar un analizador, los resultados pueden tardar un tiempo en estar disponibles.

## Actualización de un analizador de acceso interno
<a name="access-analyzer-manage-internal-update"></a>

Utilice el siguiente procedimiento para actualizar un analizador de acceso interno.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. En la sección **Analizadores**, seleccione el nombre del analizador de acceso interno que desee administrar.

1. En la pestaña **Reglas de archivado**, puede crear, editar o eliminar reglas de archivado para el analizador. Para obtener más información, consulte [Reglas de archivado](access-analyzer-archive-rules.md).

1. En la pestaña **Etiquetas**, puede administrar y crear etiquetas para el analizador. Para obtener más información, consulte [Etiquetas para recursos de AWS Identity and Access Management](id_tags.md).

1. En la pestaña **Recursos**, seleccione **Editar** en la sección **Recursos para analizar**.

   1. Para añadir recursos por cuenta, seleccione **Añadir recursos > Añadir recursos de las cuentas seleccionadas**.

      1. Seleccione **Todos los tipos de recursos compatibles** o seleccione **Definir tipos de recursos específicos** y seleccione los tipos de recursos de la lista **Tipo de recurso**.

         Los analizadores de acceso interno son compatibles con los siguientes tipos de recursos:
         + [Buckets de Amazon Simple Storage Service Batch](access-analyzer-resources.md#access-analyzer-s3)
         + [Buckets de directorio de Amazon Simple Storage Service Batch](access-analyzer-resources.md#access-analyzer-s3-directory)
         + [Instantáneas de base de datos de Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db)
         + [Instantáneas de clúster de base de datos de Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
         + [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
         + [Tablas de Amazon DynamoDB](access-analyzer-resources.md#access-analyzer-ddb-table)

      1. Elija **Agregar recursos**.

   1. Para añadir recursos por nombre de recurso de Amazon (ARN), seleccione **Añadir recursos > Añadir recursos pegando el ARN del recurso**.
**nota**  
Los ARN deben tener una coincidencia exacta; no se admiten caracteres comodín. En Amazon S3, solo se admiten los ARN de bucket. No se admiten los ARN ni los prefijos de los objetos de Amazon S3.

      1. Para cada ARN de recurso, introduzca el ID del propietario de la cuenta y el ARN del recurso separados por una coma. Introduzca un ID de propietario de cuenta y un ARN de recurso por línea.

      1. Elija **Agregar recursos**.

   1. Para añadir recursos mediante un archivo CSV, seleccione **Añadir recursos > Añadir recursos cargando un CSV**.

      Puedes usar [Explorador de recursos de AWS](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) para buscar recursos en sus cuentas y exportar un archivo CSV. A continuación, puede cargar el archivo CSV para configurar los recursos que el analizador debe monitorizar.

      1. Seleccione **Elegir un archivo** y luego seleccione el archivo CSV desde el equipo local.

      1. Elija **Agregar recursos**.

   1. Para eliminar recursos del analizador, seleccione la casilla de verificación situada junto a los recursos que deseas eliminar y seleccione **Eliminar**.

   1. Seleccione **Save changes (Guardar cambios)**.

**nota**  
Cualquier actualización del analizador se evaluará en el próximo reescaneo automático en un plazo de 24 horas.

## Eliminación de un analizador de acceso interno
<a name="access-analyzer-manage-internal-delete"></a>

Utilice el siguiente procedimiento para eliminar un analizador de acceso interno. Al eliminar un analizador, los recursos dejan de supervisarse y no se generan nuevos resultados. Se eliminan todos los resultados generados por el analizador.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. En la sección **Analizadores**, seleccione el nombre del analizador de acceso interno que desee eliminar.

1. Elija **Eliminar analizador**.

1. Escriba **eliminar** y elija **Eliminar** para confirmar la eliminación del analizador.

# Creación de un analizador de acceso no utilizado de IAM Access Analyzer
<a name="access-analyzer-create-unused"></a>

## Creación de un analizador de acceso no utilizado para la cuenta actual
<a name="access-analyzer-create-unused-account"></a>

Utilice el siguiente procedimiento para crear un analizador de acceso no utilizado para una sola Cuenta de AWS. En el caso del acceso no utilizado, los resultados del analizador no cambian en función de la región. No es necesario crear un analizador en cada región en la que tenga recursos.

El Analizador de acceso de IAM cobra por el análisis de acceso no utilizado en función del número de usuarios y roles de IAM analizados por mes y por analizador. Para obtener más información sobre los precios, consulte los [precios del Analizador de acceso de IAM ](https://aws.amazon.com/iam/access-analyzer/pricing).

**nota**  
Después de crear o actualizar un analizador, los resultados pueden tardar un tiempo en estar disponibles.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. Elija **Crear analizador**.

1. En la sección **Análisis**, seleccione **Análisis de entidad principal: acceso no utilizado**.

1. Escriba un nombre para el analizador.

1. En **Período de seguimiento**, ingrese el número de días para el análisis. El analizador solo evaluará los permisos de las entidades de IAM de la cuenta seleccionada que hayan existido durante todo el período de seguimiento. Por ejemplo, si establece un período de seguimiento de 90 días, solo se analizarán los permisos que tengan al menos 90 días de antigüedad y se generarán resultados si no muestran uso durante este período. Puede especificar un valor comprendido entre 1 y 365 días.

1. En la sección **Información del analizador** confirme que la región mostrada es la región en la que desea activar el Analizador de acceso de IAM.

1. Para las **Cuentas seleccionadas**, seleccione **Cuenta actual**.
**nota**  
Si su cuenta no es la cuenta de administrador de AWS Organizations o [cuenta de administrador delegado](access-analyzer-delegated-administrator.md), puede crear un solo analizador con su cuenta como la cuenta seleccionada.

1. Opcional. En la sección **Excluir usuarios y roles de IAM con etiquetas**, puede especificar pares clave-valor para que los usuarios y roles de IAM se excluyan del análisis de acceso no utilizado. No se generarán resultados para los roles y usuarios de IAM excluidos que coincidan con los pares clave-valor. Para la **Clave de etiqueta**, introduzca un valor de entre 1 y 128 caracteres sin el prefijo `aws:`. Para el **Valor**, puede introducir un valor de entre 0 y 256 caracteres de longitud. Si no introduce un **Valor**, la regla se aplica a todas las entidades principales que tengan la **Clave de etiqueta** especificada. Seleccione **Añadir nueva exclusión** para añadir pares clave-valor adicionales que desee excluir.

1. Opcional. Agregue las etiquetas que desee aplicar al analizador.

1. Elija **Crear analizador**.

Cuando crea un analizador de acceso no utilizado para activar el Analizador de acceso de IAM, se crea en su cuenta un rol vinculado a servicios denominado `AWSServiceRoleForAccessAnalyzer`.

## Creación de un analizador de acceso no utilizado con la organización actual
<a name="access-analyzer-create-unused-organization"></a>

Utilice el siguiente procedimiento para crear un analizador de acceso no utilizado para que una organización revise de forma centralizada todas las Cuentas de AWS de una organización. En el análisis de acceso no utilizado, los resultados del analizador no cambian en función de la región. No es necesario crear un analizador en cada región en la que tenga recursos.

El Analizador de acceso de IAM cobra por el análisis de acceso no utilizado en función del número de usuarios y roles de IAM analizados por mes y por analizador. Para obtener más información sobre los precios, consulte los [precios del Analizador de acceso de IAM ](https://aws.amazon.com/iam/access-analyzer/pricing).

**nota**  
Si se elimina la cuenta de un miembro de la organización, el analizador de acceso no utilizado dejará de generar nuevos resultados y de actualizar los resultados existentes para esa cuenta después de 24 horas. Los resultados asociados a la cuenta de miembro que se elimine de la organización se eliminarán permanentemente después de 90 días.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. Elija **Crear analizador**.

1. En la sección **Análisis**, seleccione **Análisis de entidad principal: acceso no utilizado**.

1. Escriba un nombre para el analizador.

1. En **Período de seguimiento**, ingrese el número de días para el análisis. El analizador solo evaluará los permisos de las entidades de IAM dentro de las cuentas de la organización seleccionada que hayan existido durante todo el período de seguimiento. Por ejemplo, si establece un período de seguimiento de 90 días, solo se analizarán los permisos que tengan al menos 90 días de antigüedad y se generarán resultados si no muestran uso durante este período. Puede especificar un valor comprendido entre 1 y 365 días.

1. En la sección **Información del analizador** confirme que la región mostrada es la región en la que desea activar el Analizador de acceso de IAM.

1. Para las **Cuentas seleccionadas**, seleccione **Organización actual**.

1. Opcional. En la sección **Excluir Cuentas de AWS del análisis**, puede elegir Cuentas de AWS en su organización para excluirlas del análisis de acceso no utilizado. No se generarán resultados para las cuentas excluidas.

   1. Para especificar ID de cuentas individuales que desea excluir, elija **Especificar ID de la Cuenta de AWS** e introduzca los ID de las cuentas, separados por comas, en el campo **ID de la Cuenta de AWS**. Seleccione **Excluir**. A continuación, las cuentas se muestran en la tabla de **Cuentas de AWS excluidas**.

   1. Para elegir de una lista de cuentas de su organización y excluirlas, elija **Elegir de la organización**.

      1. Puede buscar cuentas por nombre, correo electrónico e ID de cuenta en el campo **Excluir cuentas de la organización**.

      1. Seleccione **Jerarquía** para ver sus cuentas por unidad organizativa o seleccione **Lista** para ver una lista de todas las cuentas individuales de su organización.

      1. Seleccione **Excluir todas las cuentas actuales** para excluir todas las cuentas de una unidad organizativa o seleccione **Excluir** para excluir cuentas individuales.

   A continuación, las cuentas se muestran en la tabla de **Cuentas de AWS excluidas**.
**nota**  
Las cuentas excluidas no pueden incluir la cuenta del propietario del analizador de la organización. Cuando se añaden nuevas cuentas a la organización, no se excluyen del análisis, incluso si anteriormente se excluyeron todas las cuentas actuales de una unidad organizativa. Para obtener más información sobre la exclusión de cuentas después de crear un analizador de acceso no utilizado, consulte [Administración de un analizador de acceso no utilizado de Analizador de acceso de IAM](access-analyzer-manage-unused.md).

1. Opcional. En la sección **Excluir usuarios y roles de IAM con etiquetas**, puede especificar pares clave-valor para que los usuarios y roles de IAM se excluyan del análisis de acceso no utilizado. No se generarán resultados para los roles y usuarios de IAM excluidos que coincidan con los pares clave-valor. Para la **Clave de etiqueta**, introduzca un valor de entre 1 y 128 caracteres sin el prefijo `aws:`. Para el **Valor**, puede introducir un valor de entre 0 y 256 caracteres de longitud. Si no introduce un **Valor**, la regla se aplica a todas las entidades principales que tengan la **Clave de etiqueta** especificada. Seleccione **Añadir nueva exclusión** para añadir pares clave-valor adicionales que desee excluir.

1. Opcional. Agregue las etiquetas que desee aplicar al analizador.

1. Elija **Crear analizador**.

Cuando crea un analizador de acceso no utilizado para activar el Analizador de acceso de IAM, se crea en su cuenta un rol vinculado a servicios denominado `AWSServiceRoleForAccessAnalyzer`.

# Administración de un analizador de acceso no utilizado de Analizador de acceso de IAM
<a name="access-analyzer-manage-unused"></a>

Utilice la información de este tema para obtener información acerca de cómo actualizar o eliminar un analizador de acceso no utilizado existente.

**nota**  
Después de crear o actualizar un analizador, los resultados pueden tardar un tiempo en estar disponibles.

## Actualización de un analizador de acceso no utilizado
<a name="access-analyzer-manage-unused-update"></a>

Utilice el siguiente procedimiento para actualizar un analizador de acceso no utilizado.

El Analizador de acceso de IAM cobra por el análisis de acceso no utilizado en función del número de usuarios y roles de IAM analizados por mes y por analizador. Para obtener más información sobre los precios, consulte los [precios del Analizador de acceso de IAM ](https://aws.amazon.com/iam/access-analyzer/pricing).

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. En la sección **Analizadores**, seleccione el nombre del analizador de acceso no utilizado que desee administrar.

1. En la pestaña **Exclusión**, si el analizador se creó para una organización como el ámbito de análisis, elija **Administrar** en la sección **Cuentas de AWS excluidas**.

   1. Para especificar el ID de cuentas individuales que desea excluir, elija **Especificar el ID de la Cuenta de AWS** e introduzca los ID de las cuentas, separados por comas, en el campo **ID de la Cuenta de AWS**. Seleccione **Excluir**. A continuación, las cuentas se muestran en la tabla de **Cuentas de AWS excluidas**.

   1. Para elegir de una lista de cuentas de su organización y excluirlas, elija **Elegir de la organización**.

      1. Puede buscar cuentas por nombre, correo electrónico e ID de cuenta en el campo **Excluir cuentas de la organización**.

      1. Seleccione **Jerarquía** para ver sus cuentas por unidad organizativa o seleccione **Lista** para ver una lista de todas las cuentas individuales de su organización.

      1. Seleccione **Excluir todas las cuentas actuales** para excluir todas las cuentas de una unidad organizativa o seleccione **Excluir** para excluir cuentas individuales.

      A continuación, las cuentas se muestran en la tabla de **Cuentas de AWS para excluir**.

   1. Para eliminar las cuentas que desea excluir, seleccione **Eliminar** junto a la cuenta en la tabla **Cuentas de AWS para excluir**.

   1. Seleccione **Save changes (Guardar cambios)**.
**nota**  
Las cuentas excluidas no pueden incluir la cuenta del propietario del analizador de la organización.
Cuando se añaden nuevas cuentas a la organización, no se excluyen del análisis, incluso si anteriormente se excluyeron todas las cuentas actuales de una unidad organizativa.
Luego de actualizar las exclusiones de un analizador, la lista de cuentas excluidas puede tardar hasta dos días en actualizarse.

1. En la pestaña **Exclusión**, elija **Administrar** en la sección **Usuarios y roles de IAM con etiquetas excluidos**.

   1. Puede especificar pares clave-valor para los roles y usuarios de IAM para excluirlos del análisis de acceso no utilizado. Para la **Clave de etiqueta**, introduzca un valor de entre 1 y 128 caracteres sin el prefijo `aws:`. Para el **Valor**, puede introducir un valor de entre 0 y 256 caracteres de longitud. Si no introduce un **Valor**, la regla se aplica a todas las entidades principales que tengan la **Clave de etiqueta** especificada.

   1. Seleccione **Añadir nueva exclusión** para añadir pares clave-valor adicionales que desee excluir.

   1. Para eliminar los pares clave-valor que desee excluir, seleccione **Eliminar** junto al par clave-valor.

   1. Seleccione **Save changes (Guardar cambios)**.

1. En la pestaña **Reglas de archivado**, puede crear, editar o eliminar reglas de archivado para el analizador. Para obtener más información, consulte [Reglas de archivado](access-analyzer-archive-rules.md).

1. En la pestaña **Etiquetas**, puede administrar y crear etiquetas para el analizador. Para obtener más información, consulte [Etiquetas para recursos de AWS Identity and Access Management](id_tags.md).

## Eliminación de un analizador de acceso no utilizado
<a name="access-analyzer-manage-unused-delete"></a>

Utilice el siguiente procedimiento para eliminar un analizador de acceso no utilizado. Al eliminar un analizador, los recursos dejan de supervisarse y no se generan nuevos resultados. Se eliminan todos los resultados generados por el analizador.

1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. En **Analizador de acceso**, seleccione **Acceso no utilizado**.

1. En **Analizador de acceso**, elija **Configuración del analizador**.

1. En la sección **Analizadores**, seleccione el nombre del analizador de acceso no utilizado que desee eliminar.

1. Elija **Eliminar analizador**.

1. Escriba **eliminar** y elija **Eliminar** para confirmar la eliminación del analizador.