Administrateur délégué pour IAM Access Analyzer - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Administrateur délégué pour IAM Access Analyzer

Si vous configurez AWS Identity and Access Management Access Analyzer dans votre compte AWS Organizations de gestion, vous pouvez ajouter un compte de membre de l'organisation en tant qu'administrateur délégué chargé de gérer IAM Access Analyzer pour votre organisation. L’administrateur délégué dispose des autorisations pour créer et gérer des analyseurs au sein de l’organisation. Seul le compte de gestion peut ajouter un administrateur délégué.

L'administrateur délégué d'IAMAccess Analyzer est un compte membre au sein de l'organisation autorisé à créer et à gérer des analyseurs qui analysent les accès au sein de l'organisation. Seul le compte de gestion peut ajouter, supprimer ou modifier un administrateur délégué.

Si vous ajoutez un administrateur délégué, vous pouvez ultérieurement passer à un compte différent pour l'administrateur délégué. Dans ce cas, le compte d’administrateur délégué précédent perd l’autorisation sur tous les analyseurs qui ont été créés à l’aide de ce compte pour analyser les accès à travers l’organisation. Ces analyseurs passent à l'état désactivé et ne génèrent plus de résultats et ne mettent pas à jour les résultats existants. Les résultats existants pour ces analyseurs ne sont plus accessibles. Vous pouvez y accéder à nouveau ultérieurement en configurant le compte en tant qu'administrateur délégué. Si vous savez que vous n'utiliserez pas le même compte qu'un administrateur délégué, vous pouvez envisager de supprimer les analyseurs avant de changer d'administrateur délégué. Cela supprime tous les résultats générés. Lorsque le nouvel administrateur délégué crée de nouveaux analyseurs, de nouvelles instances des mêmes résultats sont générées. Vous ne perdez pas les résultats. Ceux-ci sont simplement générés pour le nouvel analyseur dans un compte différent. Vous pouvez également continuer à accéder aux résultats de l'organisation à l'aide du compte de gestion de l'organisation, qui dispose également des autorisations d'administrateur. Le nouvel administrateur délégué doit créer de nouveaux analyseurs pour qu'IAMAccess Analyzer puisse commencer à surveiller les ressources de votre organisation.

Si l'administrateur délégué quitte l' AWS organisation, les privilèges d'administration délégués sont supprimés du compte. Tous les analyseurs du compte dont l'organisation est la zone de confiance passent à l'état désactivé. Les résultats existants pour ces analyseurs ne sont plus accessibles.

La première fois que vous configurez des analyseurs dans le compte de gestion, vous pouvez choisir Ajouter un administrateur délégué sur la page des paramètres de l'analyseur de la console IAM Access Analyzer.

Note

IAMAccess Analyzer facture les analyseurs d'accès non utilisés en fonction du nombre de IAM rôles et d'utilisateurs analysés par analyseur et par mois. Si vous créez un analyseur d’accès non utilisé dans le compte de gestion et le compte d’administrateur délégué, les deux analyseurs d’accès non utilisés vous seront facturés. Pour plus de détails sur les tarifs, consultez la section Tarification IAM d'Access Analyzer.

Après avoir modifié l'administrateur délégué, le nouvel administrateur doit créer des analyseurs pour commencer à surveiller l'accès aux ressources de votre organisation.