# Conceitos básicos do AWS Identity and Access Management Access Analyzer
<a name="access-analyzer-getting-started"></a>

Use as informações deste tópico para saber mais sobre os requisitos necessários para usar e gerenciar o AWS Identity and Access Management Access Analyzer.

## Permissões necessárias para usar o IAM Access Analyzer
<a name="access-analyzer-permissions"></a>

Para configurar e usar o IAM Access Analyzer com êxito, a conta usada deve receber as permissões necessárias. 

### Políticas gerenciadas pela AWS para o IAM Access Analyzer
<a name="access-analyzer-permissions-awsmanpol"></a>

O AWS Identity and Access Management Access Analyzer fornece políticas gerenciadas da AWS para ajudar você a começar rapidamente.
+ [IAMAccessAnalyzerFullAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerFullAccess): permite acesso total dos administradores ao IAM Access Analyzer. Esta política também permite criar as funções vinculadas ao serviço que são necessárias para permitir que o IAM Access Analyzer analise recursos em sua conta ou organização da AWS.
+ [IAMAccessAnalyzerReadOnlyAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerReadOnlyAccess): permite acesso somente leitura ao IAM. Você deve adicionar políticas adicionais às suas identidades do IAM (usuários, grupos de usuários ou funções) para permitir que elas visualizem suas descobertas.

### Recursos definidos pelo IAM Access Analyzer
<a name="permission-resources"></a>

Para visualizar os recursos definidos pelo Access Analyzer, consulte [Tipos de recursos definidos pelo IAM Access Analyzer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-resources-for-iam-policies) na *Referência de autorização do serviço*.

### Permissões necessárias do serviço IAM Access Analyzer
<a name="access-analyzer-permissions-service"></a>

O IAM Access Analyzer usa uma função vinculada ao serviço (SRL) chamada de `AWSServiceRoleForAccessAnalyzer`. Essa SLR concede ao serviço acesso somente leitura a fim de analisar recursos AWS com políticas baseadas em recursos e analisar acessos não utilizados em seu nome. O serviço cria a função na sua conta nas seguintes situações:
+ Você cria um analisador de acessos externos com sua conta como zona de confiança.
+ Você cria um analisador de acessos não utilizados com sua conta como a conta selecionada.
+ Você cria um analisador de acesso interno com a sua conta como zona de confiança.

Para obter mais informações, consulte [Usar perfis vinculados a serviço do AWS Identity and Access Management Access Analyzer](access-analyzer-using-service-linked-roles.md).

**nota**  
O IAM Access Analyzer é regional. Para analisadores de acesso externo e interno, você deve habilitar o IAM Access Analyzer em cada região separadamente.  
Para acessos não utilizados, as descobertas do analisador não mudam com base na região. Não é necessário criar um analisador em cada região em que você tem recursos.

Em alguns casos, após você criar um analisador no IAM Access Analyzer, a página ou o painel **Descobertas** é carregado sem nenhuma descoberta ou resumo. Isso pode ocorrer devido a um atraso no console para preencher as descobertas. Talvez seja necessário atualizar manualmente o navegador ou voltar mais tarde para visualizar as descobertas ou o resumo. Se ainda não for exibida nenhuma descoberta para um analisador de acessos externos, é porque você não tem recursos compatíveis na conta que possam ser acessados por uma entidade externa. Se uma política que concede acesso a uma entidade externa for aplicada a um recurso, o IAM Access Analyzer gerará uma descoberta.

**nota**  
Para analisadores de acesso externo, depois que uma política é modificada, o IAM Access Analyzer pode levar até 30 minutos para analisar o recurso e gerar uma nova descoberta ou atualizar uma descoberta existente para o acesso ao recurso.  
Quando você cria um analisador de acesso interno, pode levar vários minutos ou horas para as descobertas ficarem disponíveis. Após a verificação inicial, o IAM Access Analyzer torna a varrer automaticamente todas as políticas a cada 24 horas.  
Para todos os tipos de analisadores de acesso, as atualizações das descobertas podem não ser refletidas imediatamente no painel.

### Permissões necessárias do IAM Access Analyzer para visualizar o painel de descobertas
<a name="access-analyzer-permissions-dashboard"></a>

Para visualizar o [painel de descobertas do IAM Access Analyzer](access-analyzer-dashboard.md), a conta usada deve receber acesso a fim de realizar as seguintes ações necessárias:
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html)

Para visualizar todas as ações definidas pelo IAM Access Analyzer, consulte [Ações definidas pelo IAM Access Analyzer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-actions-as-permissions) na *Referência de autorização do serviço*.

## Status do IAM Access Analyzer
<a name="access-analyzer-status"></a>

Para visualizar o status dos analisadores, selecione **Analyzers (Analisadores)**. Os analisadores criados para uma organização ou uma conta podem ter os seguintes status:


| Status | Descrição | 
| --- | --- | 
|  Ativo  |  Para analisadores de acesso externo e interno, o analisador está monitorando ativamente os recursos dentro da sua zona de confiança. O analisador gera ativamente novas descobertas e atualiza as descobertas existentes. Para analisadores de acessos não utilizados, o analisador está monitorando ativamente os acessos não utilizados na Conta da AWS ou na organização selecionada no período de rastreamento especificado. O analisador gera ativamente novas descobertas e atualiza as descobertas existentes.  | 
|  Criando  |  A criação do analisador ainda está em andamento. O analisador fica ativo quando a criação é concluída.  | 
|  Desabilitado  |  O analisador é desabilitado devido a uma ação executada pelo administrador do AWS Organizations. Por exemplo, remover a conta do analisador como administrador delegado do IAM Access Analyzer. Quando o analisador está em um estado desabilitado, ele não gera novas descobertas nem atualiza as descobertas existentes.  | 
|  Failed  |  A criação do analisador falhou devido a um problema de configuração. O analisador não gerará nenhuma descoberta. Exclua o analisador e crie outro analisador.  | 

# Criação de um analisador de acessos externos do IAM Access Analyzer
<a name="access-analyzer-create-external"></a>

Para habilitar um analisador de acessos externos em uma região, é necessário criar um analisador nessa região. É necessário criar um analisador de acessos externos em cada região onde deseja monitorar o acesso aos recursos.

**nota**  
Após você criar ou atualizar um analisador, pode levar algum tempo para as descobertas ficarem disponíveis.

## Criação de um analisador de acessos externos com a Conta da AWS como zona de confiança
<a name="access-analyzer-create-external-account"></a>

1. Abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Selecione **Create analyzer (Criar analisador)**.

1. Na seção **Análise**, escolha **Análise de recursos: acesso externo**.

1. Na seção **Detalhes do analisador** confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.

1. Insira um nome para o analisador.

1. Escolha **Conta atual** como a zona de confiança do analisador.
**nota**  
Se sua conta não for a conta de gerenciamento do AWS Organizations ou uma conta de [administrador substituto](access-analyzer-delegated-administrator.md), você pode criar apenas um analisador com sua conta como a zona de confiança.

1. Opcional. Adicione as tags que deseja aplicar ao analisador.

1. Selecione **Create analyzer (Criar analisador)**.

Ao criar um analisador de acessos externos para habilitar o IAM Access Analyzer, uma função vinculada a serviço chamada `AWSServiceRoleForAccessAnalyzer` será criada em sua conta.

## Criação de um analisador de acessos externos com a organização como zona de confiança
<a name="access-analyzer-create-external-organization"></a>

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Selecione **Create analyzer (Criar analisador)**.

1. Na seção **Análise**, escolha **Análise de recursos: acesso externo**.

1. Na seção **Detalhes do analisador** confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.

1. Insira um nome para o analisador.

1. Escolha **Organização atual** como a zona de confiança para o analisador.

1. Opcional. Adicione as tags que deseja aplicar ao analisador.

1. Selecione **Enviar**.

Quando você cria um analisador de acessos externos com a organização como a zona de confiança, uma função vinculada a serviço chamada `AWSServiceRoleForAccessAnalyzer` é criada em cada conta da organização.

# Gerenciamento de um analisador de acessos externos do IAM Access Analyzer
<a name="access-analyzer-manage-external"></a>

Para habilitar um analisador de acessos externos em uma região, é necessário criar um analisador nessa região. É necessário criar um analisador de acessos externos em cada região onde deseja monitorar o acesso aos recursos.

**nota**  
Após você criar ou atualizar um analisador, pode levar algum tempo para as descobertas ficarem disponíveis.

## Atualização de um analisador de acessos externos
<a name="access-analyzer-manage-external-update"></a>

Use o procedimento a seguir para atualizar um analisador de acesso externo.

1. Abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Na seção **Analisadores**, escolha o nome do analisador de acesso externo a ser gerenciado.

1. Na guia **Regras de arquivamento**, é possível criar, editar ou excluir regras de arquivamento para o analisador. Para obter mais informações, consulte [Regras de arquivamento](access-analyzer-archive-rules.md).

1. Na guia **Tags**, é possível gerenciar e criar tags para o analisador. Para obter mais informações, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md).

## Exclusão de um analisador de acessos externos
<a name="access-analyzer-manage-external-delete"></a>

Use o procedimento a seguir para excluir um analisador de acesso externo. Quando você exclui um analisador, os recursos não são mais monitorados e nenhuma nova descoberta é gerada. Todas as descobertas geradas pelo analisador são excluídas.

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Na seção **Analisadores**, escolha o nome do analisador de acesso externo a ser excluído.

1. Escolha **Excluir analisador**.

1. Insira **excluir** e escolha **Excluir** para confirmar a exclusão do analisador.

# Criar um analisador de acesso interno do IAM Access Analyzer
<a name="access-analyzer-create-internal"></a>

Para habilitar um analisador de acesso interno em uma região, você deve criar um analisador nessa região. Você deve criar um analisador de acesso interno em cada região onde quiser monitorar o acesso aos recursos.

O IAM Access Analyzer cobra análise de acesso interno com base no número de recursos monitorados por analisador por mês. Para obter mais detalhes sobre preços, consulte [Preços do IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/pricing).

**nota**  
Após você criar ou atualizar um analisador, pode levar algum tempo para as descobertas ficarem disponíveis.  
O IAM Access Analyzer não pode gerar descobertas de acesso interno para organizações com mais de 70.000 entidades principais (usuários e perfis do IAM combinados).  
Você pode criar somente um analisador de acesso interno ao nível organizacional de uma organização da AWS.

## Criar um analisador de acesso interno com a Conta da AWS como zona de confiança
<a name="access-analyzer-create-internal-account"></a>

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Selecione **Create analyzer (Criar analisador)**.

1. Na seção **Análise**, escolha **Análise de recursos: acesso interno**.

1. Na seção **Detalhes do analisador** confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.

1. Insira um nome para o analisador.

1. Escolha **Conta atual** como a zona de confiança do analisador.
**nota**  
Se sua conta não for a conta de gerenciamento do AWS Organizations ou uma conta de [administrador substituto](access-analyzer-delegated-administrator.md), você pode criar apenas um analisador com sua conta como a zona de confiança.

1. Na seção **Recursos a serem analisados**, adicione os recursos para o analisador monitorar.
   + Para adicionar recursos por conta, escolha **Adicionar > Adicionar recursos das contas selecionadas**.

     1. Escolha **Todos os tipos de recursos compatíveis** ou **Definir tipos de recursos específicos** e selecione os tipos de recursos na lista **Tipo de recurso**.

        Os analisadores de acesso interno são compatíveis com os seguintes tipos de recursos:
        + [Buckets do Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3)
        + [Buckets de diretório do Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3-directory)
        + [Snapshots de banco de dados do Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db)
        + [Snapshots de cluster de banco de dados do Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
        + [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
        + [Tabelas do Amazon DynamoDB](access-analyzer-resources.md#access-analyzer-ddb-table)

     1. Selecione **Adicionar recursos**.
   + Para adicionar recursos pelo nome do recurso da Amazon (ARN), escolha **Adicionar recursos > Adicionar recursos colando o ARN do recurso**.
**nota**  
ARNs devem ser correspondências exatas – curingas não são compatíveis. Para o Amazon S3, somente ARNs de bucket são compatíveis. ARNs de objetos e prefixos do Amazon S3 não são compatíveis.

     1. Para cada ARN de recurso, insira o ID do proprietário da conta e o ARN do recurso, separados por vírgula. Insira um único ID de proprietário de conta e ARN de recurso por linha.

     1. Selecione **Adicionar recursos**.
   + Para adicionar recursos por meio de um arquivo CSV, escolha **Adicionar recursos > Adicionar recursos carregando um CSV**.

     Você pode usar o [Explorador de recursos da AWS](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) para pesquisar recursos em suas contas e exportar um arquivo CSV. Depois, você pode carregar o arquivo CSV para configurar os recursos para o analisador monitorar.

     1. Escolha **Escolher arquivo** e selecione o arquivo CSV no seu computador.

     1. Selecione **Adicionar recursos**.

1. Opcional. Adicione as tags que deseja aplicar ao analisador.

1. Selecione **Create analyzer (Criar analisador)**.

Quando você cria um analisador de acesso interno para habilitar o IAM Access Analyzer, um perfil vinculado ao serviço denominado `AWSServiceRoleForAccessAnalyzer` é criado na sua conta.

## Criar um analisador de acesso interno com a organização como zona de confiança
<a name="access-analyzer-create-internal-organization"></a>

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Selecione **Create analyzer (Criar analisador)**.

1. Na seção **Análise**, escolha **Análise de recursos: acesso interno**.

1. Na seção **Detalhes do analisador** confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.

1. Insira um nome para o analisador.

1. Escolha **Toda a organização** como a zona de confiança do analisador.

1. Na seção **Recursos a serem analisados**, adicione os recursos para o analisador monitorar.
   + Para adicionar recursos à conta, escolha **Adicionar recursos > Adicionar recursos das contas selecionadas**.

     1. Escolha **Todos os tipos de recursos compatíveis** ou **Definir tipos de recursos específicos** e selecione os tipos de recursos na lista **Tipo de recurso**.

        Os analisadores de acesso interno são compatíveis com os seguintes tipos de recursos:
        + [Buckets do Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3)
        + [Buckets de diretório do Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3-directory)
        + [Snapshots de banco de dados do Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db)
        + [Snapshots de cluster de banco de dados do Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
        + [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
        + [Tabelas do Amazon DynamoDB](access-analyzer-resources.md#access-analyzer-ddb-table)

     1. Para selecionar contas da sua organização, escolha **Selecionar na organização**. Na seção **Selecionar contas**, escolha **Hierarquia** para selecionar contas por estrutura organizacional ou **Lista** para selecionar contas em uma lista de todas as contas da organização.

        Para inserir manualmente contas da organização, escolha **Inserir ID da conta da AWS**. Insira um ou mais IDs de Conta da AWS separados por vírgulas no campo **ID da conta da AWS**.

     1. Selecione **Adicionar recursos**.
   + Para adicionar recursos pelo nome do recurso da Amazon (ARN), escolha **Adicionar recursos > Adicionar recursos colando o ARN do recurso**.
**nota**  
ARNs devem ser correspondências exatas – curingas não são compatíveis. Para o Amazon S3, somente ARNs de bucket são compatíveis. ARNs de objetos e prefixos do Amazon S3 não são compatíveis.

     1. Para cada ARN de recurso, insira o ID do proprietário da conta e o ARN do recurso, separados por vírgula. Insira um único ID de proprietário de conta e ARN de recurso por linha.

     1. Selecione **Adicionar recursos**.
   + Para adicionar recursos por meio de um arquivo CSV, escolha **Adicionar recursos > Adicionar recursos carregando um CSV**.

     Você pode usar o [Explorador de recursos da AWS](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) para pesquisar recursos em suas contas e exportar um arquivo CSV. Depois, você pode carregar o arquivo CSV para configurar os recursos para o analisador monitorar.

     1. Escolha **Escolher arquivo** e selecione o arquivo CSV no seu computador.

     1. Selecione **Adicionar recursos**.

1. Opcional. Adicione as tags que deseja aplicar ao analisador.

1. Selecione **Enviar**.

Quando você cria um analisador de acesso interno com a organização como a zona de confiança, um perfil vinculado ao serviço, denominado `AWSServiceRoleForAccessAnalyzer`, é criado em cada conta da organização.

# Gerenciar um analisador de acesso interno do IAM Access Analyzer
<a name="access-analyzer-manage-internal"></a>

Para habilitar um analisador de acesso interno em uma região, você deve criar um analisador nessa região. Você deve criar um analisador de acesso interno em cada região onde quiser monitorar o acesso aos recursos.

**nota**  
Após você criar ou atualizar um analisador, pode levar algum tempo para as descobertas ficarem disponíveis.

## Atualizar um analisador de acesso interno
<a name="access-analyzer-manage-internal-update"></a>

Use o procedimento a seguir para atualizar um analisador de acesso interno.

1. Abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Na seção **Analisadores**, escolha o nome do analisador de acesso interno a ser gerenciado.

1. Na guia **Regras de arquivamento**, é possível criar, editar ou excluir regras de arquivamento para o analisador. Para obter mais informações, consulte [Regras de arquivamento](access-analyzer-archive-rules.md).

1. Na guia **Tags**, é possível gerenciar e criar tags para o analisador. Para obter mais informações, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md).

1. Na guia **Recursos**, escolha **Editar** na seção **Recursos a serem analisados**.

   1. Para adicionar recursos por conta, escolha **Adicionar recursos > Adicionar recursos das contas selecionadas**.

      1. Escolha **Todos os tipos de recursos compatíveis** ou **Definir tipos de recursos específicos** e selecione os tipos de recursos na lista **Tipo de recurso**.

         Os analisadores de acesso interno são compatíveis com os seguintes tipos de recursos:
         + [Buckets do Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3)
         + [Buckets de diretório do Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3-directory)
         + [Snapshots de banco de dados do Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db)
         + [Snapshots de cluster de banco de dados do Amazon Relational Database Service](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
         + [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
         + [Tabelas do Amazon DynamoDB](access-analyzer-resources.md#access-analyzer-ddb-table)

      1. Selecione **Adicionar recursos**.

   1. Para adicionar recursos pelo nome do recurso da Amazon (ARN), escolha **Adicionar recursos > Adicionar recursos colando o ARN do recurso**.
**nota**  
ARNs devem ser correspondências exatas – curingas não são compatíveis. Para o Amazon S3, somente ARNs de bucket são compatíveis. ARNs de objetos e prefixos do Amazon S3 não são compatíveis.

      1. Para cada ARN de recurso, insira o ID do proprietário da conta e o ARN do recurso, separados por vírgula. Insira um único ID de proprietário de conta e ARN de recurso por linha.

      1. Selecione **Adicionar recursos**.

   1. Para adicionar recursos por meio de um arquivo CSV, escolha **Adicionar recursos > Adicionar recursos carregando um CSV**.

      Você pode usar o [Explorador de recursos da AWS](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) para pesquisar recursos em suas contas e exportar um arquivo CSV. Depois, você pode carregar o arquivo CSV para configurar os recursos para o analisador monitorar.

      1. Escolha **Escolher arquivo** e selecione o arquivo CSV no seu computador.

      1. Selecione **Adicionar recursos**.

   1. Para remover recursos do analisador, marque a caixa de seleção ao lado dos recursos a serem removidos e escolha **Remover**.

   1. Escolha **Salvar alterações**.

**nota**  
Qualquer atualização do analisador será avaliada na próxima varredura automática dentro de 24 horas.

## Excluir um analisador de acesso interno
<a name="access-analyzer-manage-internal-delete"></a>

Use o procedimento a seguir para excluir um analisador de acesso interno. Quando você exclui um analisador, os recursos não são mais monitorados e nenhuma nova descoberta é gerada. Todas as descobertas geradas pelo analisador são excluídas.

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Na seção **Analisadores**, escolha o nome do analisador de acesso interno a ser excluído.

1. Escolha **Excluir analisador**.

1. Insira **excluir** e escolha **Excluir** para confirmar a exclusão do analisador.

# Criação de um analisador de acessos não utilizados do IAM Access Analyzer
<a name="access-analyzer-create-unused"></a>

## Criação de um analisador de acessos não utilizados para a conta atual
<a name="access-analyzer-create-unused-account"></a>

Use o procedimento a seguir para criar um analisador de acessos não utilizados para uma única Conta da AWS. Para acessos não utilizados, as descobertas do analisador não mudam com base na região. Não é necessário criar um analisador em cada região em que você tem recursos.

O IAM Access Analyzer cobra pela análise de acessos não utilizados com base no número de usuários e perfis do IAM analisados por mês por analisador. Para obter mais detalhes sobre preços, consulte [Preços do IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/pricing).

**nota**  
Após você criar ou atualizar um analisador, pode levar algum tempo para as descobertas ficarem disponíveis.

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Selecione **Create analyzer (Criar analisador)**.

1. Na seção **Análise**, escolha **Análise de entidade principal: acesso não utilizado**.

1. Insira um nome para o analisador.

1. Em **Período de rastreamento**, insira o número de dias para análise. O analisador avaliará permissões apenas para as entidades do IAM na conta selecionada que existiram durante todo o período de rastreamento. Por exemplo, se você definir um período de rastreamento de 90 dias, apenas as permissões com pelo menos 90 dias serão analisadas, e as descobertas serão geradas se elas não mostrarem nenhum uso durante esse período. Você pode inserir um valor entre 1 e 365 dias.

1. Na seção **Detalhes do analisador** confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.

1. Em **Contas selecionadas**, escolha **Conta atual**.
**nota**  
Se sua conta não for a conta de gerenciamento do AWS Organizations ou uma conta de [administrador delegado](access-analyzer-delegated-administrator.md), você pode criar apenas um analisador com sua conta como a conta selecionada.

1. Opcional. Na seção **Excluir perfis e usuários do IAM com tags**, é possível especificar pares de valores-chave para perfis e usuários do IAM a serem excluídos da análise de acesso não utilizado. As descobertas não serão geradas para perfis e usuários do IAM excluídos que correspondam aos pares de valores-chave. Para **Chave de tag**, insira um valor de 1 a 128 caracteres e que não tenha o prefixo `aws:`. Para **Valor**, é possível inserir um valor de 0 a 256 caracteres de comprimento. Se você não inserir um **Valor**, a regra será aplicada a todas as entidades principais com a **Chave de tag** especificada. Escolha **Adicionar nova exclusão** para adicionar mais pares de valores-chave a serem excluídos.

1. Opcional. Adicione as tags que deseja aplicar ao analisador.

1. Selecione **Create analyzer (Criar analisador)**.

Ao criar um analisador de acessos não utilizados para habilitar o IAM Access Analyzer, uma função vinculada ao serviço chamada `AWSServiceRoleForAccessAnalyzer` será criada em sua conta.

## Criação de um analisador de acessos não utilizados com a organização atual
<a name="access-analyzer-create-unused-organization"></a>

Use o procedimento a seguir para criar um analisador de acessos não utilizados para que uma organização analise centralmente todas as Contas da AWS em uma organização. Para a análise de acessos não utilizados, as descobertas do analisador não mudam com base na região. Não é necessário criar um analisador em cada região em que você tem recursos.

O IAM Access Analyzer cobra pela análise de acessos não utilizados com base no número de usuários e perfis do IAM analisados por mês por analisador. Para obter mais detalhes sobre preços, consulte [Preços do IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/pricing).

**nota**  
Se uma conta-membro for removida da organização, o analisador de acessos não utilizados deixará de gerar novas descobertas e atualizar as descobertas existentes para essa conta após 24 horas. As descobertas associadas à conta do membro que for removida da organização serão removidas permanentemente após 90 dias.

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Selecione **Create analyzer (Criar analisador)**.

1. Na seção **Análise**, escolha **Análise de entidade principal: acesso não utilizado**.

1. Insira um nome para o analisador.

1. Em **Período de rastreamento**, insira o número de dias para análise. O analisador avaliará permissões apenas para as entidades do IAM nas contas da organização selecionada que existiram durante todo o período de rastreamento. Por exemplo, se você definir um período de rastreamento de 90 dias, apenas as permissões com pelo menos 90 dias serão analisadas, e as descobertas serão geradas se elas não mostrarem nenhum uso durante esse período. Você pode inserir um valor entre 1 e 365 dias.

1. Na seção **Detalhes do analisador** confirme se a região exibida é a região em que você deseja habilitar o IAM Access Analyzer.

1. Em **Contas selecionadas**, escolha **Organização atual**.

1. Opcional. Na seção **Excluir Contas da AWS da análise**, é possível escolher Contas da AWS em sua organização para excluir da análise de acesso não utilizado. As descobertas não serão geradas para contas excluídas.

   1. Para especificar os IDs de contas individuais a serem excluídas, escolha **Especificar ID de Conta da AWS** e insira os IDs das contas separados por vírgulas no campo **ID da Conta da AWS**. Escolha **Excluir**. As contas serão então listadas na tabela **Contas da AWS a serem excluídas**.

   1. Para escolher entre uma lista de contas a serem excluídas em sua organização, escolha **Escolher na organização**.

      1. É possível pesquisar as contas por nome, e-mail e ID da conta no campo **Excluir contas da organização**.

      1. Escolha **Hierarquia** para visualizar suas contas por unidade organizacional ou escolha **Lista** para ver uma lista de todas as contas individuais em sua organização.

      1. Escolha **Excluir todas as contas atuais** para excluir todas as contas em uma unidade organizacional ou escolha **Excluir** para excluir contas individuais.

   As contas serão então listadas na tabela **Contas da AWS a serem excluídas**.
**nota**  
As contas excluídas não podem incluir a conta do proprietário do analisador da organização. Quando novas contas são adicionadas à organização, elas não são excluídas da análise, mesmo que você tenha excluído anteriormente todas as contas atuais dentro de uma unidade organizacional. Para obter mais informações sobre a exclusão de contas após a criação de um analisador de acesso não utilizado, consulte [Gerenciamento de um analisador de acessos não utilizados do IAM Access Analyzer](access-analyzer-manage-unused.md).

1. Opcional. Na seção **Excluir perfis e usuários do IAM com tags**, é possível especificar pares de valores-chave para perfis e usuários do IAM a serem excluídos da análise de acesso não utilizado. As descobertas não serão geradas para perfis e usuários do IAM excluídos que correspondam aos pares de valores-chave. Para **Chave de tag**, insira um valor de 1 a 128 caracteres e que não tenha o prefixo `aws:`. Para **Valor**, é possível inserir um valor de 0 a 256 caracteres de comprimento. Se você não inserir um **Valor**, a regra será aplicada a todas as entidades principais com a **Chave de tag** especificada. Escolha **Adicionar nova exclusão** para adicionar mais pares de valores-chave a serem excluídos.

1. Opcional. Adicione as tags que deseja aplicar ao analisador.

1. Selecione **Create analyzer (Criar analisador)**.

Ao criar um analisador de acessos não utilizados para habilitar o IAM Access Analyzer, uma função vinculada ao serviço chamada `AWSServiceRoleForAccessAnalyzer` será criada em sua conta.

# Gerenciamento de um analisador de acessos não utilizados do IAM Access Analyzer
<a name="access-analyzer-manage-unused"></a>

Use as informações deste tópico para saber como atualizar ou excluir um analisador de acessoas não utilizados existente.

**nota**  
Após você criar ou atualizar um analisador, pode levar algum tempo para as descobertas ficarem disponíveis.

## Atualização de um analisador de acessos não utilizados
<a name="access-analyzer-manage-unused-update"></a>

Use o procedimento a seguir para atualizar um analisador de acessos não utilizados.

O IAM Access Analyzer cobra pela análise de acessos não utilizados com base no número de usuários e perfis do IAM analisados por mês por analisador. Para obter mais detalhes sobre preços, consulte [Preços do IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/pricing).

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Na seção **Analisadores**, escolha o nome do analisador de acesso não utilizado a ser gerenciado.

1. Na guia **Exclusão**, se o analisador tiver sido criado como o escopo de análise de uma organização, escolha **Gerenciar** na seção **Contas da AWS excluídas**.

   1. Para especificar os IDs de contas individuais a serem excluídas, escolha **Especificar ID de Conta da AWS** e insira os IDs das contas separados por vírgulas no campo **ID da Conta da AWS**. Escolha **Excluir**. As contas serão então listadas na tabela **Contas da AWS a serem excluídas**.

   1. Para escolher entre uma lista de contas a serem excluídas em sua organização, escolha **Escolher na organização**.

      1. É possível pesquisar as contas por nome, e-mail e ID da conta no campo **Excluir contas da organização**.

      1. Escolha **Hierarquia** para visualizar suas contas por unidade organizacional ou escolha **Lista** para ver uma lista de todas as contas individuais em sua organização.

      1. Escolha **Excluir todas as contas atuais** para excluir todas as contas em uma unidade organizacional ou escolha **Excluir** para excluir contas individuais.

      As contas serão então listadas na tabela **Contas da AWS a serem excluídas**.

   1. Para remover contas a serem excluídas, escolha **Remover** ao lado da conta na tabela **Contas da AWS a excluir**.

   1. Escolha **Salvar alterações**.
**nota**  
As contas excluídas não podem incluir a conta do proprietário do analisador da organização.
Quando novas contas são adicionadas à organização, elas não são excluídas da análise, mesmo que você tenha excluído anteriormente todas as contas atuais dentro de uma unidade organizacional.
Depois de atualizar as exclusões de um analisador, pode levar até dois dias para que a lista de contas excluídas seja atualizada.

1. Na guia **Exclusão**, escolha **Gerenciar** na seção **Perfis e usuários do IAM excluídos com tags**.

   1. É possível especificar pares de valores-chave para perfis e usuários do IAM a serem excluídos da análise de acesso não utilizado. Para **Chave de tag**, insira um valor de 1 a 128 caracteres e que não tenha o prefixo `aws:`. Para **Valor**, é possível inserir um valor de 0 a 256 caracteres de comprimento. Se você não inserir um **Valor**, a regra será aplicada a todas as entidades principais com a **Chave de tag** especificada.

   1. Escolha **Adicionar nova exclusão** para adicionar mais pares de valores-chave a serem excluídos.

   1. Para remover pares de valores-chave a serem excluídos, escolha **Remover** ao lado do par de valores-chave.

   1. Escolha **Salvar alterações**.

1. Na guia **Regras de arquivamento**, é possível criar, editar ou excluir regras de arquivamento para o analisador. Para obter mais informações, consulte [Regras de arquivamento](access-analyzer-archive-rules.md).

1. Na guia **Tags**, é possível gerenciar e criar tags para o analisador. Para obter mais informações, consulte [Tags para recursos do AWS Identity and Access Management](id_tags.md).

## Exclusão de um analisador de acessos não utilizados
<a name="access-analyzer-manage-unused-delete"></a>

Use o procedimento a seguir para excluir um analisador de acessos não utilizados. Quando você exclui um analisador, os recursos não são mais monitorados e nenhuma nova descoberta é gerada. Todas as descobertas geradas pelo analisador são excluídas.

1. Abra o console do IAM em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acesso**, escolha **Acesso não utilizado**.

1. Em **Analisador de acessos**, escolha **Configurações do analisador**.

1. Na seção **Analisadores**, escolha o nome do analisador de acesso não utilizado a ser excluído.

1. Escolha **Excluir analisador**.

1. Insira **excluir** e escolha **Excluir** para confirmar a exclusão do analisador.