# Administrador delegado del Analizador de acceso de IAM
Si está configurando AWS Identity and Access Management Access Analyzer en su cuenta de administración de AWS Organizations, puede agregar una cuenta de miembro a la organización como administrador delegado para administrar el Analizador de acceso de IAM en su organización. El administrador delegado tiene permisos para crear y administrar analizadores dentro de la organización. Solo la cuenta de administración puede agregar un administrador delegado.
El administrador delegado del Analizador de acceso de IAM es la cuenta de un miembro dentro de la organización que tiene permisos para crear y administrar analizadores que analizan el acceso en la organización. Solo la cuenta de administración puede agregar, quitar o cambiar a un administrador delegado.
Si agrega un administrador delegado, puede cambiar posteriormente a una cuenta distinta para el administrador delegado. Cuando lo haga, la cuenta de administrador delegado anterior pierde el permiso para todos los analizadores creados con esa cuenta para analizar el acceso en la organización. Estos analizadores pasan a un estado deshabilitado y ya no generan nuevos resultados o actualizan los existentes. Tampoco se puede acceder a las conclusiones actuales de estos analizadores. Puede volver a acceder a ellos en el futuro configurando la cuenta como administrador delegado. Si sabe que no utilizará la misma cuenta que un administrador delegado, considere eliminar los analizadores antes de cambiar el administrador delegado. Esto elimina todos los resultados generados. Cuando el nuevo administrador delegado crea nuevos analizadores, se generan nuevas instancias de los mismos resultados. No pierde ningún resultado, solo se generan para el nuevo analizador en una cuenta distinta. Además, puede seguir accediendo a los resultados de la organización mediante la cuenta de administración de la organización, que también tiene permisos de administrador. El nuevo administrador delegado debe crear nuevos analizadores para que el Analizador de acceso de IAM comience a supervisar los recursos de la organización.
Si el administrador delegado abandona la organización de AWS, los privilegios de administración delegados se retiran de la cuenta. Todos los analizadores de la cuenta con la organización como zona de confianza se mueven a un estado deshabilitado. Tampoco se puede acceder a las conclusiones actuales de estos analizadores.
La primera vez que configure analizadores en la cuenta de administración, puede elegir **Agregar administrador delegado ** en la página ** Configuración del analizador** en la consola del Analizador de acceso de IAM.
**nota**
El Analizador de acceso de IAM cobra por los analizadores de acceso no utilizado en función del número de usuarios y roles de IAM analizados por el analizador por mes. Si crea un analizador de acceso no utilizado en la cuenta de administración y en la cuenta de administrador delegado, se le cobrará por ambos analizadores de acceso no utilizados. Para obtener más información sobre los precios, consulte los [precios del Analizador de acceso de IAM](https://aws.amazon.com/iam/access-analyzer/pricing).
Después de cambiar el administrador delegado, el nuevo administrador debe crear analizadores para empezar a monitorizar el acceso a los recursos de la organización.
# Agregar un administrador delegado para el Analizador de acceso de IAM
Si está configurando AWS Identity and Access Management Access Analyzer en su cuenta de administración de AWS Organizations, puede agregar una cuenta de miembro a la organización como administrador delegado para administrar el Analizador de acceso de IAM en su organización. El administrador delegado tiene permisos para crear y administrar analizadores dentro de la organización. Solo la cuenta de administración puede agregar un administrador delegado.
**Para agregar un administrador delegado mediante la consola**
1. Inicie sesión en la consola de AWS con la cuenta de administración de su organización de .
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En **Analizador de acceso**, elija **Configuración del analizador**.
1. Elija **Add delegated administrator (Agregar administrador delegado)**.
1. En el campo **Administrador delegado**, introduzca el Cuenta de AWS número de una cuenta de miembro de la organización para definir el administrador delegado.
La cuenta debe formar parte de la organización.
1. Seleccione **Save changes (Guardar cambios)**.
**Para agregar un administrador delegado mediante la AWS CLI o los SDK de AWS**
Cuando crea un analizador para analizar el acceso en toda la organización en una cuenta de administrador delegado mediante la AWS CLI, AWS la API (utilizando los SDK de AWS) o CloudFormation, debe utilizar las API de AWS Organizations para activar el acceso al servicio para el Analizador de acceso de IAM y registrar la cuenta de miembro como administrador delegado.
1. Habilitar el acceso al servicio de confianza del Analizador de acceso de IAM en AWS Organizations. Consulte [Habilitación del acceso de confianza con otros servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) en la Guía del usuario de AWS Organizations.
1. Registre una cuenta de miembro válida de su organización de AWS como administrador delegado mediante la operación de API AWS Organizations [https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) o el comando `register-delegated-administrator` de AWS CLI.