# Administrador delegado do IAM Access Analyzer
<a name="access-analyzer-delegated-administrator"></a>

Se você estiver configurando o AWS Identity and Access Management Access Analyzer IAM Access Analyzer em sua conta de gerenciamento do AWS Organizations, poderá adicionar uma conta-membro na organização como o administrador delegado para gerenciar o IAM Access Analyzer para sua organização. O administrador delegado tem permissões para criar e gerenciar analisadores dentro da organização. Somente a conta de gerenciamento pode adicionar um administrador delegado.

O administrador delegado do IAM Access Analyzer é uma conta-membro dentro da organização que tem permissões para criar e gerenciar que analisam credenciais em toda a organização. Somente a conta de gerenciamento pode adicionar, remover ou alterar um administrador delegado.

Se você adicionar um administrador delegado, poderá alterar posteriormente para outra conta para o administrador delegado. Ao fazer isso, a conta do administrador delegado anterior perderá as permissões para todos os analisadores que foram criados usando essa conta. Esses analisadores passam para um estado desabilitado e não geram mais descobertas nem atualizam descobertas existentes. As descobertas existentes desses analisadores também não ficam mais acessíveis. Será possível acessá-los novamente no futuro configurando a conta como o administrador delegado. Se você sabe que não usará a mesma conta como administrador delegado, considere excluir os analisadores antes de alterar o administrador delegado. Isso excluirá todas as descobertas geradas. Quando o novo administrador delegado cria outros analisadores, novas instâncias das mesmas descobertas são geradas. Você não perderá nenhuma descoberta. Elas apenas serão geradas para o novo analisador em outra conta. Além disso, você poderá continuar acessando as descobertas para a organização usando a conta de gerenciamento da organização, que também tem permissões de administrador. O novo administrador delegado deve criar outros analisadores para que o IAM Access Analyzer comece a monitorar recursos na organização.

Se o administrador delegado sair da organização da AWS, os privilégios da administração delegada serão removidos da conta. Todos os analisadores da conta com a organização como zona de confiança passam para um estado desabilitado. As descobertas existentes desses analisadores também não ficam mais acessíveis.

Na primeira vez que você configurar analisadores na conta de gerenciamento, é possível escolher a opção **Adicionar administrador delegado** em **Configurações do analisador**, no console do IAM Access Analyzer.

**nota**  
O IAM Access Analyzer cobra por analisadores de acessos não utilizados com base no número de usuários e perfis do IAM analisados por analisador por mês. Se você criar um analisador de acessos não utilizados na conta de gerenciamento e na conta de administrador delegado, você será cobrado pelos dois analisadores de acessos não utilizados. Para obter mais detalhes sobre preços, consulte [Preços do IAM Access Analyzer](https://aws.amazon.com/iam/access-analyzer/pricing).

Após alterar o administrador delegado, o novo administrador deverá criar analisadores para começar a monitorar o acesso aos recursos da organização.

# Adicionar um administrador delegado ao IAM Access Analyzer
<a name="access-analyzer-delegated-administrator-add"></a>

Se você estiver configurando o AWS Identity and Access Management Access Analyzer IAM Access Analyzer em sua conta de gerenciamento do AWS Organizations, poderá adicionar uma conta-membro na organização como o administrador delegado para gerenciar o IAM Access Analyzer para sua organização. O administrador delegado tem permissões para criar e gerenciar analisadores dentro da organização. Somente a conta de gerenciamento pode adicionar um administrador delegado.

**Como adicionar um administrador delegado usando o console**

1. Faça login no Console AWS usando a conta de gerenciamento da sua organização.

1. Abra o console do IAM, em [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).

1. Em **Analisador de acessos**, selecione **Configurações do analisador**.

1. Selecione **Add delegated administrator (Adicionar administrador delegado)**.

1. No campo **Administrador delegado**, insira o número da Conta da AWS de uma conta-membro de organização para torná-la o administrador delegado.

   A conta deve ser membro da organização.

1. Escolha **Salvar alterações**.

**Para adicionar um administrador delegado usando a AWS CLI ou AWS SDKs**

Ao criar um analisador para analisar acessos externos na organização em uma conta de administrador delegado usando a AWS CLI, a API da AWS (usando os SDKs da AWS) ou o CloudFormation, você deverá usar APIs do AWS Organizations para habilitar o acesso ao serviço para o IAM Access Analyzer e registrar a conta-membro como administrador delegado.

1. Habilitar o acesso de serviço confiável para o IAM Access Analyzer no AWS Organizations. Consulte [Como habilitar ou desabilitar o acesso confiável](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) no Guia do usuário do AWS Organizations.

1. Registre uma conta de membro válida de sua organização da AWS como administrador delegado usando a operação [https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) da API do AWS Organizations ou o comando `register-delegated-administrator` da AWS CLI.