# Creación de un analizador de acceso no utilizado de IAM Access Analyzer
## Creación de un analizador de acceso no utilizado para la cuenta actual
Utilice el siguiente procedimiento para crear un analizador de acceso no utilizado para una sola Cuenta de AWS. En el caso del acceso no utilizado, los resultados del analizador no cambian en función de la región. No es necesario crear un analizador en cada región en la que tenga recursos.
El Analizador de acceso de IAM cobra por el análisis de acceso no utilizado en función del número de usuarios y roles de IAM analizados por mes y por analizador. Para obtener más información sobre los precios, consulte los [precios del Analizador de acceso de IAM ](https://aws.amazon.com/iam/access-analyzer/pricing).
**nota**
Después de crear o actualizar un analizador, los resultados pueden tardar un tiempo en estar disponibles.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En **Analizador de acceso**, elija **Configuración del analizador**.
1. Elija **Crear analizador**.
1. En la sección **Análisis**, seleccione **Análisis de entidad principal: acceso no utilizado**.
1. Escriba un nombre para el analizador.
1. En **Período de seguimiento**, ingrese el número de días para el análisis. El analizador solo evaluará los permisos de las entidades de IAM de la cuenta seleccionada que hayan existido durante todo el período de seguimiento. Por ejemplo, si establece un período de seguimiento de 90 días, solo se analizarán los permisos que tengan al menos 90 días de antigüedad y se generarán resultados si no muestran uso durante este período. Puede especificar un valor comprendido entre 1 y 365 días.
1. En la sección **Información del analizador** confirme que la región mostrada es la región en la que desea activar el Analizador de acceso de IAM.
1. Para las **Cuentas seleccionadas**, seleccione **Cuenta actual**.
**nota**
Si su cuenta no es la cuenta de administrador de AWS Organizations o [cuenta de administrador delegado](access-analyzer-delegated-administrator.md), puede crear un solo analizador con su cuenta como la cuenta seleccionada.
1. Opcional. En la sección **Excluir usuarios y roles de IAM con etiquetas**, puede especificar pares clave-valor para que los usuarios y roles de IAM se excluyan del análisis de acceso no utilizado. No se generarán resultados para los roles y usuarios de IAM excluidos que coincidan con los pares clave-valor. Para la **Clave de etiqueta**, introduzca un valor de entre 1 y 128 caracteres sin el prefijo `aws:`. Para el **Valor**, puede introducir un valor de entre 0 y 256 caracteres de longitud. Si no introduce un **Valor**, la regla se aplica a todas las entidades principales que tengan la **Clave de etiqueta** especificada. Seleccione **Añadir nueva exclusión** para añadir pares clave-valor adicionales que desee excluir.
1. Opcional. Agregue las etiquetas que desee aplicar al analizador.
1. Elija **Crear analizador**.
Cuando crea un analizador de acceso no utilizado para activar el Analizador de acceso de IAM, se crea en su cuenta un rol vinculado a servicios denominado `AWSServiceRoleForAccessAnalyzer`.
## Creación de un analizador de acceso no utilizado con la organización actual
Utilice el siguiente procedimiento para crear un analizador de acceso no utilizado para que una organización revise de forma centralizada todas las Cuentas de AWS de una organización. En el análisis de acceso no utilizado, los resultados del analizador no cambian en función de la región. No es necesario crear un analizador en cada región en la que tenga recursos.
El Analizador de acceso de IAM cobra por el análisis de acceso no utilizado en función del número de usuarios y roles de IAM analizados por mes y por analizador. Para obtener más información sobre los precios, consulte los [precios del Analizador de acceso de IAM ](https://aws.amazon.com/iam/access-analyzer/pricing).
**nota**
Si se elimina la cuenta de un miembro de la organización, el analizador de acceso no utilizado dejará de generar nuevos resultados y de actualizar los resultados existentes para esa cuenta después de 24 horas. Los resultados asociados a la cuenta de miembro que se elimine de la organización se eliminarán permanentemente después de 90 días.
1. Abra la consola de IAM en [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. En **Analizador de acceso**, elija **Configuración del analizador**.
1. Elija **Crear analizador**.
1. En la sección **Análisis**, seleccione **Análisis de entidad principal: acceso no utilizado**.
1. Escriba un nombre para el analizador.
1. En **Período de seguimiento**, ingrese el número de días para el análisis. El analizador solo evaluará los permisos de las entidades de IAM dentro de las cuentas de la organización seleccionada que hayan existido durante todo el período de seguimiento. Por ejemplo, si establece un período de seguimiento de 90 días, solo se analizarán los permisos que tengan al menos 90 días de antigüedad y se generarán resultados si no muestran uso durante este período. Puede especificar un valor comprendido entre 1 y 365 días.
1. En la sección **Información del analizador** confirme que la región mostrada es la región en la que desea activar el Analizador de acceso de IAM.
1. Para las **Cuentas seleccionadas**, seleccione **Organización actual**.
1. Opcional. En la sección **Excluir Cuentas de AWS del análisis**, puede elegir Cuentas de AWS en su organización para excluirlas del análisis de acceso no utilizado. No se generarán resultados para las cuentas excluidas.
1. Para especificar ID de cuentas individuales que desea excluir, elija **Especificar ID de la Cuenta de AWS** e introduzca los ID de las cuentas, separados por comas, en el campo **ID de la Cuenta de AWS**. Seleccione **Excluir**. A continuación, las cuentas se muestran en la tabla de **Cuentas de AWS excluidas**.
1. Para elegir de una lista de cuentas de su organización y excluirlas, elija **Elegir de la organización**.
1. Puede buscar cuentas por nombre, correo electrónico e ID de cuenta en el campo **Excluir cuentas de la organización**.
1. Seleccione **Jerarquía** para ver sus cuentas por unidad organizativa o seleccione **Lista** para ver una lista de todas las cuentas individuales de su organización.
1. Seleccione **Excluir todas las cuentas actuales** para excluir todas las cuentas de una unidad organizativa o seleccione **Excluir** para excluir cuentas individuales.
A continuación, las cuentas se muestran en la tabla de **Cuentas de AWS excluidas**.
**nota**
Las cuentas excluidas no pueden incluir la cuenta del propietario del analizador de la organización. Cuando se añaden nuevas cuentas a la organización, no se excluyen del análisis, incluso si anteriormente se excluyeron todas las cuentas actuales de una unidad organizativa. Para obtener más información sobre la exclusión de cuentas después de crear un analizador de acceso no utilizado, consulte [Administración de un analizador de acceso no utilizado de Analizador de acceso de IAM](access-analyzer-manage-unused.md).
1. Opcional. En la sección **Excluir usuarios y roles de IAM con etiquetas**, puede especificar pares clave-valor para que los usuarios y roles de IAM se excluyan del análisis de acceso no utilizado. No se generarán resultados para los roles y usuarios de IAM excluidos que coincidan con los pares clave-valor. Para la **Clave de etiqueta**, introduzca un valor de entre 1 y 128 caracteres sin el prefijo `aws:`. Para el **Valor**, puede introducir un valor de entre 0 y 256 caracteres de longitud. Si no introduce un **Valor**, la regla se aplica a todas las entidades principales que tengan la **Clave de etiqueta** especificada. Seleccione **Añadir nueva exclusión** para añadir pares clave-valor adicionales que desee excluir.
1. Opcional. Agregue las etiquetas que desee aplicar al analizador.
1. Elija **Crear analizador**.
Cuando crea un analizador de acceso no utilizado para activar el Analizador de acceso de IAM, se crea en su cuenta un rol vinculado a servicios denominado `AWSServiceRoleForAccessAnalyzer`.