# Conceitos básicos do AWS Identity and Access Management Access Analyzer
<a name="access-analyzer-getting-started"></a>

Use as informações deste tópico para saber mais sobre os requisitos necessários para usar e gerenciar o AWS Identity and Access Management Access Analyzer.

## Permissões necessárias para usar o IAM Access Analyzer
<a name="access-analyzer-permissions"></a>

Para configurar e usar o IAM Access Analyzer com êxito, a conta usada deve receber as permissões necessárias. 

### Políticas gerenciadas pela AWS para o IAM Access Analyzer
<a name="access-analyzer-permissions-awsmanpol"></a>

O AWS Identity and Access Management Access Analyzer fornece políticas gerenciadas da AWS para ajudar você a começar rapidamente.
+ [IAMAccessAnalyzerFullAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerFullAccess): permite acesso total dos administradores ao IAM Access Analyzer. Esta política também permite criar as funções vinculadas ao serviço que são necessárias para permitir que o IAM Access Analyzer analise recursos em sua conta ou organização da AWS.
+ [IAMAccessAnalyzerReadOnlyAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerReadOnlyAccess): permite acesso somente leitura ao IAM. Você deve adicionar políticas adicionais às suas identidades do IAM (usuários, grupos de usuários ou funções) para permitir que elas visualizem suas descobertas.

### Recursos definidos pelo IAM Access Analyzer
<a name="permission-resources"></a>

Para visualizar os recursos definidos pelo Access Analyzer, consulte [Tipos de recursos definidos pelo IAM Access Analyzer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-resources-for-iam-policies) na *Referência de autorização do serviço*.

### Permissões necessárias do serviço IAM Access Analyzer
<a name="access-analyzer-permissions-service"></a>

O IAM Access Analyzer usa uma função vinculada ao serviço (SRL) chamada de `AWSServiceRoleForAccessAnalyzer`. Essa SLR concede ao serviço acesso somente leitura a fim de analisar recursos AWS com políticas baseadas em recursos e analisar acessos não utilizados em seu nome. O serviço cria a função na sua conta nas seguintes situações:
+ Você cria um analisador de acessos externos com sua conta como zona de confiança.
+ Você cria um analisador de acessos não utilizados com sua conta como a conta selecionada.
+ Você cria um analisador de acesso interno com a sua conta como zona de confiança.

Para obter mais informações, consulte [Usar perfis vinculados a serviço do AWS Identity and Access Management Access Analyzer](access-analyzer-using-service-linked-roles.md).

**nota**  
O IAM Access Analyzer é regional. Para analisadores de acesso externo e interno, você deve habilitar o IAM Access Analyzer em cada região separadamente.  
Para acessos não utilizados, as descobertas do analisador não mudam com base na região. Não é necessário criar um analisador em cada região em que você tem recursos.

Em alguns casos, após você criar um analisador no IAM Access Analyzer, a página ou o painel **Descobertas** é carregado sem nenhuma descoberta ou resumo. Isso pode ocorrer devido a um atraso no console para preencher as descobertas. Talvez seja necessário atualizar manualmente o navegador ou voltar mais tarde para visualizar as descobertas ou o resumo. Se ainda não for exibida nenhuma descoberta para um analisador de acessos externos, é porque você não tem recursos compatíveis na conta que possam ser acessados por uma entidade externa. Se uma política que concede acesso a uma entidade externa for aplicada a um recurso, o IAM Access Analyzer gerará uma descoberta.

**nota**  
Para analisadores de acesso externo, depois que uma política é modificada, o IAM Access Analyzer pode levar até 30 minutos para analisar o recurso e gerar uma nova descoberta ou atualizar uma descoberta existente para o acesso ao recurso.  
Quando você cria um analisador de acesso interno, pode levar vários minutos ou horas para as descobertas ficarem disponíveis. Após a verificação inicial, o IAM Access Analyzer torna a varrer automaticamente todas as políticas a cada 24 horas.  
Para todos os tipos de analisadores de acesso, as atualizações das descobertas podem não ser refletidas imediatamente no painel.

### Permissões necessárias do IAM Access Analyzer para visualizar o painel de descobertas
<a name="access-analyzer-permissions-dashboard"></a>

Para visualizar o [painel de descobertas do IAM Access Analyzer](access-analyzer-dashboard.md), a conta usada deve receber acesso a fim de realizar as seguintes ações necessárias:
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html)

Para visualizar todas as ações definidas pelo IAM Access Analyzer, consulte [Ações definidas pelo IAM Access Analyzer](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-actions-as-permissions) na *Referência de autorização do serviço*.

## Status do IAM Access Analyzer
<a name="access-analyzer-status"></a>

Para visualizar o status dos analisadores, selecione **Analyzers (Analisadores)**. Os analisadores criados para uma organização ou uma conta podem ter os seguintes status:


| Status | Descrição | 
| --- | --- | 
| Ativo | Para analisadores de acesso externo e interno, o analisador está monitorando ativamente os recursos dentro da sua zona de confiança. O analisador gera ativamente novas descobertas e atualiza as descobertas existentes.<br />Para analisadores de acessos não utilizados, o analisador está monitorando ativamente os acessos não utilizados na Conta da AWS ou na organização selecionada no período de rastreamento especificado. O analisador gera ativamente novas descobertas e atualiza as descobertas existentes. | 
| Criando | A criação do analisador ainda está em andamento. O analisador fica ativo quando a criação é concluída. | 
| Desabilitado | O analisador é desabilitado devido a uma ação executada pelo administrador do AWS Organizations. Por exemplo, remover a conta do analisador como administrador delegado do IAM Access Analyzer. Quando o analisador está em um estado desabilitado, ele não gera novas descobertas nem atualiza as descobertas existentes. | 
| Failed | A criação do analisador falhou devido a um problema de configuração. O analisador não gerará nenhuma descoberta. Exclua o analisador e crie outro analisador. |