Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Vérifications de validation des politiques
IAMAccess Analyzer fournit des contrôles de politique qui aident à valider vos IAM politiques avant de les attacher à une entité. Il s’agit notamment des vérifications de politique de base fournies par la validation des politiques pour valider votre politique par rapport à la grammaire des politiques et aux bonnes pratiques AWS. Vous pouvez afficher les résultats des vérifications de validation de politique qui incluent des avertissements de sécurité, des erreurs, des avertissements généraux et des suggestions pour votre politique.
Vous pouvez utiliser des vérifications de politique personnalisées pour vérifier les nouveaux accès en fonction de vos normes de sécurité. Des frais sont associés à chaque vérification pour un nouvel accès. Pour plus d'informations sur les tarifs, consultez la Tarification de IAMl'analyseur d'accès
Comment fonctionnent les vérifications de politique personnalisées
Vous pouvez valider vos politiques par rapport aux normes de sécurité spécifiées à l’aide de vérifications de politique personnalisées AWS Identity and Access Management Access Analyzer . Les types de vérifications de politiques personnalisées que vous pouvez exécuter sont les suivants :
-
Vérifier par rapport à une stratégie de référence : Lorsque vous modifiez une politique, vous pouvez vérifier si celle mise à jour accorde un nouvel accès par rapport à une de référence, telle qu’une version existante de cette politique. Vous pouvez exécuter cette vérification lorsque vous modifiez une politique à l'aide de AWS Command Line Interface (AWS CLI), IAM d'Access Analyzer API (API) ou de l'éditeur de JSON stratégie de la IAM console.
Note
IAMLes contrôles de politique personnalisés d'Access Analyzer autorisent les caractères génériques dans l'
Principalélément pour les politiques de ressources de référence. -
Vérifiez par rapport à une liste d'IAMactions ou de ressources : vous pouvez vérifier que des IAM actions ou ressources spécifiques ne sont pas autorisées par votre politique. Si seules des actions sont spécifiées, IAM Access Analyzer vérifie l'accès aux actions sur toutes les ressources de la politique. Si seules les ressources sont spécifiées, IAM Access Analyzer vérifie quelles actions ont accès aux ressources spécifiées. Si des actions et des ressources sont spécifiées, IAM Access Analyzer vérifie lesquelles des actions spécifiées ont accès aux ressources spécifiées. Vous pouvez exécuter cette vérification lorsque vous créez ou modifiez une politique à l'aide d' AWS CLI ou duAPI.
-
Vérifier l'accès public : vous pouvez vérifier si une politique de ressources peut accorder un accès public à un type de ressource spécifique. Vous pouvez exécuter cette vérification lorsque vous créez ou modifiez une politique à l'aide d' AWS CLI ou duAPI. Ce type de vérification des politiques personnalisées diffère de la prévisualisation de l'accès car il ne nécessite aucun compte ni aucun contexte d'analyseur d'accès externe. Les aperçus d'accès vous permettent de prévisualiser les résultats IAM d'Access Analyzer avant de déployer les autorisations relatives aux ressources, tandis que le contrôle personnalisé détermine si un accès public peut être accordé par une politique.
Des frais sont associés à chaque vérification de politique personnalisée. Pour plus d'informations sur les tarifs, consultez la Tarification de IAMl'analyseur d'accès
Vous pouvez exécuter des vérifications de politique personnalisées sur les politiques basées sur l’identité et les ressources. Les vérifications de politique personnalisées ne reposent pas sur des techniques de correspondance de modèles ou sur l’examen des journaux d’accès pour déterminer si un nouvel accès ou spécifique est autorisé par une politique. À l’instar des résultats des accès externes, les vérifications de politique personnalisées sont basées sur Zelkova
Dans de rares cas, IAM Access Analyzer n'est pas en mesure de déterminer complètement si une déclaration de politique octroie un accès nouveau ou spécifique. Dans ces cas, il commet une erreur en déclarant un faux positif en échouant à la vérification de politique personnalisées. IAMAccess Analyzer est conçu pour fournir une évaluation exhaustive des politiques et s'efforce de réduire les faux négatifs. Cette approche signifie que IAM l'analyseur d'accès offre un degré élevé d'assurance qu'une vérification réussie signifie que l'accès n'a pas été accordé par la politique. Vous pouvez inspecter les vérifications qui ont échoué manuellement en consultant la déclaration de politique indiquée dans la réponse de l'analyseur IAM d'accès.
Exemples de politiques de référence pour vérifier les nouveaux accès
Vous pouvez trouver des exemples de politiques de référence et découvrir comment configurer et exécuter une vérification de politique personnalisée pour les nouveaux accès dans le référentiel Exemples de vérifications de politiques personnalisées de l'analyseur d'IAMaccès
Avant d'utiliser ces exemples
Avant d’utiliser ces exemples de politiques de référence, effectuez les opérations suivantes :
-
Vérifiez attentivement et personnalisez les politiques de référence en fonction de vos exigences uniques.
-
Testez soigneusement les politiques de référence dans votre environnement avec les Services AWS que vous utilisez.
Les politiques de référence illustrent la mise en œuvre et l’utilisation de vérifications de politique personnalisées. Ils ne sont pas destinés à être interprétés comme des recommandations ou des bonnes pratiques AWS officielles à mettre en œuvre exactement comme indiqué. Il est de votre responsabilité de tester soigneusement les politques de référence afin de déterminer si elles conviennent pour répondre aux exigences de sécurité de votre environnement.
-
Les vérifications de politique personnalisées sont indépendantes de l’environnement dans leur analyse. Leur analyse ne prend en compte que les informations contenues dans les politiques d’entrée. Par exemple, les vérifications de politiques personnalisées ne permettent pas de vérifier si un compte est membre d'une AWS organisation spécifique. Par conséquent, les vérifications de politique personnalisées ne peuvent pas comparer les nouveaux accès en fonction des valeurs des clés de condition pour les clés de condition
aws:PrincipalOrgIdetaws:PrincipalAccount.
Inspection des vérifications de politiques personnalisées ayant échoué
Lorsqu'une vérification de politique personnalisée échoue, la réponse de l'analyseur IAM d'accès Access inclut l'ID d'instruction (Sid) de celle de politique responsable de l'échec de la vérification. Bien que l’ID de déclaration soit un élément de politique facultatif, nous vous recommandons d’ajouter un ID de déclaration pour chaque déclaration de politique. La vérification de politique personnalisée renvoie également un index de déclaration pour aider à identifier la raison de l’échec de la vérification. L’index de déclaration suit une numérotation à base de zéro, où la première déclaration est référencée par 0. Lorsque plusieurs déclarations entraînent l’échec d’une vérification, celle-ci ne renvoie qu’un seul ID de déclaration à la fois. Nous vous recommandons de corriger la déclaration mise en évidence dans le motif et de réexécuter la vérification jusqu’à ce qu’elle soit validée.
