Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Comprendre le fonctionnement des résultats d'IAMAccess Analyzer
Cette rubrique décrit les concepts et termes utilisés dans IAM Access Analyzer pour vous aider à vous familiariser avec la manière dont IAM Access Analyzer surveille l'accès à vos AWS ressources.
Résultats des accès externes
Les résultats d’accès externe sont générés une seule fois pour chaque instance d’une ressource qui est partagée en dehors de votre zone de confiance. Chaque fois qu'une politique basée sur les ressources est modifiée, IAM Access Analyzer analyse la politique. Si la politique mise à jour partage une ressource déjà identifiée dans un résultat, mais avec des autorisations ou des conditions différentes, un nouveau résultat est généré pour cette instance du partage de ressource. Si l’accès dans le premier résultat est supprimé, celui-ci est mis à jour et prend le statut Résolu.
Le statut de tous les résultats reste Actif jusqu’à ce que vous les archiviez ou que vous supprimiez l’accès ayant généré le résultat. Lorsque vous supprimez l’accès, le statut du résultat est mis à jour et devient Résolu.
Note
IAMAccess Analyzer peut prendre jusqu'à 30 minutes après la modification d'une politique pour analyser la ressource, puis mettre à jour la recherche d'accès externe.
Comment IAM Access Analyzer génère des résultats pour un accès externe
AWS Identity and Access Management Access Analyzer utilise une technologie appelée Zelkova
Zelkova traduit IAM les politiques en déclarations logiques équivalentes et les exécute à l'aide d'une suite de solveurs logiques spécialisés et à usage général (théories du modulo de satisfaisabilité). IAMAccess Analyzer applique Zelkova à plusieurs reprises à une politique, en utilisant des requêtes de plus en plus spécifiques pour caractériser les types d'accès autorisés par la politique en fonction de son contenu. Pour en savoir plus sur les théories du module de satisfiabilité, consultez Théories du module de satisfiabilité
Pour les analyseurs d'accès externes, IAM Access Analyzer n'examine pas les journaux d'accès pour déterminer si une entité externe a réellement accédé à une ressource située dans votre zone de confiance. Il génère plutôt une constatation lorsqu'une politique basée sur les ressources autorise l'accès à une ressource, que l'entité externe y ait accédé ou non.
En outre, IAM Access Analyzer ne prend pas en compte l'état des comptes externes lorsqu'il prend ses décisions. S'il indique que le compte 111122223333 peut accéder à votre compartiment Amazon S3, il ne dispose d'aucune information sur les utilisateurs, les rôles, les politiques de contrôle des services (SCP) ou les autres configurations pertinentes de ce compte. Cela concerne la confidentialité des clients, car IAM Access Analyzer ne sait pas à qui appartient l'autre compte. C'est également pour des raisons de sécurité, car il est important de connaître les accès externes potentiels, même si aucun principe actif ne peut actuellement l'utiliser.
IAMAccess Analyzer ne prend en compte que certaines clés de IAM condition que les utilisateurs externes ne peuvent pas influencer directement ou qui ont un impact sur l'autorisation. Pour des exemples de clés de condition prises en compte par IAM Access Analyzer, consultez la section Clés de filtre IAM Access Analyzer.
IAMAccess Analyzer ne communique actuellement pas les résultats provenant des Service AWS principaux ou des comptes de service internes. Dans de rares cas où il ne parvient pas à déterminer complètement si une déclaration de politique accorde l'accès à une entité externe, il commet une erreur en déclarant un résultat faussement positif. En effet, IAM Access Analyzer est conçu pour fournir une vue complète du partage des ressources dans votre compte et pour minimiser les faux négatifs.
Résultats des accès non utilisés
Les résultats d'accès non utilisés sont générés pour les IAM entités du compte ou de l'organisation sélectionné en fonction du nombre de jours spécifié lors de la création de l'analyseur. Un nouveau résultat est généré la prochaine fois que l’analyseur analyse les entités si l’une des conditions suivantes est remplie :
-
Un rôle est inactif pendant le nombre de jours spécifié.
-
Une autorisation, un mot de passe utilisateur ou une clé d’accès utilisateur non utilisés dépasse le nombre de jours spécifié.
Note
Les résultats d'accès non utilisés ne sont disponibles qu'à l'aide de l'APIaction ListFindingsV2.
Comment IAM Access Analyzer génère des résultats concernant les accès non utilisés
Pour analyser les accès non utilisés, vous devez créer un analyseur distinct pour les résultats d'accès non utilisés pour vos rôles, même si vous avez déjà créé un analyseur pour générer des résultats d'accès externes pour vos ressources.
Après avoir créé l'analyseur d'accès non utilisé, IAM Access Analyzer examine l'activité d'accès pour identifier les accès non utilisés. IAMAccess Analyzer examine les dernières informations consultées pour tous les rôles, clés d'accès utilisateur et mots de passe utilisateur au sein de votre AWS organisation et de vos comptes. Cela vous permet d'identifier les accès non utilisés.
Pour les IAM rôles et les utilisateurs actifs, IAM Access Analyzer utilise les dernières informations consultées pour les IAM services et les actions afin d'identifier les autorisations non utilisées. Cela vous permet d'étendre votre processus de révision au niveau de l' AWS organisation et du compte. Vous pouvez également utiliser les dernières informations consultées par l'action pour approfondir les rôles individuels. Cela fournit des informations plus détaillées sur les autorisations spécifiques qui ne sont pas utilisées.
En créant un analyseur dédié aux accès non utilisés, vous pouvez examiner et identifier de manière exhaustive les accès non utilisés dans votre AWS environnement, en complétant les résultats générés par votre analyseur d'accès externe existant.
