Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Création d’un analyseur d’accès non utilisé pour le compte actuel
Suivez la procédure suivante pour créer un analyseur d’accès non utilisé pour un seul Compte AWS. En cas d’accès non utilisé, les résultats de l’analyseur ne changent pas en fonction de la région. Il n’est pas nécessaire de créer un analyseur dans chaque région où vous disposez de ressources.
IAMAccess Analyzer facture l'analyse des accès non utilisés en fonction du nombre de IAM rôles et d'utilisateurs analysés par mois et par analyseur. Pour plus de détails sur les tarifs, consultez la section Tarification IAM d'Access Analyzer
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Sous Analyseur d’accès, sélectionnez Paramètres de l’analyseur.
-
Sélectionnez Create Analyzer (créer un analyseur).
-
Dans la section Analyse, sélectionnez Analyse des accès non utilisés.
-
Entrez un nom pour l'analyseur.
-
Pour Période de suivi, saisissez le nombre de jours pendant lesquels vous souhaitez générer des résultats concernant les autorisations non utilisées. Par exemple, si vous entrez 90 jours, l'analyseur générera des résultats pour les IAM entités du compte sélectionné pour toutes les autorisations qui n'ont pas été utilisées depuis 90 jours ou plus depuis le dernier scan de l'analyseur. Vous pouvez choisir une valeur comprise entre 1 et 365 jours.
-
Dans la section Détails de l'analyseur, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer IAM Access Analyzer.
-
Dans Étendue de l’analyse, sélectionnez Compte actuel.
Note
Si votre compte n'est pas le compte AWS Organizations de gestion ou le compte administrateur délégué, vous ne pouvez créer qu'un seul analyseur avec votre compte comme compte sélectionné.
-
Facultatif. Dans la section Exclure IAM les utilisateurs et les rôles à l'aide de balises, vous pouvez spécifier des paires clé-valeur pour IAM les utilisateurs et les rôles à exclure de l'analyse des accès non utilisés. Les résultats ne seront pas générés pour les IAM utilisateurs exclus et les rôles correspondant aux paires clé-valeur. Pour la clé de balise, saisissez une valeur comprise entre 1 et 128 caractères. Elle ne peut pas commencer par
aws:
. Pour la valeur, vous pouvez spécifier une valeur comprise entre 0 et 256 caractères. Si vous ne saisissez pas de valeur, la règle est appliquée à tous les principaux ayant la clé de balise spécifiée. Choisissez Ajouter une nouvelle exclusion pour ajouter des paires clé-valeur supplémentaires à exclure. -
Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.
-
Sélectionnez Create Analyzer (créer un analyseur).
Lorsque vous créez un analyseur d'accès inutilisé pour activer IAM Access Analyzer, un rôle lié à un service nommé AWSServiceRoleForAccessAnalyzer
est créé dans votre compte.
Création d’un analyseur d’accès non utilisé avec l’organisation actuelle
Utilisez la procédure suivante pour créer un analyseur d'accès inutilisé permettant à une organisation de passer Comptes AWS en revue de manière centralisée l'ensemble de l'organisation. Pour l’analyse des accès non utilisés, les résultats de l’analyseur ne changent pas en fonction de la région. Il n’est pas nécessaire de créer un analyseur dans chaque région où vous disposez de ressources.
IAMAccess Analyzer facture l'analyse des accès non utilisés en fonction du nombre de IAM rôles et d'utilisateurs analysés par mois et par analyseur. Pour plus de détails sur les tarifs, consultez la section Tarification IAM d'Access Analyzer
Note
Si le compte d’un membre est supprimé de l’organisation, l’analyseur d’accès non utilisé cessera de générer de nouveaux résultats et de mettre à jour les résultats existants pour ce compte au bout de 24 heures. Les résultats associés au compte membre supprimé de l’organisation seront définitivement supprimés après 90 jours.
Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/
. -
Choisissez Access Analyzer (Analyseur d'accès).
-
Choisissez Paramètres de l’analyseur.
-
Sélectionnez Create Analyzer (créer un analyseur).
-
Dans la section Analyse, sélectionnez Analyse des accès non utilisés.
-
Entrez un nom pour l'analyseur.
-
Pour Période de suivi, saisissez le nombre de jours pendant lesquels vous souhaitez générer des résultats concernant les autorisations non utilisées. Par exemple, si vous entrez 90 jours, l'analyseur générera des résultats pour les IAM entités des comptes de l'organisation sélectionnée pour toutes les autorisations qui n'ont pas été utilisées depuis 90 jours ou plus depuis le dernier scan de l'analyseur. Vous pouvez choisir une valeur comprise entre 1 et 365 jours.
-
Dans la section Détails de l'analyseur, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer IAM Access Analyzer.
-
Pour Étendue de l’analyse, sélectionnez Organisation actuelle.
-
Facultatif. Dans la section Exclure Comptes AWS de l'analyse, vous pouvez choisir Comptes AWS dans votre organisation d'exclure de l'analyse des accès non utilisés. Les résultats ne seront pas générés pour les comptes exclus.
-
Pour spécifier le compte individuel IDs à exclure, choisissez Spécifier l' Compte AWS ID et entrez le compte IDs séparé par des virgules dans le champ Compte AWS ID. Choisissez Exclure. Les comptes sont ensuite répertoriés dans le tableau Comptes AWS à exclure.
-
Pour choisir parmi une liste des comptes de votre organisation à exclure, sélectionnez Choisir parmi l’organisation.
-
Vous pouvez rechercher des comptes par nom, e-mail et ID de compte dans le champ Exclusion de comptes de l’organisation.
-
Choisissez Hiérarchie pour afficher vos comptes par unité d’organisation ou choisissez Liste pour afficher la liste de tous les comptes de votre organisation.
-
Choisissez Exclure tous les comptes actuels pour exclure tous les comptes d’une unité d’organisation ou choisissez Exclure pour exclure des comptes un par un.
-
Les comptes sont ensuite répertoriés dans le tableau Comptes AWS à exclure.
Note
Le compte propriétaire de l’analyseur d’organisation ne peut pas être l’un des comptes exclus. Lorsque de nouveaux comptes sont ajoutés à votre organisation, ils ne sont pas exclus de l’analyse, même si vous avez précédemment exclu tous les comptes actuels d’une unité d’organisation. Pour plus d’informations sur l’exclusion de comptes après la création d’un analyseur d’accès non utilisé, consultez Gestion d’un analyseur d’accès IAM pour l’analyse de l’accès non utilisé.
-
-
Facultatif. Dans la section Exclure IAM les utilisateurs et les rôles à l'aide de balises, vous pouvez spécifier des paires clé-valeur pour IAM les utilisateurs et les rôles à exclure de l'analyse des accès non utilisés. Les résultats ne seront pas générés pour les IAM utilisateurs exclus et les rôles correspondant aux paires clé-valeur. Pour la clé de balise, saisissez une valeur comprise entre 1 et 128 caractères. Elle ne peut pas commencer par
aws:
. Pour la valeur, vous pouvez spécifier une valeur comprise entre 0 et 256 caractères. Si vous ne saisissez pas de valeur, la règle est appliquée à tous les principaux ayant la clé de balise spécifiée. Choisissez Ajouter une nouvelle exclusion pour ajouter des paires clé-valeur supplémentaires à exclure. -
Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.
-
Sélectionnez Create Analyzer (créer un analyseur).
Lorsque vous créez un analyseur d'accès inutilisé pour activer IAM Access Analyzer, un rôle lié à un service nommé AWSServiceRoleForAccessAnalyzer
est créé dans votre compte.