Vérifications de politiques personnalisées de l’analyseur d’accès IAM - AWS Identity and Access Management
Comment fonctionnent les vérifications de politique personnaliséesExemples de politiques de référence pour vérifier les nouveaux accèsInspection des vérifications de politiques personnalisées ayant échouéValidation des politiques à l’aide de vérifications de politique personnalisées (console)Validation des politiques à l'aide de vérifications de politiques personnalisées (AWS CLI ou API)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Vérifications de politiques personnalisées de l’analyseur d’accès IAM

Vous pouvez valider vos politiques par rapport aux normes de sécurité spécifiées à l’aide de vérifications de politique personnalisées AWS Identity and Access Management Access Analyzer . Vous pouvez exécuter les types de contrôles de politique personnalisés suivants :

  • Vérifier par rapport à une stratégie de référence : Lorsque vous modifiez une politique, vous pouvez vérifier si celle mise à jour accorde un nouvel accès par rapport à une de référence, telle qu’une version existante de cette politique. Vous pouvez exécuter cette vérification lorsque vous modifiez une politique à l'aide de AWS Command Line Interface (AWS CLI), de l'API IAM Access Analyzer (API) ou de l'éditeur de stratégie JSON dans la console IAM.

  • Vérifiez par rapport à une liste d'actions ou de ressources IAM : vous pouvez vérifier que des actions ou des ressources IAM spécifiques ne sont pas autorisées par votre politique. Si seules des actions sont spécifiées, IAM Access Analyzer vérifie l'accès aux actions sur toutes les ressources de la politique. Si seules les ressources sont spécifiées, IAM Access Analyzer vérifie quelles actions ont accès aux ressources spécifiées. Si des actions et des ressources sont spécifiées, IAM Access Analyzer vérifie lesquelles des actions spécifiées ont accès aux ressources spécifiées. Vous pouvez exécuter cette vérification lorsque vous créez ou modifiez une politique à l’aide d’ AWS CLI ou de l’API.

  • Vérifier l'accès public : vous pouvez vérifier si une politique de ressources peut accorder un accès public à un type de ressource spécifique. Vous pouvez exécuter cette vérification lorsque vous créez ou modifiez une politique à l'aide de l'API AWS CLI ou de l'API. Ce type de vérification des politiques personnalisées diffère de la prévisualisation de l'accès car il ne nécessite aucun compte ni aucun contexte d'analyseur d'accès externe. Les aperçus d'accès vous permettent de prévisualiser les résultats d'IAM Access Analyzer avant de déployer les autorisations relatives aux ressources, tandis que le contrôle personnalisé détermine si un accès public peut être accordé par une politique.

Des frais sont associés à chaque vérification de politique personnalisée. Pour plus d’informations sur les tarifs, consultez la Tarification de l’analyseur d’accès IAM.

Comment fonctionnent les vérifications de politique personnalisées

Vous pouvez exécuter des vérifications de politique personnalisées sur les politiques basées sur l’identité et les ressources. Les vérifications de politique personnalisées ne reposent pas sur des techniques de correspondance de modèles ou sur l’examen des journaux d’accès pour déterminer si un nouvel accès ou spécifique est autorisé par une politique. À l’instar des résultats des accès externes, les vérifications de politique personnalisées sont basées sur Zelkova. Zelkova traduit les politiques IAM en déclarations logiques équivalentes, et exécute une suite de solveurs logiques polyvalents et spécialisés (théories du module de satisfiabilité) contre le problème. Pour vérifier l’existence d’un accès nouveau ou spécifié, l’analyseur d’accès IAM applique Zelkova de manière répétée à une politique. Les requêtes deviennent de plus en plus spécifiques pour caractériser les classes de comportements que la politique autorise sur la base du contenu de la politique. Pour en savoir plus sur les théories du module de satisfiabilité, consultez Théories du module de satisfiabilité.

Dans de rares cas, l’analyseur d’accès IAM n’est pas en mesure de déterminer complètement si une déclaration de politique octroie un accès nouveau ou spécifique. Dans ces cas, il commet une erreur en déclarant un faux positif en échouant à la vérification de politique personnalisées. L’analyseur d’accès IAM est conçu pour fournir une évaluation exhaustive des politiques et s’efforce de réduire les faux négatifs. Cette approche signifie que l’analyseur d’accès IAM offre un degré élevé d’assurance qu’une vérification réussie signifie que l’accès n’a pas été accordé par la politique. Vous pouvez inspecter les vérifications qui ont échoué manuellement en consultant la déclaration de politique indiquée dans la réponse de l’analyseur d’accès IAM.

Exemples de politiques de référence pour vérifier les nouveaux accès

Vous pouvez trouver des exemples de politiques de référence et apprendre à configurer et exécuter une vérification de politique personnalisée pour les nouveaux accès dans le référentiel d'exemples de politiques personnalisées d'IAM Access Analyzer sur. GitHub

Avant d'utiliser ces exemples

Avant d’utiliser ces exemples de politiques de référence, effectuez les opérations suivantes :

  • Vérifiez attentivement et personnalisez les politiques de référence en fonction de vos exigences uniques.

  • Testez soigneusement les politiques de référence dans votre environnement avec les Services AWS que vous utilisez.

    Les politiques de référence illustrent la mise en œuvre et l’utilisation de vérifications de politique personnalisées. Ils ne sont pas destinés à être interprétés comme des recommandations ou des bonnes pratiques AWS officielles à mettre en œuvre exactement comme indiqué. Il est de votre responsabilité de tester soigneusement les politques de référence afin de déterminer si elles conviennent pour répondre aux exigences de sécurité de votre environnement.

  • Les vérifications de politique personnalisées sont indépendantes de l’environnement dans leur analyse. Leur analyse ne prend en compte que les informations contenues dans les politiques d’entrée. Par exemple, les vérifications de politiques personnalisées ne permettent pas de vérifier si un compte est membre d'une AWS organisation spécifique. Par conséquent, les vérifications de politique personnalisées ne peuvent pas comparer les nouveaux accès en fonction des valeurs des clés de condition pour les clés de condition aws:PrincipalOrgId et aws:PrincipalAccount.

Inspection des vérifications de politiques personnalisées ayant échoué

Lorsqu’une vérification de politique personnalisée échoue, la réponse de l’analyseur d’accès IAM inclut l’ID d’instruction (Sid) de celle de politique responsable de l’échec de la vérification. Bien que l’ID de déclaration soit un élément de politique facultatif, nous vous recommandons d’ajouter un ID de déclaration pour chaque déclaration de politique. La vérification de politique personnalisée renvoie également un index de déclaration pour aider à identifier la raison de l’échec de la vérification. L’index de déclaration suit une numérotation à base de zéro, où la première déclaration est référencée par 0. Lorsque plusieurs déclarations entraînent l’échec d’une vérification, celle-ci ne renvoie qu’un seul ID de déclaration à la fois. Nous vous recommandons de corriger la déclaration mise en évidence dans le motif et de réexécuter la vérification jusqu’à ce qu’elle soit validée.

Validation des politiques à l’aide de vérifications de politique personnalisées (console)

En option, vous pouvez exécuter une vérification de politique personnalisées lorsque vous modifiez une politique dans l’éditeur de politique JSON dans la console IAM. Vous pouvez vérifier si la politique mise à jour accorde un nouvel accès par rapport à la version existante.

Pour vérifier les nouveaux accès lors de la modification des politiques IAM JSON

  1. Connectez-vous à la console IAM AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, sélectionnez Policies (Politiques).

  3. Dans la liste des politiques, choisissez le nom de la politique à modifier. Vous pouvez utiliser la zone de recherche pour filtrer la liste des politiques.

  4. Choisissez l'onglet Autorisations, puis Modifier.

  5. Choisissez l’option JSON et mettez à jour votre politique.

  6. Dans le panneau de validation de la politique ci-dessous, sélectionnez l’onglet Vérifier un nouvel accès, puis sélectionnez Vérifier la politique. Si les autorisations modifiées accordent un nouvel accès, la déclaration sera mise en évidence dans le volet de validation de la politique.

  7. Si vous n’avez pas l’intention d’accorder un nouvel accès, mettez à jour la déclaration de politique et choisissez Vérifier la politique jusqu’à ce qu’aucun nouvel accès ne soit détecté.

    Note

    Des frais sont associés à chaque vérification pour un nouvel accès. Pour plus d’informations sur les tarifs, consultez la Tarification de l’analyseur d’accès IAM.

  8. Choisissez Suivant.

  9. Sur la page examiner et enregistrer, examinez les Autorisations définies dans cette politique, puis choisissez Enregistrer les modifications.

Validation des politiques à l'aide de vérifications de politiques personnalisées (AWS CLI ou API)

Vous pouvez exécuter des vérifications de politique personnalisées par IAM Access Analyzer à partir de l'API AWS CLI ou de l'API d'IAM Access Analyzer.

Pour exécuter les vérifications de politiques personnalisées de l’analyseur d’accès IAM (AWS CLI)

  • Pour vérifier si un nouvel accès est autorisé pour une politique mise à jour par rapport à la politique existante, exécutez la commande suivante : check-no-new-access

  • Pour vérifier si l’accès spécifié n’est pas autorisé par une politique, exécutez la commande suivante : check-access-not-granted

  • Pour vérifier si une politique de ressources peut accorder un accès public à un type de ressource spécifié, exécutez la commande suivante : check-no-public-access

Pour exécuter les vérifications de politiques personnalisées de l’analyseur d’accès IAM (API)

  • Pour vérifier si un nouvel accès est autorisé pour une politique mise à jour par rapport à la politique existante, utilisez l’opération d’API CheckNoNewAccess.

  • Pour vérifier si l’accès spécifié n’est pas autorisé par une politique, utilisez l’opération d’API CheckAccessNotGranted.

  • Pour vérifier si une politique de ressources peut accorder un accès public à un type de ressource spécifique, utilisez l'opération CheckNoPublicAccessAPI.