Résoudre les IAM conclusions de Access Analyzer - AWS Gestion de l’identité et des accès
Résolution des problèmes d'accès externesRésolution des problèmes d'accès non utilisés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résoudre les IAM conclusions de Access Analyzer

Résolution des problèmes d'accès externes

Pour résoudre les problèmes d'accès externe générés par un accès involontaire, vous devez modifier la déclaration de politique afin de supprimer les autorisations qui autorisent l'accès à la ressource identifiée.

Pour les résultats relatifs aux compartiments Amazon S3, utilisez la console Amazon S3 pour configurer les autorisations sur le compartiment.

Pour IAM les rôles, utilisez la IAM console pour modifier la politique de confiance pour le IAM rôle répertorié.

Pour les autres ressources prises en charge, utilisez la console pour modifier les déclarations de politique qui ont généré un résultat.

Après avoir apporté une modification pour résoudre une recherche d'accès externe, telle que la modification d'une politique appliquée à un IAM rôle, IAM Access Analyzer analyse à nouveau la ressource. Si la ressource n'est plus partagée en dehors de votre zone de confiance, le statut de la découverte passe à Résolu. Le résultat sera ensuite affiché dans la liste des résultats résolus au lieu de la liste des résultats actifs.

Note

Cela ne s’applique pas aux résultats signalant une Erreur. Lorsqu'IAMAccess Analyzer n'est pas en mesure d'analyser une ressource, il génère une recherche d'erreur. Si vous résolvez le problème qui empêchait IAM Access Analyzer d'analyser la ressource, le résultat d'erreur sera complètement supprimé au lieu d'être remplacé par un résultat résolu.

Si les modifications que vous avez apportées ont entraîné le partage de la ressource en dehors de votre zone de confiance, mais d'une manière différente, par exemple avec un autre principal ou pour une autorisation différente, IAM Access Analyzer générera une nouvelle recherche active.

Note

IAMAccess Analyzer peut prendre jusqu'à 30 minutes après la modification d'une politique pour analyser à nouveau la ressource, puis mettre à jour le résultat. Les résultats résolus sont supprimés 90 jours après la dernière mise à jour du résultat.

Résolution des problèmes d'accès non utilisés

IAMAccess Analyzer propose des étapes recommandées pour résoudre les résultats inutilisés de l'analyseur d'accès en fonction du type de résultat.

Une fois que vous avez apporté une modification pour résoudre un résultat des accès non utilisés, le statut du résultat passe à Résolu lors de la prochaine exécution de l’analyseur d’accès non utilisé. Le résultat n'est plus affiché dans la liste des résultats actifs, mais dans la liste des résultats résolus. Si vous apportez une modification qui ne résoud que partiellement à un résultat des accès non utilisés, le résultat existant devient Résolu mais un nouveau est généré. Par exemple, si vous supprimez uniquement certaines des autorisations non utilisées dans une recherche, mais pas toutes.

IAMAccess Analyzer facture l'analyse des accès non utilisés en fonction du nombre de IAM rôles et d'utilisateurs analysés par mois. Pour plus de détails sur les tarifs, consultez la section Tarification IAM d'Access Analyzer.

Résolution des problèmes d'autorisation non utilisés

En cas de détection d'autorisations non utilisées, IAM Access Analyzer peut recommander des politiques à supprimer d'un IAM utilisateur ou d'un rôle et proposer de nouvelles politiques pour remplacer les politiques d'autorisation existantes. La recommandation de stratégie n'est pas prise en charge pour les scénarios suivants :

  • La recherche d'autorisation non utilisée concerne un IAM utilisateur appartenant à un groupe d'utilisateurs.

  • La recherche d'autorisation non utilisée concerne un IAM rôle pour IAM Identity Center.

  • La recherche d'autorisation non utilisée est associée à une politique d'autorisation existante qui inclut l'notActionélément.

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez un résultat avec le type de recherche Autorisations non utilisées.

  4. Dans la section Recommandations, si des politiques sont répertoriées dans la colonne Stratégie recommandée, choisissez Prévisualiser la politique pour afficher la stratégie existante avec la stratégie recommandée pour remplacer la stratégie existante. S'il existe plusieurs politiques recommandées, vous pouvez choisir la stratégie suivante et la stratégie précédente pour afficher chacune des politiques existantes et recommandées.

  5. Choisissez Télécharger JSON pour télécharger un fichier .zip contenant JSON les fichiers de toutes les politiques recommandées.

  6. Créez et associez les politiques recommandées à l'IAMutilisateur ou au rôle. Pour plus d'informations, consultez Modifier les autorisations d'un utilisateur (console) et Modifier la politique d'autorisations d'un rôle (console).

  7. Supprimez les politiques répertoriées dans la colonne Politique d'autorisation existante de l'IAMutilisateur ou du rôle. Pour plus d'informations, consultez Supprimer une autorisation d'un utilisateur (console) et Modifier une politique d'autorisations de rôle (console).

Résolution des problèmes liés aux rôles non utilisés

En cas de détection de rôles inutilisés, IAM Access Analyzer recommande de supprimer le IAM rôle inutilisé.

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez un résultat avec le type de recherche « Rôle non utilisé ».

  4. Dans la section Recommandations, passez en revue les détails du IAM rôle.

  5. Supprimez le IAM rôle. Pour plus d'informations, consultez Supprimer un IAM rôle (console).

Résolution des problèmes d'accès non utilisés : principaux résultats

En cas de détection d'une clé d'accès non utilisée, IAM Access Analyzer recommande de désactiver ou de supprimer la clé d'accès non utilisée.

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez une recherche avec le type de recherche Clés d'accès non utilisées.

  4. Dans la section Recommandations, passez en revue les détails de la clé d'accès.

  5. Désactivez ou supprimez la clé d'accès. Pour plus d'informations, consultez la section Gestion des clés d'accès (console).

Résolution des problèmes de mots de passe inutilisés

Pour détecter des mots de passe inutilisés, IAM Access Analyzer recommande de supprimer le mot de passe inutilisé pour l'IAMutilisateur.

  1. Ouvrez la IAM console à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez une recherche avec le type de recherche Mot de passe inutilisé.

  4. Dans la section Recommandations, passez en revue les informations relatives à l'IAMutilisateur.

  5. Supprimez le mot de passe de l'IAMutilisateur. Pour plus d'informations, voir Création, modification ou suppression d'un mot de passe IAM utilisateur (console).