Examen des résultats de l’analyseur d’accès IAM - AWS Identity and Access Management
Résultats des accès externesRésultats des accès non utilisés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Examen des résultats de l’analyseur d’accès IAM

Après l'activation d'IAM Access Analyzer, l'étape suivante est l’ examen de tous les résultats afin de déterminer si l'accès identifié dans le résultat est intentionnel ou non. Vous pouvez également examiner les résultats pour déterminer les résultats simillaires pour un accès prévu, puis créer une règle d’archivage pour automatiquement archiver ces résultats. Vous pouvez également examiner les résultats archivés et résolus.

Vous devez examiner tous les résultats de votre compte pour déterminer si l’accès externe ou non utilisé est attendu et approuvé. Si l’accès externe ou non utilisé identifié dans le résultat est attendu, vous pouvez archiver le résultat. Lorsque vous archivez un résultat, le statut devient Archivé et le résultat est supprimé de la liste des résultats actifs. Le résultat n'est pas supprimé. Vous pouvez consulter vos résultats archivés à tout moment. Passez en revue tous les résultats de votre compte jusqu'à ce qu'il ne reste plus aucun résultat actif. Une fois que vous êtes à zéro résultat, vous savez que tous les nouveaux résultats actifs générés proviennent d’une modification récente de votre environnement.

Pour examiner les résultats

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Access Analyzer (Analyseur d'accès).

  3. Le tableau de bord des résultats s’affiche. Sélectionnez les résultats actifs pour votre analyseur d’accès externe ou non utilisé.

    Pour de plus d’informations sur l’affichage du tableau de bord des résultats, consultez Affichage du tableau de bord des résultats de l’analyseur d’accès IAM.

Note

Les résultats sont affichés uniquement si vous avez l'autorisation d'afficher les résultats de l'analyseur.

Tous les résultats sont affichés pour l’analyseur. Pour afficher les autres résultats générés par l’analyseur, sélectionnez le type de résultat approprié à partir du menu déroulant Statut :

  • Choisissez Active (Actif) pour afficher tous les résultats actifs générés par l'analyseur.

  • Choisissez Archived (Archivé) pour afficher uniquement les résultats générés par l'analyseur et archivés. Pour en savoir plus, veuillez consulter la section Archivage des résultats de l’analyseur d’accès IAM.

  • Choisissez Resolved (Résolu) pour afficher uniquement les résultats générés par l'analyseur et résolus. Lorsque vous résolvez le problème qui a généré le résultat, le statut du résultat devient Résolu.

    Important

    Les résultats résolus sont supprimés 90 jours après la dernière mise à jour du résultat. Les résultats actifs et archivés ne sont pas supprimés, sauf si vous supprimez l'analyseur qui les a générés.

  • Choisissez All (Tout) pour afficher tous les résultats dont le statut a été généré par l'analyseur.

Résultats des accès externes

Choisissez Accès externe, puis choisissez l’analyseur d’accès externe dans le menu déroulant Afficher l’analyseur. La page Résultats pour les analyseurs d’accès externe affiche les informations suivantes sur la ressource partagée et la déclaration de politique ayant généré le résultat :

ID de résultat

ID unique affecté au résultat. Choisissez l'ID de résultat pour afficher des détails supplémentaires sur la ressource et l'instruction de politique ayant généré le résultat.

Ressource

Type et nom partiel de la ressource pour laquelle une politique a été appliquée et qui accorde l'accès à une entité externe ne faisant pas partie de votre zone de confiance.

Compte du propriétaire de la ressource

Cette colonne s'affiche uniquement si vous utilisez une organisation comme zone de confiance. Compte de l'organisation propriétaire de la ressource déclarée dans le résultat.

External principal (Principal externe

Principal, qui ne fait pas partie de votre zone de confiance, auquel la politique analysée accorde l'accès. Les valeurs valides sont les suivantes :

  • Compte AWS— Tous les principaux figurant dans la liste Compte AWS disposant des autorisations de l'administrateur de ce compte peuvent accéder à la ressource.

  • Tout principal : tous les principaux de n’importe quel compte Compte AWS qui satisfont aux conditions incluses dans la colonne Conditions ont l’autorisation d’accéder à la ressource. Par exemple, si un VPC est répertorié, cela signifie que tout principal de n'importe quel compte ayant l'autorisation d'accéder au VPC répertorié peut accéder à la ressource.

  • Utilisateur canonique : tous les principaux du compte Compte AWS avec l’ID d’utilisateur canonique répertorié ont l’autorisation d’accéder à la ressource.

  • IAM role (Rôle IAM) : le rôle IAM répertorié a l'autorisation d'accéder à la ressource.

  • IAM user : l'utilisateur IAM répertorié a l'autorisation d'accéder à la ressource.

Condition

Condition de l'instruction de politique qui accorde l'accès. Par exemple, si le champ Condition inclut Source VPC (VPC source), cela signifie que la ressource est partagée avec un principal ayant accès au VPC répertorié. Les conditions peuvent être globales ou spécifiques au service. Les clés de condition globale ont le préfixe aws:.

Shared through (Partagé via)

Le champ Shared through (Partagé via) indique comment est accordé l'accès qui a généré le résultat. Les valeurs valides sont les suivantes :

  • Politique de compartiment : politique de compartiment attachée au compartiment Amazon S3.

  • Access control list (Liste de contrôle d'accès) : liste de contrôle d'accès (ACL) attachée au compartiment Amazon S3.

  • Point d'accès : point d'accès ou point d'accès multi-région associé au compartiment Amazon S3. L'ARN du point d'accès est affiché dans les détails des résultats.

Niveau d'accès

Niveau d'accès accordé à l'entité externe par les actions de la politique basée sur les ressources. Consultez les détails du résultat pour plus d'informations. Les valeurs de niveau d'accès sont les suivantes :

  • List (Liste) : autorisation de répertorier les ressources au sein du service afin de déterminer si un objet existe. Les actions associées à ce niveau d'accès peuvent répertorier les objets mais ne peuvent pas voir le contenu d'une ressource.

  • Read (Lecture) : autorisation de lire (sans modifier) le contenu et les attributs des ressources du service.

  • Write (Écriture) : autorisation de créer, supprimer ou modifier les ressources du service.

  • Permissions (Autorisations) : autorisation d'octroyer ou de modifier des autorisations sur des ressources dans le service.

  • Tagging (Balisage) : autorisations d'effectuer des actions qui modifient uniquement l'état des balises de ressource.

Restriction de la politique de contrôle des ressources (RCP)

L’impact de la politique de contrôle des ressources (RCP) Organization sur le résultat. Les valeurs possibles du système de contrôle des ressources sont les suivantes :

  • Erreur : une erreur s’est produite lors de l’évaluation de la RCP.

  • Non applicable : aucun RCP ne restreint cette ressource ou ce principal. Cela inclut également les ressources qui ne RCPs sont pas encore prises en charge.

  • Applicable : l’administrateur de votre organisation a défini des restrictions via une RCP qui ont un impact sur la ressource ou le type de ressource. Contactez l’administrateur de votre organisation pour plus de détails.

Dernière mise à jour

Horodatage de la mise à jour la plus récente du statut de résultat, ou heure et date auxquelles le résultat a été généré si aucune mise à jour n'a été effectuée.

Note

Lorsque la politique est modifiée, l’analyseur d’accès IAM peut prendre jusqu’à 30 minutes pour analyser la ressource et mettre à jour le résultat d’accès externe. Les modifications apportées à une politique de contrôle des ressources (RCP) n’entraînent pas une nouvelle analyse de la ressource mentionnée dans le résultat. L’analyseur d’accès IAM analyse la politique nouvelle ou mise à jour au cours de l’analyse périodique suivante, qui a lieu dans un délai maximal de 24 heures.

Statut

Statut du résultat : Active (Actif), Archived (Archivé) ou Resolved (Résolu).

Résultats des accès non utilisés

L’analyseur d’accès IAM facture l’analyse d’accès non utilisé en fonction du nombre de rôles et d’utilisateurs IAM analysés par mois. Pour plus d’informations sur les tarifs, consultez la Tarification de l’analyseur d’accès IAM.

Choisissez Accès non utilisé, puis choisissez l’analyseur d’accès non utilisé dans le menu déroulant Afficher l’analyseur. La page Résultats des analyseurs d’accès non utilisés affiche les informations suivants sur l’entité IAM qui a généré le résultat :

ID de résultat

ID unique affecté au résultat. Choisissez l’ID du résultat pour afficher des détails supplémentaires sur l’entité IAM qui a généré le résultat.

Type de résultat

Type de résultat d’accès non utilisé : Clé d’accès non utilisée, Mot de passe non utilisé, Autorisation non utilisée, ou Rôle non utilisé.

Entité IAM

L’entité IAM mentionnée dans le résultat. Il peut s’agir d’un utilisateur ou d’un rôle IAM.

Compte AWS ID

Cette colonne s’affiche uniquement si vous configurez l’analyseur pour tous les Comptes AWS de l’organisation. Compte AWS Dans l'organisation propriétaire de l'entité IAM indiquée dans le résultat.

Dernière mise à jour

La dernière fois que l’entité IAM indiquée dans le résultat a été mise à jour, ou la date de création de l’entité si aucune mise à jour n’a été effectuée.

Statut

Statut du résultat : (Actif, Archivé ou Résolu).