Démarrer avec AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management
Autorisations requises pour l’utilisation de l’IAM Access AnalyzerStatut de l'IAM Access Analyzer

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Démarrer avec AWS Identity and Access Management Access Analyzer

Utilisez les informations de cette rubrique pour en savoir plus sur les exigences nécessaires pour utiliser et gérer AWS Identity and Access Management Access Analyzer.

Autorisations requises pour l’utilisation de l’IAM Access Analyzer

Pour configurer et utiliser correctement l’IAM Access Analyzer, le compte que vous utilisez doit disposer des autorisations requises.

Politiques gérées par AWS pour l’IAM Access Analyzer

AWS Identity and Access Management Access Analyzer fournit AWSdes politiques gérées pour vous aider à démarrer rapidement.

  • IAMAccessAnalyzerFullAccess : autorise aux administrateurs un accès intégral à l’analyseur d’accès IAM. Cette politique permet également de créer les rôles liés au service dont l’IAM Access Analyzer a besoin pour analyser les ressources de votre compte ou AWS organisation

  • IAMAccessAnalyzerReadOnlyAccess : autorise l’accès en lecture seule à l’analyseur d’accès IAM. Vous devez ajouter des politiques supplémentaires à vos identités IAM (utilisateurs, groupes d'utilisateurs ou rôles) les autorisant à afficher leurs résultats.

Ressources définies par l'analyseur d'accès IAM

Pour afficher les ressources définies par l’analyseur d’accès IAM, consultez Types de ressources définis par l’analyseur d’accès IAM dans la Référence de l’autorisation de service.

Autorisations de service de l’IAM Access Analyzer requises

L’analyseur d’accès IAM utilise un rôle lié au service (SLR) IAM nommé AWSServiceRoleForAccessAnalyzer. Ce SLR accorde au service un accès en lecture seule pour analyser les ressources AWS avec des politiques basées sur les ressources et analyser les accès non utilisés en votre nom. Le service crée le rôle dans votre compte dans les scénarios suivants :

  • Vous créez un analyseur d’accès externe avec votre compte comme zone de confiance.

  • Vous créez un analyseur d’accès non utilisé avec votre compte comme compte sélectionné.

Pour en savoir plus, consultez Utilisation des rôles liés aux services pour AWS Identity and Access Management Access Analyzer.

Note

L’IAM Access Analyzer est régional. Pour les accès externes, vous devez activer l’analyseur d’accès IAM dans chaque région de manière indépendante.

En cas d’accès non utilisé, les résultats de l’analyseur ne changent pas en fonction de la région. Il n’est pas nécessaire de créer un analyseur dans chaque région où vous disposez de ressources.

Dans certains cas, une fois que vous avez créé un analyseur d’accès externe ou non utilisé dans l’analyseur d’accès IAM, la page ou le tableau de bord des Résultats se charge sans résultats ni récapitulatif. Cela peut être dû à un retard d'affichage de vos résultats dans la console. Vous devrez peut-être actualiser manuellement le navigateur ou y revenir ultérieurement pour afficher vos résultats ou votre récapitulatif. Si vous ne voyez toujours pas de résultats pour un analyseur d’accès externe, c’est parce que vous n’avez pas de ressources prises en charge dans votre compte auxquelles une entité externe peut accéder. Si une politique qui accorde l'accès à une entité externe est appliquée à une ressource, l’IAM Access Analyzer génère un résultat.

Note

Pour les analyseurs d’accès externe, il peut s’écouler jusqu’à 30 minutes après la modification d’une politique pour que l’analyseur d’accès IAM analyse la ressource, puis génère un nouveau résultat d’accès externe ou met à jour un résultat existant pour l’accès à la ressource. Qu’il s’agisse d’analyseurs d’accès externe ou non utilisé, les mises à jour des résultats peuvent ne pas apparaître immédiatement dans le tableau de bord.

Autorisations de l’analyseur d’accès IAM requises pour consulter le tableau de bord des résultats

Pour afficher le Tableau de bord des résultats de l’analyseur d’accès IAM, le compte que vous utilisez doit disposer d’un accès pour effectuer les actions requises suivantes :

Pour afficher toutes les actions définies par l’analyseur d’accès IAM, consultez Actions définies par l’analyseur d’accès IAM dans la Référence de l’autorisation de service.

Statut de l'IAM Access Analyzer

Pour afficher l'état de vos analyseurs, sélectionnez Analyzers (Analyseurs). Les analyseurs créés pour une organisation ou un compte peuvent avoir l'état suivant :

État Description

Actif

Pour les analyseurs d’accès externe, l’analyseur surveille activement les ressources dans sa zone de confiance. L'analyseur génère activement de nouveaux résultats et met à jour les résultats existants.

Pour les analyseurs d’accès non utilisés, l’analyseur surveille activement les accès non utilisés au sein de l’organisation sélectionnée ou Compte AWS pendant la période de suivi spécifiée. L'analyseur génère activement de nouveaux résultats et met à jour les résultats existants.

Création

La création de l'analyseur est toujours en cours. L'analyseur deviendra actif une fois la création terminée.

Désactivées

L'analyseur est désactivé en raison d'une action effectuée par l'administrateur AWS Organizations. Par exemple, le compte de l'analyseur en tant qu'administrateur délégué pour IAM Access Analyzer a pu être supprimé. Lorsque l’analyseur est désactivé, il ne génère pas de nouveaux résultats ou ne met pas à jour les résultats existants.

Échec

La création de l'analyseur a échoué en raison d'un problème de configuration. L'analyseur ne génère pas de résultats. Supprimez l'analyseur et créez-en un nouveau.