Validation des politiques à l’aide de l’analyseur d’accès IAM - AWS Identity and Access Management
Validation des politiques dans IAM (console)Validation de politiques à l’aide de l’analyseur d’accès IAM (API AWS CLI ou AWS)

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Validation des politiques à l’aide de l’analyseur d’accès IAM

Vous pouvez valider vos politiques à l’aide de la validation de politique AWS Identity and Access Management Access Analyzer. Vous pouvez créer ou modifier une politique à l'aide de la AWS CLI, de l'API AWS ou de l'éditeur de politique JSON dans la console IAM. L’analyseur d’accès IAM valide votre politique par rapport à la grammaire de politique IAM et aux bonnes pratiques AWS. Vous pouvez afficher les résultats des vérifications de validation de politique qui incluent des avertissements de sécurité, des erreurs, des avertissements généraux et des suggestions pour votre politique. Ces résultats fournissent des recommandations exploitables qui vous aident à créer des politiques fonctionnelles et conformes aux bonnes pratiques en matière de sécurité. Pour afficher la liste des vérifications des politiques de base exécutées par l’analyseur d’accès IAM, consultez Référence de vérification de politique d'analyseur d'accès.

Validation des politiques dans IAM (console)

Vous pouvez afficher les résultats générés par la validation de politiques de l’analyseur d’accès IAM lorsque vous créez ou modifiez une politique gérée dans la console IAM. Vous pouvez également afficher ces résultats pour les politiques d'utilisateur ou de rôle en ligne. L’analyseur d’accès IAM ne génère pas ces résultats pour les politiques de groupe en ligne.

Pour afficher les résultats générés par les vérifications de politique pour les politiques IAM JSON

  1. Connectez-vous à l’outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Commencez à créer ou à modifier une politique selon l'une des méthodes suivantes :

    1. Pour créer une politique gérée, accédez à la page Policies (Politiques) et créez une politique. Pour en savoir plus, consultez Création de politiques à l'aide de l'éditeur JSON.

    2. Pour afficher les vérifications de politique d’une politique gérée par le client existante, accédez à la page Politiques, sélectionnez le nom d’une politique, puis sélectionnez Modifier. Pour en savoir plus, consultez Modification de politiques gérées par le client (console).

    3. Pour afficher les vérifications de politique d’une politique en ligne sur un utilisateur ou un rôle, accédez à la page Utilisateurs ou Rôles, sélectionnez le nom d’un utilisateur ou d’un rôle, sélectionnez le nom de la politique sous l’onglet Autorisations, puis choisissez Modifier. Pour en savoir plus, consultez Modification de politiques en ligne (console).

  3. Dans l'éditeur de politique, sélectionnez l'onglet JSON.

  4. Dans le panneau de validation de la politique, sous la politique, sélectionnez un ou plusieurs des onglets suivants. Les noms des onglets indiquent également le nombre de chaque type de résultat pour votre politique.

    • Sécurité : affiche des avertissements si votre politique autorise l'accès qu'AWS considère comme un risque de sécurité en raison de la permissivité excessive de l'accès.

    • Erreurs : affiche des erreurs si votre politique inclut des lignes qui empêchent la politique de fonctionner.

    • Avertissements : affiche des avertissements si votre politique n'est pas conforme aux bonnes pratiques, mais que les problèmes ne constituent pas des risques de sécurité.

    • Suggestions : affiche des suggestions si AWS recommande des améliorations qui n'affectent pas les autorisations de la politique.

  5. Examinez les détails des résultats fournis par la vérification de la politique de l’IAM Access Analyzer. Chaque résultat indique l'emplacement du problème signalé. Pour en savoir plus sur les causes du problème et la façon de le résoudre, sélectionnez le lien Learn more (En savoir plus) en regard du résultat. Vous pouvez également rechercher la vérification de politique associée à chaque résultat sur la page de référence Access Analyzer policy checks (Vérifications de politique Access Analyzer).

  6. Facultatif. Si vous modifiez une politique existante, vous pouvez exécuter une vérification de politique personnalisée pour déterminer si votre politique mise à jour accorde un nouvel accès par rapport à la version existante. Dans le panneau de validation de la politique ci-dessous, sélectionnez l’onglet Vérifier un nouvel accès, puis sélectionnez Vérifier la politique. Si les autorisations modifiées accordent un nouvel accès, la déclaration sera mise en évidence dans le volet de validation de la politique. Si vous n’avez pas l’intention d’accorder un nouvel accès, mettez à jour la déclaration de politique et choisissez Vérifier la politique jusqu’à ce qu’aucun nouvel accès ne soit détecté. Pour en savoir plus, consultez Validation des politiques à l’aide des vérifications des politiques personnalisées de l’analyseur d’accès IAM.

    Note

    Des frais sont associés à chaque vérification pour un nouvel accès. Pour plus d’informations sur la tarification, consultez Tarification de l’analyseur d’accès IAM.

  7. Mettez à jour votre politique pour résoudre les résultats.

    Important

    Testez soigneusement les politiques nouvelles ou modifiées avant de les implémenter dans votre flux de production.

  8. Lorsque vous avez terminé, choisissez Next. Le Validateur de politique signale les erreurs de syntaxe qui ne sont pas signalées par l’analyseur d’accès IAM.

    Note

    Vous pouvez basculer à tout moment entre les onglets Visuel et JSON. Toutefois, si vous apportez des modifications ou si vous choisissez Suivant dans l’onglet Visuel, IAM peut restructurer votre politique afin de l’optimiser pour l’éditeur visuel. Pour en savoir plus, consultez Restructuration de politique.

  9. Pour de nouvelles politiques, sur la page Examiner et créer, tapez un Nom de politique et une Description (facultative) pour la politique que vous créez. Examinez les Autorisations définies dans cette politique pour voir celles accordées par votre politique. Sélectionnez ensuite Créer une politique pour enregistrer votre travail.

    Pour les politiques existantes, à la page Examiner et enregistrer, passez en revue les Autorisations définies dans cette politique pour voir celles qui sont accordées par votre politique. Choisissez l’option Définir cette nouvelle version comme version par défaut pour enregistrer la version mise à jour comme version par défaut de la politique. Choisissez ensuite Enregistrer les modifications pour enregister votre travail.

Validation de politiques à l’aide de l’analyseur d’accès IAM (API AWS CLI ou AWS)

Vous pouvez afficher les résultats générés par la validation de politique de l’analyseur d’accès IAM à partir d’AWS Command Line Interface (AWS CLI).

Pour afficher les résultats générés par la validation de politique de l’analyseur d’accès IAM (API AWS CLI ou AWS)

Utilisez l'une des options suivantes :