Compartiments Amazon S3 Compartiments du répertoire Amazon S3 Rôles IAM Clés KMS Fonctions Lambda Files d'attente Amazon SQS Secrets de Secrets Manager Rubriques Amazon SNS Instantanés de volumes Amazon EBS Instantanés de base de données Amazon RDS Instantanés du cluster de base de données Amazon RDS Référentiels Amazon ECR Système de fichiers Amazon EFS DynamoDB Streams Tables DynamoDB

Types de ressources de l’analyseur d’accès IAM pour l’accès externe

Pour les analyseurs d’accès externe, l’analyseur d’accès IAM analyse les politiques axées sur les ressources qui sont appliquées aux ressources AWS dans la région où vous avez activé l’analyseur d’accès IAM. Seules les politiques basées sur les ressources sont analysées. Consultez les informations relatives à chaque ressource afin d’ obtenir des détails sur la façon dont IAM Access Analyzer génère les résultats pour chaque type de ressource.

Note

Les types de ressources pris en charge répertoriés concernent les analyseurs d’accès externe. Les analyseurs d’accès non utilisés ne prennent en charge que les utilisateurs et les rôles IAM. Pour en savoir plus, consultez Fonctionnement des résultats de l’analyseur d’accès IAM.

Types de ressources pris en charge pour l’accès externe :

Compartiments Amazon Simple Storage Service
Compartiments du répertoire Amazon Simple Storage Service
Rôles AWS Identity and Access Management
Clés AWS Key Management Service
Fonctions et couches AWS Lambda
Files d'attente Amazon Simple Queue Service
Secrets AWS Secrets Manager
Rubriques Amazon Simple Notification Service
Instantanés volumes Amazon Elastic Block Store
Instantanés de base de données service de base de données relationnelle Amazon
Instantanés de cluster de base de données service base de données relationnelle Amazon
Référentiels Amazon Elastic Container Registry
Systèmes de fichiers Amazon Elastic File System
Amazon DynamoDB Streams
Tables Amazon DynamoDB

Compartiments Amazon Simple Storage Service

Lorsque l’IAM Access Analyzer analyse des compartiments Amazon S3, il génère un résultat si une politique de compartiment Amazon S3, une liste ACL ou un point d'accès, y compris un point d'accès multi-région appliquée à un compartiment accorde l'accès à une entité externe. Une entité externe est un principal ou une autre entité que vous pouvez utiliser pour créer un filtre qui ne se trouve pas dans votre zone d’approbation. Par exemple, si une politique de compartiment accorde l'accès à un autre compte ou autorise un accès public, IAM Access Analyzer génère un résultat. Toutefois, si vous activez le blocage de l'accès public sur votre compartiment, vous pouvez bloquer l'accès au niveau du compte ou du compartiment.

Note

IAM Access Analyzer n'analyse pas la politique de point d'accès associée aux points d'accès intercompte, car le point d'accès et sa politique ne font pas partie du compte de l'analyseur. IAM Access Analyzer génère un résultat public lorsqu'un compartiment délègue l'accès à un point d'accès intercompte et que l'option Bloquer l'accès public n'est pas activée sur le compartiment ou le compte. Lorsque vous activez Bloquer l'accès public, le résultat public est résolu et IAM Access Analyzer génère un résultat intercompte pour le point d'accès intercompte.

Les paramètres Amazon S3 de blocage de l'accès public remplacent les politiques de compartiment qui sont appliquées au compartiment. Les paramètres remplacent également les politiques de point d'accès appliquées aux points d'accès du compartiment. Chaque fois qu'une politique change, IAM Access Analyzer analyse les paramètres de blocage de l'accès public au niveau du compartiment. Cependant, il évalue les paramètres de blocage d'accès public au niveau du compte seulement une fois toutes les 6 heures. Cela signifie que l’IAM Access Analyzer peut ne pas générer ou résoudre un résultat pour un accès public à un compartiment pendant une période pouvant aller jusqu'à 6 heures. Par exemple, si vous disposez d'une politique de compartiment qui autorise l'accès public, IAM Access Analyzer génère un résultat pour cet accès. Si vous activez le blocage de l'accès public afin de bloquer tout accès public au compartiment au niveau du compte, IAM Access Analyzer ne résout pas le résultat pour la politique de compartiment pendant une période pouvant aller jusqu'à 6 heures, même si tout l'accès public au compartiment est bloqué. La résolution des résultats publics concernant les points d'accès intercompte peut également prendre jusqu'à 6 heures une fois que vous avez activé l'option Bloquer l'accès public au niveau du compte. Les modifications apportées à une politique de contrôle des ressources (RCP) sans modification de politique de compartiment n’entraînent pas une nouvelle analyse du compartiment mentionné dans le résultat. L’analyseur d’accès IAM analyse la politique nouvelle ou mise à jour au cours de l’analyse périodique suivante, qui a lieu dans un délai maximal de 24 heures.

Pour un point d'accès multi-région, IAM Access Analyzer utilise une politique établie dans le but de générer des résultats. IAM Access Analyzer évalue les modifications apportées aux points d'accès multi-région toutes les 6 heures. Cela signifie que l’IAM Access Analyzer ne génère pas ou ne résout pas un résultat pendant au moins 6 heures, même si vous créez ou supprimez un point d'accès multi-région, ou si vous mettez à jour la politique pour ce point.

Compartiments du répertoire Amazon Simple Storage Service

Les compartiments de répertoire Amazon S3 utilisent la classe de stockage Amazon S3 Express One, recommandée pour les charges de travail ou les applications critiques en termes de performances. Pour les compartiments de répertoires Amazon S3, l’analyseur d’accès IAM analyse la politique de compartiments de répertoires, y compris les déclarations de condition dans une politique, qui permettent à une entité externe d’accéder à un compartiment de répertoires. Pour plus d’informations sur les compartiments de répertoire Amazon S3, consultez Compartiments de répertoire dans le guide de l’utilisateur Amazon Simple Storage Service.

Rôles AWS Identity and Access Management

Pour les rôles IAM, IAM Access Analyzer analyse les politiques de confiance. Dans une politique d'approbation de rôle, vous définissez les principaux auxquels vous faites confiance pour endosser le rôle. Une politique d'approbation de rôle est une politique basée sur les ressources requise qui est attachée à un rôle dans IAM. IAM Access Analyzer génère des résultats pour les rôles dans la zone de confiance à laquelle peut accéder une entité externe située en dehors de votre zone de confiance.

Note

Un rôle IAM est une ressource globale. Si une politique d'approbation de rôle accorde l'accès à une entité externe, IAM Access Analyzer génère un résultat dans chaque région activée.

Clés AWS Key Management Service

Pour AWS KMS keys, IAM Access Analyzer analyse les politiques de clés ainsi que des octrois appliquées à une clé. IAM Access Analyzer génère un résultat si une politique de clé ou d’ un octroi autorise l’ accès d’une entité externe à la clé. Par exemple, si vous utilisez la clé de condition kms:CallerAccount dans une instruction de politique afin d’ autoriser l'accès à tous les utilisateurs d'un compte AWS spécifique et par la suite vous spécifiez un compte autre que le compte actuel (zone de confiance de l'analyseur actif), l'IAM Access Analyzer génère un résultat. Pour en savoir plus sur les clés de condition AWS KMS dans les instructions de politique IAM, veuillez consulter la rubrique Clés de condition AWS KMS.

Lorsque l'IAM Access Analyzer analyse une clé KMS, il lit les métadonnées de clé, telles que la politique de clé et la liste des autorisations. Si la politique de clé n'autorise pas le rôle IAM Access Analyzer à lire les métadonnées de clé, un résultat d'erreur de type Accès refusé est généré. Par exemple, si l'instruction de politique suivante est la seule politique appliquée à une clé, un résultat d'erreur de type Accès refusé est généré dans IAM Access Analyzer.


{
    "Sid": "Allow access for Key Administrators",
    "Effect": "Allow",
    "Principal": {
       "AWS": "arn:aws:iam::111122223333:role/Admin"
    },
    "Action": "kms:*",
    "Resource": "*"
}

Cette instruction autorisant uniquement le rôle Admin du compte AWS 111122223333 à accéder à la clé, un résultat d'erreur de type Accès refusé est généré, car IAM Access Analyzer ne peut effectuer l’analyse complète de la clé. Un résultat d'erreur s'affiche sous la forme d'un texte en rouge dans le tableau Findings (Résultats). Le résultat ressemble à ce qui suit :


{
    "error": "ACCESS_DENIED",
    "id": "12345678-1234-abcd-dcba-111122223333",
    "analyzedAt": "2019-09-16T14:24:33.352Z",
    "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a",
    "resourceType": "AWS::KMS::Key",
    "status": "ACTIVE",
    "updatedAt": "2019-09-16T14:24:33.352Z"
}

Lorsque vous créez une clé KMS, les autorisations accordées pour accéder à la clé dépendent de la façon dont vous créez celle-ci. Si vous recevez un résultat d'erreur de type Accès refusé pour une ressource de clé, appliquez l'instruction de politique suivante à la ressource de clé pour accorder à IAM Access Analyzer l'autorisation d'accéder à la clé.


{
    "Sid": "Allow IAM Access Analyzer access to key metadata",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer"
        },
    "Action": [
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:List*"
    ],
    "Resource": "*"
},

Après la réception d'un résultat d'erreur de type Accès refusé pour une ressource de clé KMS, puis la résolution du résultat par la mise à jour de la politique de clé, le résultat est mis à jour et prend le statut Resolved (Résolu). S'il existe des instructions de politique ou des autorisations de clé qui accordent l'autorisation sur la clé à une entité externe, vous pouvez voir des résultats supplémentaires pour la ressource clé.

Fonctions et couches AWS Lambda

Quant aux les fonctions AWS Lambda, IAM Access Analyzer analyse les politiques, notamment les instructions de condition dans une politique, qui octroient à une entité externe l'accès à la fonction. Avec Lambda, vous pouvez associer des politiques uniques basées sur les ressources aux fonctions, aux versions, aux alias et aux couches. L’analyseur d’accès IAM signale les accès externes en fonction des politiques basées sur les ressources associées aux fonctions et aux couches. L’analyseur d’accès IAM ne signale pas les accès externes sur la base de politiques basées sur les ressources associées aux alias et aux versions spécifiques invoquées à l’aide d’un ARN qualifié.

Pour plus d’informations, consultez Utilisation de politiques basées sur les ressources pour Lambda. et Utilisation des versions dans le guide du développeur AWS Lambda.

Files d'attente Amazon Simple Queue Service

Pour les files d'attente Amazon SQS, IAM Access Analyzer analyse les politiques, notamment les instructions de condition dans une politique, permettant à une entité externe l’accès à une file d'attente.

Secrets AWS Secrets Manager

Pour les secrets AWS Secrets Manager, IAM Access Analyzer analyse les politiques, notamment les instructions de condition dans une politique, permettant à une entité externe l'accès à un secret.

Rubriques Amazon Simple Notification Service

IAM Access Analyzer analyse les politiques basées sur les ressources associées aux rubriques Amazon SNS, y compris les conditions énoncées dans les politiques qui autorisent l'accès externe à une rubrique. Vous pouvez autoriser les comptes externes à effectuer des actions Amazon SNS, telles que l'abonnement à des sujets et la publication de sujets, par le biais d'une politique basée sur les ressources. Une rubrique Amazon SNS est accessible de l'extérieur si les responsables d'un compte situé en dehors de votre zone de confiance peuvent effectuer des opérations sur le sujet. Lorsque vous choisissez Everyone dans votre politique lors de la création d'un sujet Amazon SNS, vous le rendez accessible au public. AddPermission est une autre façon d'ajouter une politique basée sur les ressources à une rubrique Amazon SNS qui autorise l'accès externe.

Instantanés volumes Amazon Elastic Block Store

Les instantanés volume d'Amazon Elastic Block Store n’ont pas de politique basée sur les ressources. Un instantané est partagé via les autorisations de partage Amazon EBS. Pour les instantanés volume Amazon EBS, IAM Access Analyzer analyse les listes de contrôle d'accès qui permettent à une entité externe d'accéder à un instantané. Un instantané d'un volume Amazon EBS peut être partagé avec des comptes externes lorsqu'il est crypté. Un instantané de volume non chiffré peut être partagé avec des comptes externes et accorder un accès public. Les paramètres de partage se trouvent dans l'attribut CreateVolumePermissions de l'instantané. Lorsque les clients prévisualisent l'accès externe à un instantané Amazon EBS, ils peuvent spécifier la clé de chiffrement pour indiquer que l'instantané est chiffré, de la même manière qu'IAM Access Analyzer Preview gère les secrets de Secrets Manager.

Instantanés de base de données service de base de données relationnelle Amazon

Les Instantanés de base de données Amazon RDS ne disposent pas de politiques basées sur les ressources. Un instantané de base de données est partagé via les autorisations de base de données Amazon RDS, et seuls les instantanés de base de données manuels peuvent être partagés. Pour les instantanés de base de données Amazon RDS, IAM Access Analyzer analyse les listes de contrôle d'accès qui permettent à une entité externe d'accéder à un instantané. Les instantanés de base de données non cryptés peuvent être publics. Les instantanés de base de données chiffrés ne peuvent pas être partagés publiquement, mais ils peuvent être partagés avec jusqu'à 20 autres comptes. Pour de plus amples informations, veuillez consulter Création d'un instantané de base de données. IAM Access Analyzer considère la possibilité d'exporter un instantané manuel de base de données (par exemple, vers un compartiment Amazon S3) comme un accès sécurisé.

Note

IAM Access Analyzer n'identifie pas les accès publics ou l’accès-intercompte configurés directement dans la base de données elle-même. IAM Access Analyzer identifie uniquement les résultats relatifs à l'accès public ou l’accès-intercompte configuré sur l'instantané de base de données Amazon RDS.

Instantanés de cluster de base de données service base de données relationnelle Amazon

Les instantanés de cluster de base de données Amazon RDS ne disposent pas de politiques basées sur les ressources. Un instantané est partagé via les autorisations du cluster de base de données Amazon RDS. Pour les instantanés de cluster de base de données Amazon RDS, IAM Access Analyzer analyse les listes de contrôle d'accès qui permettent à une entité externe d'accéder à un instantané. Les instantanés de cluster non chiffrés peuvent être publics. Les instantanés de cluster chiffrés ne peuvent pas être partagés publiquement. Les instantanés de cluster chiffrés et non chiffrés et peuvent être partagés avec 20 autres comptes maximum. Pour plus d'informations, consultez Creating a DB Cluster Snapshot (Créer un instantané de cluster de base de données). IAM Access Analyzer considère la possibilité d'exporter un instantané de cluster de bases de données (par exemple, vers un compartiment Amazon S3) comme un accès sécurisé.

Note

Les résultats d'IAM Access Analyzer n'incluent pas la surveillance d’un partage de clusters de base de données Amazon RDS et clones avec un autre Compte AWS ou une organisation à l’aide de AWS Resource Access Manager. IAM Access Analyzer identifie uniquement les résultats relatifs à l'accès public ou accès-intercompte configuré sur l'instantané du cluster de base de données Amazon RDS.

Référentiels Amazon Elastic Container Registry

Pour les référentiels Amazon ECR, IAM Access Analyzer analyse les politiques basées sur les ressources, y compris les instructions de condition dans une politique, qui permettent à une entité externe d'accéder à un référentiel (comme les autres types de ressources tels que les rubriques Amazon SNS et les systèmes de fichiers d’EFS Amazon SNS). Pour les référentiels Amazon ECR, un principal doit être autorisé à ecr:GetAuthorizationToken via une politique basée sur l’identité pour être considéré comme disponible en externe.

Systèmes de fichiers Amazon Elastic File System

Pour les systèmes de fichiers Amazon EFS, IAM Access Analyzer analyse les politiques, notamment les instructions de condition dans une politique, permettant à une entité externe l’accès à un système de fichiers. Un système de fichiers Amazon EFS est accessible de l'extérieur si les responsables d'un compte situé en dehors de votre zone de confiance peuvent effectuer des opérations sur ce système de fichiers. L'accès est défini par une politique de système de fichiers qui utilise IAM et par la manière dont le système de fichiers est monté. Par exemple, le montage de votre système de fichiers Amazon EFS sur un autre compte est considéré comme accessible de l'extérieur, sauf si ce compte appartient à votre organisation et que vous l'ayez définie comme votre zone de confiance. Si vous montez le système de fichiers à partir d'un cloud privé virtuel avec un sous-réseau public, le système de fichiers est accessible de l'extérieur. Lorsque vous utilisez Amazon EFS avec AWS Transfer Family, les demandes d'accès au système de fichiers reçues d'un serveur Transfer Family qui appartient à un compte différent de celui du système de fichiers sont bloquées si le système de fichiers autorise l'accès public.

Amazon DynamoDB Streams

L’analyseur d’accès IAM génère un résultat si une politique DynamoDB autorise au moins une action intercompte permettant à une entité externe d’accéder à un flux DynamoDB. Pour plus d’informations sur les actions intercomptes prises en charge pour DynamoDB, consultez Actions IAM supportées par des politiques basées sur les ressources dans le guide du développeur Amazon DynamoDB.

Tables Amazon DynamoDB

L’analyseur d’accès IAM génère un résultat pour une table DynamoDB si une politique DynamoDB autorise au moins une action intercompte permettant à une entité externe d’accéder à une table ou à un index DynamoDB. Pour plus d’informations sur les actions intercomptes prises en charge pour DynamoDB, consultez Actions IAM supportées par des politiques basées sur les ressources dans le guide du développeur Amazon DynamoDB.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résolution des problèmes liés aux résultats

Administrateur délégué