Types des dernières informations consultées pour IAM Dernières informations consultées pour AWS Organizations Choses à savoir sur les dernières informations consultées Autorisations nécessaires Activité de dépannage pour des entités IAM et Organizations Où AWS suit les dernières informations consultées

Affiner les autorisations en AWS utilisant les dernières informations consultées

En tant qu'administrateur, vous pouvez accorder davantage d'autorisations aux ressources IAM (rôles, utilisateurs, groupes d'utilisateurs ou politiques) qu'elles n'en nécessitent. IAM fournit les dernières informations consultées pour vous aider à identifier les autorisations inutilisées et les supprimer. Vous pouvez utiliser les dernières informations consultées pour affiner vos politiques et n'autoriser l'accès qu'aux services et actions utilisés par vos identités et politiques IAM. Cela vous permet de mieux respecter la bonne pratique que l'on appelle principe du moindre privilège. Vous pouvez afficher les dernières informations consultées pour les identités ou les politiques qui existent dans IAM ou AWS Organizations.

Vous pouvez surveiller en permanence les dernières informations consultées à l’aide d’analyseurs d’accès non utilisés. Pour plus d’informations, consultez Résultats des accès externes et non utilisés.

Rubriques

Types des dernières informations consultées pour IAM

Vous pouvez afficher deux types de dernières informations consultées pour les identités IAM : les informations sur les services AWS autorisés et les informations sur les actions autorisées. Les informations incluent la date et l'heure auxquelles la tentative d'accès à une AWS API a été faite. Pour les actions, les dernières informations consultées font état des actions de gestion des services. Les actions de gestion comprennent les actions de création, de suppression et de modification. Pour en savoir plus sur la façon d'afficher les dernières informations consultées pour IAM, consultez Affichage des dernières informations consultées pour IAM.

Pour obtenir des exemples de scénarios concernant l'utilisation des dernières informations consultées dans le but de prendre des décisions sur les autorisations que vous accordez à vos identités IAM, veuillez consulter Exemples de scénarios d'utilisation des dernières informations consultées.

Pour en savoir plus sur la façon dont les informations relatives aux actions de gestion sont fournies, consultez Choses à savoir sur les dernières informations consultées.

Dernières informations consultées pour AWS Organizations

Si vous vous connectez à l'aide des informations d'identification du compte de gestion, vous pouvez consulter les informations du dernier accès au service pour une AWS Organizations entité ou une politique de votre organisation. AWS Organizations les entités incluent la racine de l'organisation, les unités organisationnelles (UO) ou les comptes. Les dernières informations consultées pour AWS Organizations incluent des informations sur les services autorisés par une politique de contrôle des services (SCP). Les informations indiquent quels principaux (utilisateur root, utilisateur IAM ou fonction) d'une organisation ou d'un compte ont tenté pour la dernière fois d'accéder au service et à quel moment. Pour en savoir plus sur le rapport et sur la façon de consulter les dernières informations consultées pour AWS Organizations, voirAffichage des dernières informations consultées pour Organizations.

Pour obtenir des exemples de scénarios, afin d'utiliser les dernières informations consultées pour prendre des décisions concernant les autorisations que vous accordez à vos entités Organizations, consultez Exemples de scénarios d'utilisation des dernières informations consultées.

Choses à savoir sur les dernières informations consultées

Avant d'utiliser les dernières informations consultées d'un rapport dans le but de modifier les autorisations d'une identité IAM ou d'une entité Organizations, passez en revue les détails suivants concernant ces informations.

Période de suivi : l'activité récente apparaît dans la console IAM dans un délai de quatre heures. La période de suivi pour les informations de service s’étend sur au moins 400 jours, en fonction de la date à laquelle le service a commencé à suivre les informations sur les actions. La période de suivi des information sur les actions Amazon S3 a commencé le 12 avril 2020. La période de suivi des actions Amazon EC2, IAM et Lambda a commencé le 7 avril 2021. La période de suivi pour tous les autres services a débuté le 23 mai 2023. Pour obtenir la liste des services pour lesquels les dernières informations consultées relatives à une action sont disponibles, veuillez consulter Services et actions concernant les dernières informations consultées relatives à une action IAM. Pour plus d'informations concernant les régions dans lesquelles les dernières informations consultées relatives à une action sont disponibles, veuillez consulter Où AWS suit les dernières informations consultées.
Tentatives signalées : les dernières données consultées par le service incluent toutes les tentatives d'accès à une AWS API, et pas seulement les tentatives réussies. Cela inclut toutes les tentatives effectuées à l' AWS Management Console aide de l' AWS API via l'un des SDK ou l'un des outils de ligne de commande. Une entrée inattendue dans les données relatives aux services consultés en dernier ne signifie pas que votre compte a été mis en danger, car la demande a pu être refusée. Référez-vous à vos CloudTrail journaux en tant que source officielle pour obtenir des informations sur tous les appels d'API et savoir s'ils ont été réussis ou s'ils ont été refusés.
PassRole— L'iam:PassRoleaction n'est pas suivie et n'est pas incluse dans les dernières informations consultées sur l'action IAM.
Dernières informations consultées relatives à une action : les dernières informations consultées relatives à une action sont disponibles pour les actions de gestion de service auxquelles des identités IAM ont accédé. Veuillez consulter la liste des services et de leurs actions pour lesquels les derniers accès relatifs à une action ont fourni des informations.

Note
Les dernières informations consultées relatives à une action ne sont pas disponibles pour les événements de données Amazon S3.
Événements de gestion : IAM fournit des informations d'action pour les événements de gestion des services qui sont enregistrés par CloudTrail. Parfois, les événements CloudTrail de gestion sont également appelés opérations du plan de contrôle ou événements du plan de contrôle. Les événements de gestion fournissent une visibilité sur les opérations administratives effectuées sur les ressources de votre entreprise Compte AWS. Pour en savoir plus sur les événements de gestion dans CloudTrail, consultez la section Journalisation des événements de gestion dans le Guide de AWS CloudTrail l'utilisateur.
Report owner (Propriétaire du rapport) : seul le principal qui génère un rapport peut afficher les détails de ce dernier. Cela signifie que lorsque vous consultez les informations contenues dans le AWS Management Console, vous devrez peut-être attendre qu'elles soient générées et chargées. Si vous utilisez l' AWS API AWS CLI or pour obtenir les détails du rapport, vos informations d'identification doivent correspondre à celles du principal qui a généré le rapport. Si vous utilisez des informations d'identification temporaires pour un rôle ou un utilisateur fédéré, vous devez générer et récupérer le rapport au cours de la même session. Pour plus d'informations sur les principaux de session à rôle endossé, reportez-vous à la section AWS Éléments de politique JSON : Principal.
Ressources IAM : les dernières informations consultées concernant IAM incluent les ressources IAM (rôles, utilisateurs, groupes d'utilisateurs et politiques) de votre compte. Les dernières informations consultées par les Organizations incluent les principaux (utilisateurs IAM, rôles IAM ou les Utilisateur racine d'un compte AWS) de l'entité Organizations spécifiée. Les tentatives non authentifiées sont exclues des dernières informations consultées.
Types de politique IAM : les dernières informations consultées concernant IAM incluent les services qui sont autorisés par les politiques d'une identité IAM. Il s'agit de politiques attachées à un rôle ou attachées à un utilisateur directement ou via un groupe. L'accès autorisé par d'autres types de politique n'est pas inclus dans votre rapport. Les types de politique exclus comprennent les politiques basées sur les ressources, les listes de contrôle d'accès, les politiques de contrôle des services (SCP) AWS Organizations , les limites d'autorisations IAM et les politiques de sessions. Les autorisations fournies par les rôles liés au service sont définies par le service auquel ils sont liés et ne peuvent pas être modifiées dans IAM. Pour en savoir plus sur les rôles liés au service, consultez Utilisation des rôles liés à un service Pour en savoir plus sur les différents types de politique sont évalués pour autoriser ou refuser l'accès, consultez Logique d'évaluation de politiques.
Organizations policy types (Types de politique Organizations) : les informations concernant AWS Organizations incluent uniquement les services qui sont autorisés par les politiques de contrôle de service (SCP) héritées d'une entité Organizations. Les SCP sont attachées à une racine, une unité organisationnelle ou un compte. L'accès autorisé par d'autres types de politique n'est pas inclus dans votre rapport. Les types de politique exclus comprennent les politiques basées sur une identité, les politiques basées sur les ressources, les listes de contrôle d'accès, les limites d'autorisations IAM et les politiques de sessions. Pour en savoir plus sur les différents types de politique qui sont évaluées pour autoriser ou refuser l'accès, veuillez consulter Logique d'évaluation de politiques.
Spécification d'un ID de politique — Lorsque vous utilisez l' AWS API AWS CLI or pour générer un rapport sur les dernières informations consultées dans Organizations, vous pouvez éventuellement spécifier un ID de politique. Le rapport inclut des informations pour les services qui sont uniquement autorisées par cette politique. Les informations incluent la dernière activité de compte dans l'entité Organizations spécifiée ou ses enfants. Pour plus d'informations, consultez aws iam generate-organizations-access-report or GenerateOrganizationsAccessReport.
Organizations management account (Compte de gestion de l'organisation) : vous devez vous connecter au compte de gestion de votre organisation pour afficher les dernières informations consultées sur le service. Vous pouvez choisir d'afficher les informations relatives au compte de gestion à l'aide de la console IAM, de l' AWS CLI API ou de l' AWS API. Le rapport qui en résulte répertorie tous les AWS services, car le compte de gestion n'est pas limité par les SCP. Si vous spécifiez un ID de politique dans l'interface de ligne de commande (CLI) ou l'API, la politique est ignorée. Pour chaque service, le rapport inclut uniquement les informations du compte de gestion. Toutefois, les rapports concernant les autres entités ne renvoient pas d'informations pour l'activité du compte principal.
Organizations settings (Paramètres Organizations) : un administrateur doit activer les stratégies de contrôle de service (SCP) dans la racine de votre organisation pour que vous puissiez générer des données pour Organizations.

Autorisations nécessaires

Pour afficher les dernières informations consultées dans le AWS Management Console, vous devez disposer d'une politique qui accorde les autorisations nécessaires.

Autorisations pour des informations IAM

Pour utiliser la console IAM pour afficher les dernières informations consultées pour un utilisateur, un rôle ou une politique IAM, vous devez posséder une politique qui inclut les actions suivantes :

iam:GenerateServiceLastAccessedDetails
iam:Get*
iam:List*

Ces autorisations permettent à l'utilisateur de voir les éléments suivants :

Les utilisateurs, les groupes ou les rôles attachés à une politique gérée
Les services auxquels un utilisateur ou un rôle peut accéder
La dernière fois où ils se sont connectés au service
La dernière fois qu'ils ont tenté d'utiliser une action Amazon EC2, IAM, Lambda ou Amazon S3 spécifique

Pour utiliser l' AWS API AWS CLI or afin de consulter les dernières informations consultées pour IAM, vous devez disposer d'autorisations correspondant à l'opération que vous souhaitez utiliser :

iam:GenerateServiceLastAccessedDetails
iam:GetServiceLastAccessedDetails
iam:GetServiceLastAccessedDetailsWithEntities
iam:ListPoliciesGrantingServiceAccess

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'affichage des dernières informations IAM consultées. En outre, il permet un accès en lecture seule à tous les éléments IAM. Cette politique définit des autorisations pour l'accès à la console et par programmation.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }

Autorisations pour les informations AWS Organizations

Pour utiliser la console IAM pour afficher un rapport pour les entités racine, unité organisationnelle ou compte dans Organizations, vous devez avoir une politique qui inclut les actions suivantes :

iam:GenerateOrganizationsAccessReport
iam:GetOrganizationsAccessReport
organizations:DescribeAccount
organizations:DescribeOrganization
organizations:DescribeOrganizationalUnit
organizations:DescribePolicy
organizations:ListChildren
organizations:ListParents
organizations:ListPoliciesForTarget
organizations:ListRoots
organizations:ListTargetsForPolicy

Pour utiliser l' AWS API AWS CLI or afin de consulter les dernières informations du service auxquelles les Organizations ont accédé, vous devez disposer d'une politique incluant les actions suivantes :

iam:GenerateOrganizationsAccessReport
iam:GetOrganizationsAccessReport
organizations:DescribePolicy
organizations:ListChildren
organizations:ListParents
organizations:ListPoliciesForTarget
organizations:ListRoots
organizations:ListTargetsForPolicy

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'affichage des dernières informations de service consultées pour Organizations. En outre, il permet un accès en lecture seule à tous les éléments Organizations. Cette politique définit des autorisations pour l'accès à la console et par programmation.


{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}

Vous pouvez également utiliser la clé de OrganizationsPolicyId condition iam : pour autoriser la génération d'un rapport uniquement pour une politique d'Organizations spécifique. Pour un exemple de politique, consultez IAM : afficher les dernières informations consultées relatives au service pour une politique Organizations.

Activité de dépannage pour des entités IAM et Organizations

Dans certains cas, le AWS Management Console dernier tableau d'informations auquel vous avez accédé est peut-être vide. Ou peut-être que votre demande AWS CLI ou celle de AWS l'API renvoie un ensemble d'informations vide ou un champ nul. Dans ces cas, passez en revue les problèmes suivants :

Pour les dernières informations consultées relatives à une action, cette dernière, que vous vous attendez à voir, peut ne pas être renvoyée dans la liste. Cela peut se produire soit parce que l'identité IAM n'est pas autorisée à effectuer l'action, soit parce AWS qu'elle n'assure pas encore le suivi de l'action pour les dernières informations consultées.
Pour un utilisateur IAM, assurez-vous qu'il possède au moins une politique gérée ou une politique en ligne attachée, directement ou via l'appartenance à des groupes.
Pour un groupe IAM, vérifiez qu'il possède au moins une politique gérée ou une politique en ligne attachée.
Pour un groupe IAM, le rapport renvoie uniquement les dernières informations consultées relatives au service pour les membres ayant utilisé les politiques du groupe pour accéder à un service. Pour savoir si un membre a utilisé d'autres politiques, vérifiez les dernières informations consultées pour cet utilisateur.
Pour un rôle IAM, vérifiez que le rôle possède au moins une politique gérée ou une politique en ligne attachée.
Pour une entité IAM (utilisateur ou rôle), recherchez les autres types de politique qui peuvent affecter les autorisations de cette entité. Il s'agit notamment des politiques basées sur les ressources, des listes de contrôle d'accès, des AWS Organizations politiques, des limites d'autorisations IAM ou des politiques de session. Pour plus d’informations, consultez Types de politique ou Évaluation des politiques dans un compte unique.
Dans le cas d'une politique IAM, assurez-vous que la politique gérée spécifiée est attachée à au moins un utilisateur, un groupe avec des membres ou un rôle.
Pour une entité Organizations (racine, unité organisationnelle ou compte), assurez-vous que vous êtes connecté à l'aide des informations d'identification du compte de gestion Organizations.
Vérifiez que les stratégies de contrôle de service (SCP) sont activées dans votre racine d'organisation.
Les dernières informations consultées relatives à une action ne sont disponibles que pour les actions répertoriées dans Services et actions concernant les dernières informations consultées relatives à une action IAM.

Lorsque vous apportez des modifications, attendez au moins 4 heures avant que l'activité ne s'affiche dans votre console IAM. Si vous utilisez l' AWS API AWS CLI or, vous devez générer un nouveau rapport pour afficher les informations mises à jour.

Où AWS suit les dernières informations consultées

AWS collecte les dernières informations consultées pour les AWS régions standard. Lorsque AWS vous ajoutez des régions supplémentaires, celles-ci sont ajoutées au tableau suivant, y compris la date de AWS début du suivi des informations dans chaque région.

Informations sur le service : la période de suivi des services correspond au moins à 400 jours, ou moins si votre région a commencé à suivre cette fonctionnalité au cours des 400 derniers jours.
Information sur les actions : la période de suivi des actions de gestion Amazon S3 a commencé le 12 avril 2020. La période de suivi des actions de gestion Amazon EC2, IAM et Lambda a commencé le 7 avril 2021. La période de suivi des actions de gestion pour tous les autres services a débuté le 23 mai 2023. Si la date de suivi d'une région est postérieure au 23 mai 2023, les dernières informations consultées relatives à une action dans cette région débuteront à la date la plus tardive.

Nom de la région	Région	Date de début de suivi
USA Est (Ohio)	us-east-2	27 octobre 2017
US East (Virginie du Nord)	us-east-1	1er octobre 2015
USA Ouest (Californie du Nord)	us-west-1	1er octobre 2015
USA Ouest (Oregon)	us-west-2	1er octobre 2015
Afrique (Le Cap)	af-south-1	22 avril 2020
Asie-Pacifique (Hong Kong)	ap-east-1	24 avril 2019
Asie-Pacifique (Hyderabad)	ap-south-2	22 novembre 2022
Asie-Pacifique (Jakarta)	ap-southeast-3	13 décembre 2021
Asie-Pacifique (Melbourne)	ap-southeast-4	23 janvier 2023
Asie-Pacifique (Mumbai)	ap-south-1	27 juin 2016
Asie-Pacifique (Osaka)	ap-northeast-3	11 février 2018
Asie-Pacifique (Séoul)	ap-northeast-2	6 janvier 2016
Asie-Pacifique (Singapour)	ap-southeast-1	1er octobre 2015
Asie-Pacifique (Sydney)	ap-southeast-2	1er octobre 2015
Asie-Pacifique (Tokyo)	ap-northeast-1	1er octobre 2015
Canada (Centre)	ca-central-1	28 octobre 2017
Europe (Francfort)	eu-central-1	1er octobre 2015
Europe (Irlande)	eu-west-1	1er octobre 2015
Europe (Londres)	eu-west-2	28 octobre 2017
Europe (Milan)	eu-south-1	28 avril 2020
Europe (Paris)	eu-west-3	18 décembre 2017
Europe (Espagne)	eu-south-2	15 novembre 2022
Europe (Stockholm)	eu-north-1	12 décembre 2018
Europe (Zurich)	eu-central-2	8 novembre 2022
Israël (Tel Aviv)	il-central-1	1er août 2023
Moyen-Orient (Bahreïn)	me-south-1	29 juillet 2019
Moyen-Orient (EAU)	me-central-1	30 août 2022
Amérique du Sud (São Paulo)	sa-east-1	11 décembre 2015
AWS GovCloud (USA Est)	us-gov-east-1	1er juillet 2023
AWS GovCloud (US-Ouest)	us-gov-west-1	1er juillet 2023

Si une région n'est pas répertoriée dans le tableau précédent, cette région ne fournit pas encore les dernières informations consultées.

Une AWS région est un ensemble de AWS ressources dans une zone géographique. Les régions sont regroupées en partitions. Les régions standard sont les celles qui appartiennent à la partition aws. Pour de plus amples informations sur les différentes partitions, consultez Format des ARN (Amazon Resource Names ) dans la Références générales AWS. Pour plus d'informations sur les régions, voir également À propos AWS des régions dans le Références générales AWS.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Suppression de politiques IAM

Afficher les informations d'accès à IAM