Affiner les autorisations en AWS utilisant les dernières informations consultées - AWS Identity and Access Management
Types des dernières informations consultées pour IAMDernières informations consultées pour AWS OrganizationsChoses à savoir sur les dernières informations consultéesAutorisations nécessairesRésoudre les problèmes liés à l'activité des IAM entités et OrganizationsOù AWS suit les dernières informations consultées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Affiner les autorisations en AWS utilisant les dernières informations consultées

En tant qu'administrateur, vous pouvez accorder des autorisations aux IAM ressources (rôles, utilisateurs, groupes d'utilisateurs ou politiques) au-delà de ce dont elles ont besoin. IAMfournit les dernières informations auxquelles vous avez accédé pour vous aider à identifier les autorisations non utilisées afin que vous puissiez les supprimer. Vous pouvez utiliser les dernières informations consultées pour affiner vos politiques et n'autoriser l'accès qu'aux services et actions utilisés par votre IAM identité et vos politiques. Cela vous permet de mieux respecter la bonne pratique que l'on appelle principe du moindre privilège. Vous pouvez consulter les dernières informations consultées pour les identités ou les politiques qui existent dans IAM ou AWS Organizations.

Vous pouvez surveiller en permanence les dernières informations consultées à l’aide d’analyseurs d’accès non utilisés. Pour plus d’informations, consultez Résultats des accès externes et non utilisés.

Rubriques

Types des dernières informations consultées pour IAM

Vous pouvez consulter deux types d'informations relatives aux IAM identités auxquelles vous avez accédé en dernier : les informations relatives aux AWS services autorisés et les informations relatives aux actions autorisées. Les informations incluent la date et l'heure auxquelles la tentative d'accès AWS API a été faite. Pour les actions, les dernières informations consultées font état des actions de gestion des services. Les actions de gestion comprennent les actions de création, de suppression et de modification. Pour en savoir plus sur la façon d'afficher les dernières informations consultées pourIAM, voirAfficher les dernières informations consultées pour IAM.

Pour des exemples de scénarios d'utilisation des dernières informations consultées pour prendre des décisions concernant les autorisations que vous accordez à vos IAM identités, voirExemples de scénarios d'utilisation des dernières informations consultées.

Pour en savoir plus sur la façon dont les informations relatives aux actions de gestion sont fournies, consultez Choses à savoir sur les dernières informations consultées.

Dernières informations consultées pour AWS Organizations

Si vous vous connectez à l'aide des informations d'identification du compte de gestion, vous pouvez consulter les informations du dernier accès au service pour une AWS Organizations entité ou une politique de votre organisation. AWS Organizations les entités incluent la racine de l'organisation, les unités organisationnelles (OUs) ou les comptes. Les dernières informations consultées pour AWS Organizations incluent des informations sur les services autorisés par une politique de contrôle des services (SCP). Les informations indiquent quels principaux (utilisateur root, IAM utilisateur ou rôle) d'une organisation ou d'un compte ont tenté d'accéder au service pour la dernière fois et à quel moment. Pour en savoir plus sur le rapport et sur la façon de consulter les dernières informations consultées pour AWS Organizations, voirAfficher les dernières informations consultées pour les Organizations.

Pour obtenir des exemples de scénarios, afin d'utiliser les dernières informations consultées pour prendre des décisions concernant les autorisations que vous accordez à vos entités Organizations, consultez Exemples de scénarios d'utilisation des dernières informations consultées.

Choses à savoir sur les dernières informations consultées

Avant d'utiliser les dernières informations d'un rapport auxquelles vous avez accédé pour modifier les autorisations d'une IAM identité ou d'une entité Organizations, passez en revue les informations suivantes.

  • Période de suivi : l'activité récente apparaît dans la IAM console dans les quatre heures. La période de suivi pour les informations de service s’étend sur au moins 400 jours, en fonction de la date à laquelle le service a commencé à suivre les informations sur les actions. La période de suivi des information sur les actions Amazon S3 a commencé le 12 avril 2020. La période de suivi des actions Amazon EC2 et Lambda a débuté le 7 avril 2021. IAM La période de suivi pour tous les autres services a débuté le 23 mai 2023. Pour obtenir la liste des services pour lesquels les dernières informations consultées relatives à une action sont disponibles, veuillez consulter IAMaction, informations, derniers accès, services et actions. Pour plus d'informations concernant les régions dans lesquelles les dernières informations consultées relatives à une action sont disponibles, veuillez consulter Où AWS suit les dernières informations consultées.

  • Tentatives signalées — Les dernières données consultées par le service incluent toutes les tentatives d'accès AWS API, et pas seulement les tentatives réussies. Cela inclut toutes les tentatives effectuées à l' AWS Management Console aide de l' AWS APIun ou de l'SDKsautre des outils de ligne de commande. Une entrée inattendue dans les données relatives aux services consultés en dernier ne signifie pas que votre compte a été mis en danger, car la demande a pu être refusée. Reportez-vous à vos CloudTrail journaux en tant que source officielle pour obtenir des informations sur tous les API appels et savoir s'ils ont été réussis ou s'ils ont été refusés.

  • PassRole— L'iam:PassRoleaction n'est pas suivie et n'est pas incluse dans IAM les dernières informations consultées.

  • Informations consultées pour la dernière action : les informations consultées pour la dernière action sont disponibles pour les actions de gestion des services accessibles par IAM des identités. Veuillez consulter la liste des services et de leurs actions pour lesquels les derniers accès relatifs à une action ont fourni des informations.

    Note

    Les dernières informations consultées relatives à une action ne sont pas disponibles pour les événements de données Amazon S3.

  • Événements de gestion : IAM fournit des informations sur les actions relatives aux événements de gestion des services enregistrés par CloudTrail. Parfois, les événements CloudTrail de gestion sont également appelés opérations du plan de contrôle ou événements du plan de contrôle. Les événements de gestion fournissent une visibilité sur les opérations administratives effectuées sur les ressources de votre entreprise Compte AWS. Pour en savoir plus sur les événements de gestion dans CloudTrail, consultez la section Journalisation des événements de gestion dans le Guide de AWS CloudTrail l'utilisateur.

  • Report owner (Propriétaire du rapport) : seul le principal qui génère un rapport peut afficher les détails de ce dernier. Cela signifie que lorsque vous consultez les informations contenues dans le AWS Management Console, vous devrez peut-être attendre qu'elles soient générées et chargées. Si vous utilisez le AWS CLI ou AWS API pour obtenir les détails du rapport, vos informations d'identification doivent correspondre à celles du principal qui a généré le rapport. Si vous utilisez des informations d'identification temporaires pour un rôle ou un utilisateur fédéré, vous devez générer et récupérer le rapport au cours de la même session. Pour plus d'informations sur les principaux de session à rôle endossé, reportez-vous à la section AWS JSONéléments de politique : Principal.

  • IAMressources : les dernières informations consultées IAM incluent les IAM ressources (rôles, utilisateurs, IAM groupes et politiques) de votre compte. Les dernières informations consultées par Organizations incluent les principaux (IAMutilisateurs, IAM rôles ou Utilisateur racine d'un compte AWS) de l'entité Organizations spécifiée. Les tentatives non authentifiées sont exclues des dernières informations consultées.

  • IAMtypes de politiques : les dernières informations consultées IAM incluent les services autorisés par les politiques IAM d'une identité. Il s'agit de politiques attachées à un rôle ou attachées à un utilisateur directement ou via un groupe. L'accès autorisé par d'autres types de politique n'est pas inclus dans votre rapport. Les types de politiques exclus incluent les politiques basées sur les ressources, les listes de contrôle d'accès AWS Organizations SCPs, les limites IAM d'autorisations et les politiques de session. Les autorisations fournies par les rôles liés à un service sont définies par le service auquel ils sont liés et ne peuvent pas être modifiées. IAM Pour en savoir plus sur les rôles liés au service, consultez Créer un rôle lié à un service Pour en savoir plus sur les différents types de politique sont évalués pour autoriser ou refuser l'accès, consultez Logique d’évaluation de stratégies.

  • Types de politiques d'organisations : les informations pour AWS Organizations incluent uniquement les services autorisés par les politiques de contrôle des services héritées d'une entité Organizations (SCPs). SCPssont des politiques associées à une racine, une unité d'organisation ou un compte. L'accès autorisé par d'autres types de politique n'est pas inclus dans votre rapport. Les types de politiques exclus incluent les politiques basées sur l'identité, les politiques basées sur les ressources, les listes de contrôle d'accès, les limites d'IAMautorisations et les politiques de session. Pour en savoir plus sur les différents types de politique qui sont évaluées pour autoriser ou refuser l'accès, veuillez consulter Logique d’évaluation de stratégies.

  • Spécification d'un ID de politique — Lorsque vous utilisez le AWS CLI ou AWS API pour générer un rapport pour les dernières informations consultées dans Organizations, vous pouvez éventuellement spécifier un ID de politique. Le rapport inclut des informations pour les services qui sont uniquement autorisées par cette politique. Les informations incluent la dernière activité de compte dans l'entité Organizations spécifiée ou ses enfants. Pour plus d'informations, consultez aws iam generate-organizations-access -report ou. GenerateOrganizationsAccessReport

  • Organizations management account (Compte de gestion de l'organisation) : vous devez vous connecter au compte de gestion de votre organisation pour afficher les dernières informations consultées sur le service. Vous pouvez choisir d'afficher les informations relatives au compte de gestion à l'aide de la IAM console, du AWS CLI, ou du AWS API. Le rapport qui en résulte répertorie tous les AWS services, car le compte de gestion n'est pas limité parSCPs. Si vous spécifiez un ID de stratégie dans le CLI ouAPI, la politique est ignorée. Pour chaque service, le rapport inclut uniquement les informations du compte de gestion. Toutefois, les rapports concernant les autres entités ne renvoient pas d'informations pour l'activité du compte principal.

  • Paramètres des organisations : un administrateur doit activer la racine SCPs de votre organisation pour que vous puissiez générer des données pour les organisations.

Autorisations nécessaires

Pour afficher les dernières informations consultées dans le AWS Management Console, vous devez disposer d'une politique qui accorde les autorisations nécessaires.

Autorisations pour les informations IAM

Pour utiliser la IAM console afin de consulter les dernières informations consultées pour un IAM utilisateur, un rôle ou une politique, vous devez disposer d'une stratégie incluant les actions suivantes :

  • iam:GenerateServiceLastAccessedDetails

  • iam:Get*

  • iam:List*

Ces autorisations permettent à l'utilisateur de voir les éléments suivants :

  • Les utilisateurs, les groupes ou les rôles attachés à une politique gérée

  • Les services auxquels un utilisateur ou un rôle peut accéder

  • La dernière fois où ils se sont connectés au service

  • La dernière fois qu'ils ont tenté d'utiliser une action Amazon EC2IAM, Lambda ou Amazon S3 spécifique

Pour utiliser AWS CLI ou AWS API consulter les dernières informations consultéesIAM, vous devez disposer des autorisations correspondant à l'opération que vous souhaitez utiliser :

  • iam:GenerateServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetails

  • iam:GetServiceLastAccessedDetailsWithEntities

  • iam:ListPoliciesGrantingServiceAccess

Cet exemple montre comment créer une politique basée sur l'identité qui permet de consulter les IAM dernières informations consultées. De plus, il permet un accès en lecture seule à l'ensemble. IAM Cette politique définit des autorisations pour l'accès à la console et par programmation. 

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateServiceLastAccessedDetails",
            "iam:Get*",
            "iam:List*"
        ],
        "Resource": "*"
    }

Autorisations pour les informations AWS Organizations

Pour utiliser la IAM console afin de consulter un rapport pour les entités racine, unité d'organisation ou compte dans Organizations, vous devez disposer d'une politique incluant les actions suivantes :

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Pour utiliser AWS CLI ou AWS API consulter les dernières informations du service auxquelles les Organisations ont accédé, vous devez disposer d'une politique incluant les actions suivantes :

  • iam:GenerateOrganizationsAccessReport

  • iam:GetOrganizationsAccessReport

  • organizations:DescribePolicy

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListPoliciesForTarget

  • organizations:ListRoots

  • organizations:ListTargetsForPolicy

Cet exemple montre comment vous pouvez créer une politique basée sur l'identité qui autorise l'affichage des dernières informations de service consultées pour Organizations. En outre, il permet un accès en lecture seule à tous les éléments Organizations. Cette politique définit des autorisations pour l'accès à la console et par programmation. 

{
    "Version": "2012-10-17",
    "Statement": {
        "Effect": "Allow",
        "Action": [
            "iam:GenerateOrganizationsAccessReport",
            "iam:GetOrganizationsAccessReport",
            "organizations:Describe*",
            "organizations:List*"
        ],
        "Resource": "*"
    }
}

Vous pouvez également utiliser la clé de OrganizationsPolicyId condition iam : pour autoriser la génération d'un rapport uniquement pour une politique d'Organizations spécifique. Pour un exemple de politique, consultez IAM: Afficher les informations du dernier accès au service pour une politique d'Organisations.

Résoudre les problèmes liés à l'activité des IAM entités et Organizations

Dans certains cas, le AWS Management Console dernier tableau d'informations auquel vous avez accédé est peut-être vide. Ou peut-être que votre AWS CLI AWS API demande renvoie un ensemble d'informations vide ou un champ nul. Dans ces cas, passez en revue les problèmes suivants :

  • Pour les dernières informations consultées relatives à une action, cette dernière, que vous vous attendez à voir, peut ne pas être renvoyée dans la liste. Cela peut se produire soit parce que l'IAMidentité n'est pas autorisée à effectuer l'action, soit parce AWS qu'elle ne suit pas encore l'action pour les dernières informations consultées.

  • Pour un IAM utilisateur, assurez-vous qu'il possède au moins une politique intégrée ou gérée attachée, soit directement, soit par le biais d'adhésions à un groupe.

  • Pour un IAM groupe, vérifiez qu'au moins une politique intégrée ou gérée y est attachée.

  • Pour un IAM groupe, le rapport renvoie uniquement les informations du dernier accès au service pour les membres qui ont utilisé les politiques du groupe pour accéder à un service. Pour savoir si un membre a utilisé d'autres politiques, vérifiez les dernières informations consultées pour cet utilisateur.

  • Pour un IAM rôle, vérifiez qu'au moins une politique intégrée ou gérée est attachée au rôle.

  • Pour une IAM entité (utilisateur ou rôle), passez en revue les autres types de politiques susceptibles d'affecter les autorisations de cette entité. Il s'agit notamment des politiques basées sur les ressources, des listes de contrôle d'accès, des AWS Organizations politiques, IAM des limites d'autorisations ou des politiques de session. Pour plus d’informations, consultez Types de politique ou Évaluation des politiques dans un compte unique.

  • Pour une IAM stratégie, assurez-vous que la stratégie gérée spécifiée est attachée à au moins un utilisateur, un groupe avec des membres ou un rôle.

  • Pour une entité Organizations (racine, unité organisationnelle ou compte), assurez-vous que vous êtes connecté à l'aide des informations d'identification du compte de gestion Organizations.

  • Vérifiez qu'SCPsils sont activés à la racine de votre organisation.

  • Les dernières informations consultées relatives à une action ne sont disponibles que pour les actions répertoriées dans IAMaction, informations, derniers accès, services et actions.

Lorsque vous apportez des modifications, attendez au moins quatre heures pour que l'activité apparaisse dans le rapport de votre IAM console. Si vous utilisez le AWS CLI ou AWS API, vous devez générer un nouveau rapport pour afficher les informations mises à jour.

Où AWS suit les dernières informations consultées

AWS collecte les dernières informations consultées pour les AWS régions standard. Lorsque AWS vous ajoutez des régions supplémentaires, celles-ci sont ajoutées au tableau suivant, y compris la date de AWS début du suivi des informations dans chaque région.

  • Informations sur le service : la période de suivi des services correspond au moins à 400 jours, ou moins si votre région a commencé à suivre cette fonctionnalité au cours des 400 derniers jours.

  • Information sur les actions : la période de suivi des actions de gestion Amazon S3 a commencé le 12 avril 2020. La période de suivi pour les actions de gestion d'Amazon EC2 et de Lambda a débuté le 7 avril 2021. IAM La période de suivi des actions de gestion pour tous les autres services a débuté le 23 mai 2023. Si la date de suivi d'une région est postérieure au 23 mai 2023, les dernières informations consultées relatives à une action dans cette région débuteront à la date la plus tardive.

Nom de la région Région Date de début de suivi
USA Est (Ohio) us-east-2 27 octobre 2017
US East (Virginie du Nord) us-east-1 1er octobre 2015
USA Ouest (Californie du Nord) us-west-1 1er octobre 2015
USA Ouest (Oregon) us-west-2 1er octobre 2015
Afrique (Le Cap) af-south-1 22 avril 2020
Asie-Pacifique (Hong Kong) ap-east-1 24 avril 2019
Asie-Pacifique (Hyderabad) ap-south-2 22 novembre 2022
Asie-Pacifique (Jakarta) ap-southeast-3 13 décembre 2021
Asie-Pacifique (Melbourne) ap-southeast-4 23 janvier 2023
Asie-Pacifique (Mumbai) ap-south-1 27 juin 2016
Asie-Pacifique (Osaka) ap-northeast-3 11 février 2018
Asie-Pacifique (Séoul) ap-northeast-2 6 janvier 2016
Asie-Pacifique (Singapour) ap-southeast-1 1er octobre 2015
Asie-Pacifique (Sydney) ap-southeast-2 1er octobre 2015
Asie-Pacifique (Tokyo) ap-northeast-1 1er octobre 2015
Canada (Centre) ca-central-1 28 octobre 2017
Europe (Francfort) eu-central-1 1er octobre 2015
Europe (Irlande) eu-west-1 1er octobre 2015
Europe (Londres) eu-west-2 28 octobre 2017
Europe (Milan) eu-south-1 28 avril 2020
Europe (Paris) eu-west-3 18 décembre 2017
Europe (Espagne) eu-south-2 15 novembre 2022
Europe (Stockholm) eu-north-1 12 décembre 2018
Europe (Zurich) eu-central-2 8 novembre 2022
Israël (Tel Aviv) il-central-1 1er août 2023
Moyen-Orient (Bahreïn) me-south-1 29 juillet 2019
Moyen-Orient (UAE) me-central-1 30 août 2022
Amérique du Sud (São Paulo) sa-east-1 11 décembre 2015
AWS GovCloud (USA Est) us-gov-east-1 1er juillet 2023
AWS GovCloud (US-Ouest) us-gov-west-1 1er juillet 2023

Si une région n'est pas répertoriée dans le tableau précédent, cette région ne fournit pas encore les dernières informations consultées.

Une AWS région est un ensemble de AWS ressources dans une zone géographique. Les régions sont regroupées en partitions. Les régions standard sont les celles qui appartiennent à la partition aws. Pour plus d'informations sur les différentes partitions, consultez Amazon Resource Names (ARNs) Format dans le Références générales AWS. Pour plus d'informations sur les régions, voir également À propos AWS des régions dans le Références générales AWS.