IAMReadOnlyAccess IAMUserChangePassword IAMAccessAnalyzerFullAccess IAMAccessAnalyzerReadOnlyAccess AccessAnalyzerServiceRolePolicy IAMAuditRootUserCredentials IAMCreateRootUserPassword IAMDeleteRootUserCredentials S3 UnlockBucketPolicy SQSUnlockQueuePolicy Mises à jour des politiques

AWS politiques gérées pour Access AWS Identity and Access Management Analyzer et Access Analyzer

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou lorsque de nouvelles opérations d'API sont disponibles pour les services existants.

Pour plus d’informations, consultez Politiques gérées par AWS dans le Guide de l’utilisateur IAM.

IAMReadOnlyAccess

Utilisez la politique gérée IAMReadOnlyAccess pour autoriser l'accès en lecture seule aux ressources IAM. Cette politique accorde l'autorisation d'obtenir et de répertorier toutes les ressources IAM. Elle permet d'afficher les détails et les rapports d'activité pour les utilisateurs, les groupes, les rôles, les politiques, les fournisseurs d'identité et les dispositifs MFA. Elle n'inclut pas la possibilité de créer ou de supprimer des ressources ou d'accéder aux ressources IAM Access Analyzer. Consultez la politique pour obtenir la liste complète des services et des actions que prend en charge cette politique.

IAMUserChangePassword

Utilisez la politique gérée par l’interface IAMUserChangePassword pour autoriser les utilisateurs IAM à modifier leur mot de passe.

Vous configurez vos Account settings (paramètres de compte) IAM et la Password policy (politique de mot de passe) pour autoriser les utilisateurs IAM à modifier le mot de passe de leur compte IAM. Lorsque vous autorisez cette action, IAM attache la politique suivante à chaque utilisateur :


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

IAMAccessAnalyzerFullAccess

Utilisez la politique IAMAccessAnalyzerFullAccess AWS gérée pour permettre à vos administrateurs d'accéder à IAM Access Analyzer.

Groupes d'autorisations

Cette politique est groupée en instructions basées sur le jeu d'autorisations fourni.

IAM Access Analyzer : octroie des autorisations administratives totales à l'ensemble des ressources dans IAM Access Analyzer.
Créer un rôle lié au service : autorise l'administrateur à créer un rôle lié au service qui autorise IAM Access Analyzer à analyser les ressources dans d'autres services en votre nom. Cette autorisation autorise la création du rôle lié au service uniquement pour une utilisation par IAM Access Analyzer.
AWS Organizations : autorise les administrateurs à utiliser IAM Access Analyzer pour une organisation dans AWS Organizations. Après avoir activé l'accès sécurisé pour IAM Access Analyzer dans AWS Organizations, les membres du compte de gestion peuvent consulter les résultats au sein de leur organisation.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "access-analyzer:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "access-analyzer.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots"
      ],
      "Resource": "*"
    }
  ]
}

IAMAccessAnalyzerReadOnlyAccess

Utilisez la politique IAMAccessAnalyzerReadOnlyAccess AWS gérée pour autoriser l'accès en lecture seule à IAM Access Analyzer.

Pour autoriser également l'accès en lecture seule à IAM Access Analyzer pour AWS Organizations, créez une politique gérée par le client qui autorise les actions de description et de liste à partir de la politique gérée. IAMAccessAnalyzerFullAccess AWS

Autorisations de niveau service

Cette politique fournit un accès en lecture seule à IAM Access Analyzer. Cette politique n'inclut aucune autre autorisation de service.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMAccessAnalyzerReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "access-analyzer:CheckAccessNotGranted",
        "access-analyzer:CheckNoNewAccess",
        "access-analyzer:Get*",
        "access-analyzer:List*",
        "access-analyzer:ValidatePolicy"
      ],
      "Resource": "*"
    }
  ]
}

AccessAnalyzerServiceRolePolicy

Vous ne pouvez pas vous associer AccessAnalyzerServiceRolePolicy à vos entités IAM. Cette politique est attachée à un rôle lié à un service qui permet à l'analyseur d'accès IAM de réaliser des actions en votre nom. Pour plus d'informations, consultez la section Utilisation de rôles liés à un service pour Access AWS Identity and Access Management Analyzer.

Groupes d'autorisations

Cette politique autorise l'accès à IAM Access Analyzer pour analyser les métadonnées des ressources à partir de plusieurs Services AWS.

Amazon DynamoDB : autorise l’affichage des flux et des tables DynamoDB.
Amazon Elastic Compute Cloud — Autorise les autorisations pour décrire les adresses IP, les instantanés et VPCs.
Amazon Elastic Container Registry : autorise la description des référentiels d’images, la récupération des paramètres de compte et la récupération des politiques de registre et de référentiel.
Amazon Elastic File System : autorise l'affichage de la description d'un système de fichiers Amazon EFS et de la politique de niveau de ressources d'un système de fichiers Amazon EFS.
AWS Identity and Access Management - Permet de récupérer des informations sur un rôle spécifié et de répertorier les rôles IAM dotés d'un préfixe de chemin spécifié. Permet de récupérer des informations sur les utilisateurs, les groupes IAM, les profils de connexion, les clés d’accès et les dernières données du service consultées.
AWS Key Management Service - Autorise l'affichage d'informations détaillées sur une clé KMS, ses politiques clés et ses subventions.
AWS Lambda - Autorise l'affichage des informations sur les alias, fonctions, couches et alias Lambda.
AWS Organizations— Autorise les autorisations aux Organizations et permet la création d'un analyseur au sein de l' AWS organisation en tant que zone de confiance.
Amazon Relational Database Service : autorise l'affichage d'informations détaillées sur les instantanés de base de données Amazon RDS et les instantanés de clusters de bases de données Amazon RDS.
Amazon Simple Storage Service : autorise l’affichage d’informations détaillées sur les points d’accès, les compartiments et les compartiments de répertoire Amazon S3 qui utilisent la classe de stockage Amazon S3 Express One.
AWS Secrets Manager - Autorise l'affichage d'informations détaillées sur les secrets et les politiques en matière de ressources associées aux secrets.
Amazon Simple Notification Service : autorise l'affichage d'informations détaillées sur un sujet.
Amazon Simple Queue Service : autorise l'affichage d'informations détaillées sur les files d'attente spécifiées.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessAnalyzerServiceRolePolicy",
      "Effect": "Allow",
      "Action": [
        "dynamodb:GetResourcePolicy",
        "dynamodb:ListStreams",
        "dynamodb:ListTables",
        "ec2:DescribeAddresses",
        "ec2:DescribeByoipCidrs",
        "ec2:DescribeSnapshotAttribute",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ec2:GetSnapshotBlockPublicAccessState",
        "ecr:DescribeRepositories",
        "ecr:GetAccountSetting",
        "ecr:GetRegistryPolicy",
        "ecr:GetRepositoryPolicy",
        "elasticfilesystem:DescribeFileSystemPolicy",
        "elasticfilesystem:DescribeFileSystems",
        "iam:GetRole",
        "iam:ListEntitiesForPolicy",
        "iam:ListRoles",
        "iam:ListUsers",
        "iam:ListRoleTags",
        "iam:ListUserTags",
        "iam:GetUser",
        "iam:GetGroup",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:GetServiceLastAccessedDetails",
        "iam:ListAccessKeys",
        "iam:GetLoginProfile",
        "iam:GetAccessKeyLastUsed",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "iam:ListAttachedRolePolicies",
        "iam:ListUserPolicies",
        "iam:GetUserPolicy",
        "iam:ListAttachedUserPolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListGroupsForUser",
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:ListGrants",
        "kms:ListKeyPolicies",
        "kms:ListKeys",
        "lambda:GetFunctionUrlConfig",
        "lambda:GetLayerVersionPolicy",
        "lambda:GetPolicy",
        "lambda:ListAliases",
        "lambda:ListFunctions",
        "lambda:ListLayers",
        "lambda:ListLayerVersions",
        "lambda:ListVersionsByFunction",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots",
        "rds:DescribeDBClusterSnapshotAttributes",
        "rds:DescribeDBClusterSnapshots",
        "rds:DescribeDBSnapshotAttributes",
        "rds:DescribeDBSnapshots",
        "s3:DescribeMultiRegionAccessPointOperation",
        "s3:GetAccessPoint",
        "s3:GetAccessPointPolicy",
        "s3:GetAccessPointPolicyStatus",
        "s3:GetAccountPublicAccessBlock",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPolicy",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetMultiRegionAccessPoint",
        "s3:GetMultiRegionAccessPointPolicy",
        "s3:GetMultiRegionAccessPointPolicyStatus",
        "s3:ListAccessPoints",
        "s3:ListAllMyBuckets",
        "s3:ListMultiRegionAccessPoints",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "sns:GetTopicAttributes",
        "sns:ListTopics",
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:ListSecrets",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues"
      ],
      "Resource": "*"
    }
  ]
}

IAMAuditRootUserCredentials

Utilisez la politique IAMAuditRootUserCredentials AWS gérée pour limiter les autorisations lorsque vous effectuez une tâche privilégiée sur un compte AWS Organizations membre afin de vérifier le statut des informations d'identification de l'utilisateur root d'un compte membre. Vous pouvez répertorier ou obtenir les informations d'identification de chaque utilisateur root, telles que :

S'il existe un mot de passe utilisateur root
Si l'utilisateur root possède une clé d'accès et quand elle a été utilisée pour la dernière fois
Si l'utilisateur root possède des certificats de signature associés
Les périphériques MFA associés à l'utilisateur root
Liste du statut consolidé des informations d'identification de l'utilisateur root

Vous ne pouvez pas joindre de IAMAuditRootUserCredentials à vos entités IAM. Cette politique est associée AssumeRootà l'exécution de tâches privilégiées sur un compte membre de votre organisation. Pour de plus amples informations, veuillez consulter Gestion centralisée de l’accès root pour les comptes membres.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "iam:ListAccessKeys",
            "iam:ListSigningCertificates",
            "iam:GetLoginProfile",
            "iam:ListMFADevices",
            "iam:GetAccountSummary",
            "iam:GetUser",
            "iam:GetAccessKeyLastUsed"  
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyAuditingCredentialsOnNonRootUserResource",
         "Action": [
            "iam:ListAccessKeys",
            "iam:ListSigningCertificates",
            "iam:GetLoginProfile",
            "iam:ListMFADevices" ,
            "iam:GetUser",
            "iam:GetAccessKeyLastUsed"     
         ],
         "Effect": "Deny",
         "NotResource": "arn:aws:iam::*:root"
      } 
   ]
}

Groupes d'autorisations

Cette politique est groupée en instructions basées sur le jeu d'autorisations fourni.

DenyAllOtherActionsOnAnyResource— Refuse l'accès aux informations d'identification pour toutes les ressources.
DenyAuditingCredentialsOnNonRootUserResource— Refuse l'accès aux informations d'identification pour toutes les ressources de l'utilisateur non root.

IAMCreateRootUserPassword

Utilisez la politique IAMCreateRootUserPassword AWS gérée pour limiter les autorisations lorsque vous effectuez une tâche privilégiée sur un compte AWS Organizations membre afin de permettre la récupération du mot de passe d'un compte membre sans informations d'identification utilisateur root.

Vous ne pouvez pas joindre de IAMCreateRootUserPassword à vos entités IAM. Cette politique est associée AssumeRootà l'exécution de tâches privilégiées sur un compte membre de votre organisation. Pour de plus amples informations, veuillez consulter Gestion centralisée de l’accès root pour les comptes membres.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "iam:CreateLoginProfile",
            "iam:GetLoginProfile"
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyCreatingPasswordOnNonRootUserResource",
         "Action": [
            "iam:CreateLoginProfile",
            "iam:GetLoginProfile"   
         ],
         "Effect": "Deny",
         "NotResource": "arn:aws:iam::*:root"
      }
   ]
}

Groupes d'autorisations

Cette politique est groupée en instructions basées sur le jeu d'autorisations fourni.

DenyAllOtherActionsOnAnyResource— Refuse l'accès pour obtenir ou créer un mot de passe pour toutes les ressources.
DenyCreatingPasswordOnNonRootUserResource— Refuse l'accès pour obtenir ou créer un mot de passe pour toutes les ressources utilisateur non root.

IAMDeleteRootUserCredentials

Utilisez la politique IAMDeleteRootUserCredentials AWS gérée pour limiter les autorisations lorsque vous effectuez une tâche privilégiée sur un compte AWS Organizations membre afin de supprimer les informations d'identification de l'utilisateur root, notamment le mot de passe, les clés d'accès, les certificats de signature et la désactivation du MFA. Des autorisations supplémentaires sont requises pour cette action privilégiée, afin que vous puissiez afficher les dernières informations d’identification utilisées, vérifier les dernières informations utilisées pour le compte membre de l’utilisateur racine et dresser la liste des autorisations pour toutes les informations d’identification de l’utilisateur racine à supprimer.

Vous ne pouvez pas joindre de IAMDeleteRootUserCredentials à vos entités IAM. Cette politique est associée AssumeRootà l'exécution de tâches privilégiées sur un compte membre de votre organisation. Pour de plus amples informations, veuillez consulter Gestion centralisée de l’accès root pour les comptes membres.


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DenyAllOtherActionsOnAnyResource",
			"Effect": "Deny",
			"NotAction": [
				"iam:DeleteAccessKey",
				"iam:DeleteSigningCertificate",
				"iam:DeleteLoginProfile",
				"iam:DeactivateMFADevice",
				"iam:ListAccessKeys",
				"iam:ListSigningCertificates",
				"iam:GetLoginProfile",
				"iam:ListMFADevices",
				"iam:GetUser",
				"iam:GetAccessKeyLastUsed"
			],
						  
			"Resource": "*"
		},
		{
			"Sid": "DenyDeletingRootUserCredentialsOnNonRootUserResource",
			"Effect": "Deny",
			"Action": [
				"iam:DeleteAccessKey",
				"iam:DeleteSigningCertificate",
				"iam:DeleteLoginProfile",
				"iam:DeactivateMFADevice",
				"iam:ListAccessKeys",
				"iam:ListSigningCertificates",
				"iam:GetLoginProfile",
				"iam:ListMFADevices",
				"iam:GetUser",
				"iam:GetAccessKeyLastUsed"
			],
						  
			"NotResource": "arn:aws:iam::*:root"
		}
	]
}

Groupes d'autorisations

Cette politique est groupée en instructions basées sur le jeu d'autorisations fourni.

DenyAllOtherActionsOnAnyResource— Refuse l'accès pour obtenir ou supprimer les informations d'identification pour toutes les ressources.
DenyDeletingRootUserCredentialsOnNonRootUserRessource : refuse l'accès pour obtenir ou supprimer les informations d'identification pour toutes les ressources des utilisateurs non root.

S3 UnlockBucketPolicy

Utilisez la politique S3UnlockBucketPolicy AWS gérée pour limiter les autorisations lorsque vous effectuez une tâche privilégiée sur un compte AWS Organizations membre afin de supprimer une politique de compartiment mal configurée qui empêche tous les principaux d'accéder à un compartiment Amazon S3.

Vous ne pouvez pas joindre de S3UnlockBucketPolicy à vos entités IAM. Cette politique est associée AssumeRootà l'exécution de tâches privilégiées sur un compte membre de votre organisation. Pour de plus amples informations, veuillez consulter Gestion centralisée de l’accès root pour les comptes membres.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "NotAction": [
            "s3:DeleteBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy",
            "s3:ListAllMyBuckets"
         ],
         "Effect": "Deny",
         "Resource": "*"
      },
      {
         "Sid": "DenyManagingBucketPolicyForNonRootCallers",
         "Action": [
            "s3:DeleteBucketPolicy",
            "s3:PutBucketPolicy",
            "s3:GetBucketPolicy",
            "s3:ListAllMyBuckets"
         ],
         "Effect": "Deny",
         "Resource": "*",
         "Condition" : {
            "StringNotLike" : {
               "aws:PrincipalArn" : "arn:aws:iam::*:root"
            }
         }
      }
   ]
}

Groupes d'autorisations

Cette politique est groupée en instructions basées sur le jeu d'autorisations fourni.

DenyAllOtherActionsOnAnyResource— Refuse l'accès aux politiques relatives aux compartiments pour toutes les ressources.
DenyManagingBucketPolicyForNonRootCallers— Refuse l'accès aux politiques de compartiment pour toutes les ressources des utilisateurs autres que root.

SQSUnlockQueuePolicy

Utilisez la politique SQSUnlockQueuePolicy AWS gérée pour limiter les autorisations lorsque vous effectuez une tâche privilégiée sur un compte AWS Organizations membre afin de supprimer une politique basée sur les ressources Amazon Simple Queue Service qui interdit à tous les principaux d'accéder à une file d'attente Amazon SQS.

Vous ne pouvez pas joindre de SQSUnlockQueuePolicy à vos entités IAM. Cette politique est associée AssumeRootà l'exécution de tâches privilégiées sur un compte membre de votre organisation. Pour de plus amples informations, veuillez consulter Gestion centralisée de l’accès root pour les comptes membres.


{
   "Version": "2012-10-17",
   "Statement": [
      {
         "Sid": "DenyAllOtherActionsOnAnyResource",
         "Effect": "Deny",
         "NotAction": [
            "sqs:SetQueueAttributes",
            "sqs:GetQueueAttributes",
            "sqs:ListQueues",
            "sqs:GetQueueUrl"
         ],
         "Resource": "*"
      },
      {
         "Sid": "DenyGettingQueueAttributesOnNonOwnQueue",
         "Effect": "Deny",
         "Action": [
            "sqs:GetQueueAttributes"
         ],
         "Resource": "arn:aws:sqs:*:*:*",
         "Condition": {
            "StringNotEqualsIfExists": {
               "aws:ResourceAccount": [
               "${aws:PrincipalAccount}"
            ]
         }
      }
   },
   {
      "Sid": "DenyActionsForNonRootUser",
      "Effect": "Deny",
      "Action": [
        "sqs:SetQueueAttributes",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues",
        "sqs:GetQueueUrl"
      ],
      "Resource": "*",
      "Condition" : {
         "StringNotLike" : {
            "aws:PrincipalArn" : "arn:aws:iam::*:root"
            }
         }
      }
   ]
}

Groupes d'autorisations

Cette politique est groupée en instructions basées sur le jeu d'autorisations fourni.

DenyAllOtherActionsOnAnyResource— Refuse l'accès aux actions Amazon SQS pour toutes les ressources.
DenyGettingQueueAttributesOnNonOwnQueue— Refuse l'accès aux attributs de file d'attente Amazon SQS pour les files d'attente appartenant à un autre compte.
DenyActionsForNonRootUser— Refuse l'accès aux actions Amazon SQS pour toutes les ressources utilisateur autres que root.

Mises à jour de IAM et de IAM Access Analyzer pour les politiques gérées par l'interface AWS

Consultez les détails des mises à jour apportées à l'IAM et aux politiques AWS gérées depuis que le service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques sur les modifications apportées à cette page, abonnez-vous au flux RSS sur les pages d'historique d'IAM et IAM Access Analyzer Document.

Modification	Description	Date
IAMDeleteRootUserCredentials— Autorisations supprimées	IAM a supprimé l'`iam:DeleteVirtualMFADevice`autorisation de la politique gérée.	7 janvier 2025
AccessAnalyzerServiceRolePolicy : autorisations ajoutées	L’analyseur d’accès IAM a ajouté la prise en charge de l’autorisation de récupérer des informations sur les paramètres du compte Amazon ECR et les politiques de registre aux autorisations de niveau de service de `AccessAnalyzerServiceRolePolicy`.	10 décembre 2024
IAMAuditRootUserCredentials— Ajout d'une politique gérée	IAM a ajouté des politiques gérées pour gérer de manière centralisée l’accès racine aux comptes membres afin de délimiter les tâches privilégiées que vous pouvez effectuer sur les comptes membres AWS Organizations .	14 novembre 2024
IAMCreateRootUserPassword— Ajout d'une politique gérée	IAM a ajouté des politiques gérées pour gérer de manière centralisée l’accès racine aux comptes membres afin de délimiter les tâches privilégiées que vous pouvez effectuer sur les comptes membres AWS Organizations .	14 novembre 2024
IAMDeleteRootUserCredentials— Ajout d'une politique gérée	IAM a ajouté des politiques gérées pour gérer de manière centralisée l’accès racine aux comptes membres afin de délimiter les tâches privilégiées que vous pouvez effectuer sur les comptes membres AWS Organizations .	14 novembre 2024
S3 UnlockBucketPolicy — Ajout d'une politique gérée	IAM a ajouté des politiques gérées pour gérer de manière centralisée l’accès racine aux comptes membres afin de délimiter les tâches privilégiées que vous pouvez effectuer sur les comptes membres AWS Organizations .	14 novembre 2024
SQSUnlockQueuePolicy— Ajout d'une politique gérée	IAM a ajouté des politiques gérées pour gérer de manière centralisée l’accès racine aux comptes membres afin de délimiter les tâches privilégiées que vous pouvez effectuer sur les comptes membres AWS Organizations .	14 novembre 2024
AccessAnalyzerServiceRolePolicy : autorisations ajoutées	L’analyseur d’accès IAM a ajouté la prise en charge de l’autorisation de récupérer des informations sur les balises de rôle et d’utilisateur IAM aux autorisations de niveau de service de `AccessAnalyzerServiceRolePolicy`.	29 octobre 2024
AccessAnalyzerServiceRolePolicy : autorisations ajoutées	L’analyseur d’accès IAM a ajouté la prise en charge de l’autorisation de récupérer des informations sur les politiques de rôle et d’utilisateur IAM aux autorisations de niveau de service de `AccessAnalyzerServiceRolePolicy`.	30 mai 2024
AccessAnalyzerServiceRolePolicy : autorisations ajoutées	IAM Access Analyzer a ajouté la prise en charge de l'autorisation de récupérer l'état actuel du blocage de l'accès public pour les EC2 instantanés Amazon aux autorisations de niveau de service de. `AccessAnalyzerServiceRolePolicy`	23 janvier 2024
AccessAnalyzerServiceRolePolicy : autorisations ajoutées	L’analyseur d’accès IAM a ajouté la prise en charge des flux et des tables DynamoDB aux autorisations de niveau de service de `AccessAnalyzerServiceRolePolicy`.	11 janvier 2024
AccessAnalyzerServiceRolePolicy : autorisations ajoutées	L’analyseur d’accès IAM a ajouté la prise en charge des compartiements de répertoires Amazon S3 aux autorisations de niveau de service de `AccessAnalyzerServiceRolePolicy`.	1er décembre 2023
IAMAccessAnalyzerReadOnlyAccess : autorisations ajoutées	L’analyseur d’accès IAM a ajouté des autorisations pour vous permettre de vérifier si les mises à jour de vos politiques accordent un accès supplémentaire. L'analyseur d'accès IAM a besoin de cette autorisation pour effectuer des vérifications de politique sur vos politiques.	26 novembre 2023
AccessAnalyzerServiceRolePolicy : autorisations ajoutées	L’analyseur d’accès IAM a ajouté des actions IAM aux autorisations de niveau du service d’`AccessAnalyzerServiceRolePolicy` pour prendre en charge les actions suivantes : Lister les entités pour une politique Générer les dernières informations consultées sur le service Lister les informations clés d’accès	26 novembre 2023
AccessAnalyzerServiceRolePolicy : autorisations ajoutées	IAM Access Analyzer a ajouté la prise en charge des types de ressources suivants sur les autorisations de niveau de service de `AccessAnalyzerServiceRolePolicy` : Instantanés de volumes Amazon EBS Référentiels Amazon ECR Système de fichiers Amazon EFS Instantanés de base de données Amazon RDS Instantanés du cluster de base de données Amazon RDS Rubriques Amazon SNS	25 octobre 2022
AccessAnalyzerServiceRolePolicy : autorisations ajoutées	L'analyseur d'accès IAM a ajouté l'action `lambda:GetFunctionUrlConfig` sur les autorisations de niveau de service de `AccessAnalyzerServiceRolePolicy`.	6 avril 2022
AccessAnalyzerServiceRolePolicy : autorisations ajoutées	L'analyseur d'accès IAM a ajouté de nouvelles actions Amazon S3 pour analyser les métadonnées associées aux points d'accès multi-régions.	2 septembre 2021
IAMAccessAnalyzerReadOnlyAccess : autorisations ajoutées	L'analyseur d'accès IAM a ajouté une nouvelle action pour octroyer des autorisations `ValidatePolicy` visant à vous autoriser à utiliser les vérifications de politique pour la validation. L'analyseur d'accès IAM a besoin de cette autorisation pour effectuer des vérifications de politique sur vos politiques.	16 mars 2021
IAM Access Analyzer a commencé à suivre les modifications	IAM Access Analyzer a commencé à suivre les modifications apportées à ses politiques AWS gérées.	1er mars 2021

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Analyse de la configuration et des vulnérabilités

Fonctions de sécurité en dehors d'IAM