AWS politiques gérées pour AWS Identity and Access Management Access Analyzer - AWS Identity and Access Management
IAMReadOnlyAccessIAMUserChangePasswordIAMAccessAnalyzerFullAccessIAMAccessAnalyzerReadOnlyAccessAccessAnalyzerServiceRolePolicyMises à jour des politiques

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

AWS politiques gérées pour AWS Identity and Access Management Access Analyzer

Une politique AWS gérée est une politique autonome créée et administrée par AWS. AWS les politiques gérées sont conçues pour fournir des autorisations pour de nombreux cas d'utilisation courants afin que vous puissiez commencer à attribuer des autorisations aux utilisateurs, aux groupes et aux rôles.

N'oubliez pas que les politiques AWS gérées peuvent ne pas accorder d'autorisations de moindre privilège pour vos cas d'utilisation spécifiques, car elles sont accessibles à tous les AWS clients. Nous vous recommandons de réduire encore les autorisations en définissant des politiques gérées par le client qui sont propres à vos cas d’utilisation.

Vous ne pouvez pas modifier les autorisations définies dans les politiques AWS gérées. Si les autorisations définies dans une politique AWS gérée sont AWS mises à jour, la mise à jour affecte toutes les identités principales (utilisateurs, groupes et rôles) auxquelles la politique est attachée. AWS est le plus susceptible de mettre à jour une politique AWS gérée lorsqu'une nouvelle Service AWS est lancée ou que de nouvelles API opérations sont disponibles pour les services existants.

Pour plus d'informations, consultez les politiques AWS gérées dans le Guide de IAM l'utilisateur.

IAMReadOnlyAccess

Utilisez la politique IAMReadOnlyAccess gérée pour autoriser l'accès en lecture seule aux IAM ressources. Cette politique accorde l'autorisation d'obtenir et de répertorier toutes les IAM ressources. Il permet de consulter les détails et les rapports d'activité des utilisateurs, des groupes, des rôles, des politiques, des fournisseurs d'identité et MFA des appareils. Cela n'inclut pas la possibilité de créer ou de supprimer des ressources ni d'accéder aux ressources IAM d'Access Analyzer. Consultez la politique pour obtenir la liste complète des services et des actions que prend en charge cette politique.

IAMUserChangePassword

Utilisez la politique IAMUserChangePassword gérée pour permettre aux IAM utilisateurs de modifier leur mot de passe.

Vous configurez les paramètres de votre IAM compte et la politique de mot de passe pour permettre aux IAM utilisateurs de modifier le mot de passe de leur IAM compte. Lorsque vous autorisez cette actionIAM, associe la politique suivante à chaque utilisateur :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ChangePassword"
            ],
            "Resource": [
                "arn:aws:iam::*:user/${aws:username}"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetAccountPasswordPolicy"
            ],
            "Resource": "*"
        }
    ]
}

IAMAccessAnalyzerFullAccess

Utilisez la politique IAMAccessAnalyzerFullAccess AWS gérée pour permettre à vos administrateurs d'accéder à IAM Access Analyzer.

Groupes d'autorisations

Cette politique est groupée en instructions basées sur le jeu d'autorisations fourni.

  • IAMAccess Analyzer : autorise des autorisations administratives complètes sur toutes les ressources d'IAMAccess Analyzer.

  • Créer un rôle lié à un service : permet à l'administrateur de créer un rôle lié à un service, ce qui permet à IAM Access Analyzer d'analyser les ressources d'autres services en votre nom. Cette autorisation permet de créer le rôle lié au service uniquement pour une utilisation par IAM Access Analyzer.

  • AWS Organizations— Permet aux administrateurs d'utiliser IAM Access Analyzer pour une organisation dans AWS Organizations. Après avoir activé l'accès sécurisé pour IAM Access Analyzer dans AWS Organizations, les membres du compte de gestion peuvent consulter les résultats au sein de leur organisation.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "access-analyzer:*"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "access-analyzer.amazonaws.com"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots"
      ],
      "Resource": "*"
    }
  ]
}

IAMAccessAnalyzerReadOnlyAccess

Utilisez la politique IAMAccessAnalyzerReadOnlyAccess AWS gérée pour autoriser l'accès en lecture seule à IAM Access Analyzer.

Pour autoriser également l'accès en lecture seule à IAM Access Analyzer pour AWS Organizations, créez une politique gérée par le client qui autorise les actions de description et de liste à partir de la IAMAccessAnalyzerFullAccess AWS politique gérée.

Autorisations de niveau service

Cette politique fournit un accès en lecture seule à IAM Access Analyzer. Cette politique n'inclut aucune autre autorisation de service.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "IAMAccessAnalyzerReadOnlyAccess",
      "Effect": "Allow",
      "Action": [
        "access-analyzer:CheckAccessNotGranted",
        "access-analyzer:CheckNoNewAccess",
        "access-analyzer:Get*",
        "access-analyzer:List*",
        "access-analyzer:ValidatePolicy"
      ],
      "Resource": "*"
    }
  ]
}

AccessAnalyzerServiceRolePolicy

Vous ne pouvez pas vous attacher AccessAnalyzerServiceRolePolicy à vos IAM entités. Cette politique est associée à un rôle lié à un service qui permet à IAM Access Analyzer d'effectuer des actions en votre nom. Pour plus d'informations, consultez la section Utilisation de rôles liés à un service pour AWS Identity and Access Management Access Analyzer.

Groupes d'autorisations

Cette politique permet d'accéder à IAM Access Analyzer pour analyser les métadonnées des ressources provenant de plusieurs Services AWS sources.

  • Amazon DynamoDB : autorise l'affichage des flux et des tables DynamoDB.

  • Amazon Elastic Compute Cloud — Autorise les autorisations pour décrire les adresses IP, les instantanés etVPCs.

  • Amazon Elastic Container Registry : autorise la description des référentiels d'images et les politiques de récupération des référentiels.

  • Amazon Elastic File System : autorise l'accès à la description d'un système de EFS fichiers Amazon et à la politique au niveau des ressources d'un système de EFS fichiers Amazon.

  • AWS Identity and Access Management— Permet aux autorisations de récupérer des informations sur un rôle spécifique et de répertorier les IAM rôles dotés d'un préfixe de chemin spécifié. Autorise les autorisations nécessaires pour récupérer des informations sur les utilisateurs, les IAM groupes, les profils de connexion, les clés d'accès et les données du dernier accès au service.

  • AWS Key Management Service— Permet aux autorisations d'afficher des informations détaillées sur une KMS clé, ses politiques clés et ses subventions.

  • AWS Lambda -  Autorise l'affichage des informations sur les alias, fonctions, couches et alias Lambda.

  • AWS Organizations— Autorise les autorisations aux Organizations et permet la création d'un analyseur au sein de l' AWS organisation en tant que zone de confiance.

  • Amazon Relational Database Service : autorise l'accès à des informations détaillées sur les instantanés RDS Amazon DB et les instantanés du cluster RDS Amazon DB.

  • Amazon Simple Storage Service : autorise l'accès à des informations détaillées sur les points d'accès Amazon S3, les compartiments et les compartiments de répertoire Amazon S3 qui utilisent la classe de stockage Amazon S3 Express One.

  • AWS Secrets Manager -  Autorise l'affichage d'informations détaillées sur les secrets et les politiques en matière de ressources associées aux secrets.

  • Amazon Simple Notification Service : autorise l'affichage d'informations détaillées sur un sujet.

  • Amazon Simple Queue Service : autorise l'affichage d'informations détaillées sur les files d'attente spécifiées.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AccessAnalyzerServiceRolePolicy",
      "Effect": "Allow",
      "Action": [
        "dynamodb:GetResourcePolicy",
        "dynamodb:ListStreams",
        "dynamodb:ListTables",
        "ec2:DescribeAddresses",
        "ec2:DescribeByoipCidrs",
        "ec2:DescribeSnapshotAttribute",
        "ec2:DescribeSnapshots",
        "ec2:DescribeVpcEndpoints",
        "ec2:DescribeVpcs",
        "ec2:GetSnapshotBlockPublicAccessState",
        "ecr:DescribeRepositories",
        "ecr:GetRepositoryPolicy",
        "elasticfilesystem:DescribeFileSystemPolicy",
        "elasticfilesystem:DescribeFileSystems",
        "iam:GetRole",
        "iam:ListEntitiesForPolicy",
        "iam:ListRoles",
        "iam:ListUsers",
        "iam:GetUser",
        "iam:GetGroup",
        "iam:GenerateServiceLastAccessedDetails",
        "iam:GetServiceLastAccessedDetails",
        "iam:ListAccessKeys",
        "iam:GetLoginProfile",
        "iam:GetAccessKeyLastUsed",
        "iam:ListRolePolicies",
        "iam:GetRolePolicy",
        "iam:ListAttachedRolePolicies",
        "iam:ListUserPolicies",
        "iam:GetUserPolicy",
        "iam:ListAttachedUserPolicies",
        "iam:GetPolicy",
        "iam:GetPolicyVersion",
        "iam:ListGroupsForUser",
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:ListGrants",
        "kms:ListKeyPolicies",
        "kms:ListKeys",
        "lambda:GetFunctionUrlConfig",
        "lambda:GetLayerVersionPolicy",
        "lambda:GetPolicy",
        "lambda:ListAliases",
        "lambda:ListFunctions",
        "lambda:ListLayers",
        "lambda:ListLayerVersions",
        "lambda:ListVersionsByFunction",
        "organizations:DescribeAccount",
        "organizations:DescribeOrganization",
        "organizations:DescribeOrganizationalUnit",
        "organizations:ListAccounts",
        "organizations:ListAccountsForParent",
        "organizations:ListAWSServiceAccessForOrganization",
        "organizations:ListChildren",
        "organizations:ListDelegatedAdministrators",
        "organizations:ListOrganizationalUnitsForParent",
        "organizations:ListParents",
        "organizations:ListRoots",
        "rds:DescribeDBClusterSnapshotAttributes",
        "rds:DescribeDBClusterSnapshots",
        "rds:DescribeDBSnapshotAttributes",
        "rds:DescribeDBSnapshots",
        "s3:DescribeMultiRegionAccessPointOperation",
        "s3:GetAccessPoint",
        "s3:GetAccessPointPolicy",
        "s3:GetAccessPointPolicyStatus",
        "s3:GetAccountPublicAccessBlock",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPolicy",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetMultiRegionAccessPoint",
        "s3:GetMultiRegionAccessPointPolicy",
        "s3:GetMultiRegionAccessPointPolicyStatus",
        "s3:ListAccessPoints",
        "s3:ListAllMyBuckets",
        "s3:ListMultiRegionAccessPoints",
        "s3express:GetBucketPolicy",
        "s3express:ListAllMyDirectoryBuckets",
        "sns:GetTopicAttributes",
        "sns:ListTopics",
        "secretsmanager:DescribeSecret",
        "secretsmanager:GetResourcePolicy",
        "secretsmanager:ListSecrets",
        "sqs:GetQueueAttributes",
        "sqs:ListQueues"
      ],
      "Resource": "*"
    }
  ]
}

IAMet mises à jour des politiques AWS gérées par IAM Access Analyzer

Consultez les informations relatives aux mises à jour IAM et aux politiques AWS gérées depuis que le service a commencé à suivre ces modifications. Pour recevoir des alertes automatiques concernant les modifications apportées à cette page, abonnez-vous au RSS flux sur les pages d'historique du document IAM Access Analyzer IAM et à celles de l'historique des documents.

Modification Description Date
AccessAnalyzerServiceRolePolicy : autorisations ajoutées IAMAccess Analyzer a ajouté la prise en charge de l'autorisation de récupérer des informations sur les politiques relatives aux IAM utilisateurs et aux rôles aux autorisations de niveau de service de. AccessAnalyzerServiceRolePolicy 30 mai 2024
AccessAnalyzerServiceRolePolicy : autorisations ajoutées IAMAccess Analyzer a ajouté la prise en charge de l'autorisation de récupérer l'état actuel du blocage de l'accès public pour les EC2 instantanés Amazon aux autorisations de niveau de service de. AccessAnalyzerServiceRolePolicy 23 janvier 2024
AccessAnalyzerServiceRolePolicy : autorisations ajoutées IAMAccess Analyzer a ajouté la prise en charge des flux et des tables DynamoDB aux autorisations de niveau de service de. AccessAnalyzerServiceRolePolicy 11 janvier 2024
AccessAnalyzerServiceRolePolicy : autorisations ajoutées IAMAccess Analyzer a ajouté la prise en charge des compartiments d'annuaire Amazon S3 aux autorisations de niveau de service de. AccessAnalyzerServiceRolePolicy 1er décembre 2023

IAMAccessAnalyzerReadOnlyAccess : autorisations ajoutées

IAMAccess Analyzer a ajouté des autorisations pour vous permettre de vérifier si les mises à jour de vos politiques accordent un accès supplémentaire.

IAMAccess Analyzer a besoin de cette autorisation pour vérifier vos politiques.

 26 novembre 2023
AccessAnalyzerServiceRolePolicy : autorisations ajoutées IAMAccess Analyzer a ajouté IAM des actions aux autorisations de niveau de service de AccessAnalyzerServiceRolePolicy pour prendre en charge les actions suivantes :

  • Lister les entités pour une politique

  • Générer les dernières informations consultées sur le service

  • Lister les informations clés d’accès

 26 novembre 2023
AccessAnalyzerServiceRolePolicy : autorisations ajoutées IAMAccess Analyzer a ajouté la prise en charge des types de ressources suivants aux autorisations de niveau de service de : AccessAnalyzerServiceRolePolicy

  • Instantanés des EBS volumes Amazon

  • ECRRéférentiels Amazon

  • Systèmes de EFS fichiers Amazon

  • Instantanés Amazon RDS DB

  • Instantanés du cluster Amazon RDS DB

  • SNSSujets Amazon

 25 octobre 2022
AccessAnalyzerServiceRolePolicy : autorisations ajoutées IAMAccess Analyzer a ajouté l'lambda:GetFunctionUrlConfigaction aux autorisations de niveau de service de. AccessAnalyzerServiceRolePolicy 6 avril 2022
AccessAnalyzerServiceRolePolicy : autorisations ajoutées IAMAccess Analyzer a ajouté de nouvelles actions Amazon S3 pour analyser les métadonnées associées aux points d'accès multirégionaux. 2 septembre 2021

IAMAccessAnalyzerReadOnlyAccess : autorisations ajoutées

IAMAccess Analyzer a ajouté une nouvelle action pour accorder des ValidatePolicy autorisations afin de vous permettre d'utiliser les contrôles de politique à des fins de validation.

IAMAccess Analyzer a besoin de cette autorisation pour vérifier vos politiques.

 16 mars 2021

IAMAccess Analyzer a commencé à suivre les modifications

IAMAccess Analyzer a commencé à suivre les modifications apportées à ses politiques AWS gérées.

 1er mars 2021