Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer fournit les fonctionnalités suivantes :

Identification des ressources partagées avec une entité externe

IAMAccess Analyzer vous aide à identifier les ressources de votre organisation et les comptes, tels que les compartiments ou les IAM rôles Amazon S3, partagés avec une entité externe. Cela vous permet d'identifier les accès imprévus à vos ressources et données, ce qui constitue un risque de sécurité. IAMAccess Analyzer identifie les ressources partagées avec des acteurs externes en utilisant un raisonnement basé sur la logique pour analyser les politiques basées sur les ressources dans votre AWS environnement. Pour chaque instance de ressource partagée en dehors de votre compte, IAM Access Analyzer génère un résultat. Les résultats comprennent des renseignements sur l'accès et le principal externe à qui il est accordé. Vous pouvez réviser les résultats pour déterminer si l'accès est intentionnel et sûr ou s'il est non intentionnel et représente un risque pour la sécurité. En plus de vous aider à identifier les ressources partagées avec une entité externe, vous pouvez utiliser les résultats d'IAMAccess Analyzer pour prévisualiser l'impact de votre politique sur l'accès public et multicompte à votre ressource avant de déployer les autorisations relatives aux ressources. Les résultats sont organisés dans un tableau de bord récapitulatif visuel. Le tableau de bord met en évidence la distinction entre les résultats relatifs à l’accès public et ceux relatifs à l’accès intercomptes, et fournit une ventilation des résultats par type de ressource. Pour plus d’informations sur les tableaux de bord, consultez Afficher le tableau de IAM bord des résultats d'Access Analyzer.

Lorsque vous activez IAM Access Analyzer, vous créez un analyseur pour l'ensemble de votre organisation ou pour votre compte. L'organisation ou le compte que vous sélectionnez est la zone de confiance de l'analyseur. L'analyseur surveille toutes les ressources prises en charge dans votre zone de confiance. Tout accès aux ressources par les principaux qui se trouvent dans votre zone de confiance est considéré comme fiable. Une fois activé, IAM Access Analyzer analyse les politiques appliquées à toutes les ressources prises en charge dans votre zone de confiance. Après la première analyse, IAM Access Analyzer analyse régulièrement ces politiques. Si vous ajoutez une nouvelle politique ou modifiez une politique existante, IAM Access Analyzer analyse la politique nouvelle ou mise à jour dans un délai d'environ 30 minutes.

Lors de l'analyse des politiques, si IAM Access Analyzer en identifie une qui accorde l'accès à un principal externe ne faisant pas partie de votre zone de confiance, il génère une constatation. Chaque résultat inclut des détails sur la ressource, l'entité externe qui y a accès et les autorisations accordées, afin que vous puissiez prendre les mesures appropriées. Vous pouvez afficher les détails inclus dans le résultat pour déterminer si l'accès à la ressource est intentionnel ou représente un risque potentiel que vous devez résoudre. Lorsque vous ajoutez une politique à une ressource ou que vous mettez à jour une politique existante, IAM Access Analyzer analyse la politique. IAMAccess Analyzer analyse également régulièrement toutes les politiques basées sur les ressources.

Dans de rares cas, dans certaines conditions, IAM Access Analyzer ne reçoit aucune notification concernant l'ajout ou la mise à jour d'une politique, ce qui peut retarder la génération des résultats. IAMAccess Analyzer peut prendre jusqu'à 6 heures pour générer ou résoudre les résultats si vous créez ou supprimez un point d'accès multirégional associé à un compartiment Amazon S3, ou si vous mettez à jour la politique du point d'accès multirégional. De plus, s'il y a un problème de livraison avec AWS CloudTrail livraison du journal, le changement de politique ne déclenche pas une nouvelle analyse de la ressource indiquée dans le résultat. Dans ce cas, IAM Access Analyzer analyse la politique nouvelle ou mise à jour lors de la prochaine analyse périodique, qui a lieu dans les 24 heures. Si vous souhaitez confirmer qu'une modification apportée à une politique résout un problème d'accès signalé dans une constatation, vous pouvez réanalyser la ressource signalée dans une constatation en utilisant le lien Rescan sur la page de détails des résultats ou en utilisant l'StartResourceScanIAMAccess Analyzer. API Pour en savoir plus, consultez Résoudre les IAM conclusions de Access Analyzer.

IAMAccess Analyzer analyse les types de ressources suivants :

Identification des accès non utilisés accordés aux IAM utilisateurs et aux rôles

IAMAccess Analyzer vous aide à identifier et à examiner les accès non utilisés dans votre AWS organisation et comptes. IAMAccess Analyzer surveille en permanence tous les IAM rôles et utilisateurs de votre AWS organisation et comptes et génère des résultats pour les accès non utilisés. Les résultats mettent en évidence les rôles inutilisés, les clés d'accès non utilisées pour IAM les utilisateurs et les mots de passe inutilisés pour IAM les utilisateurs. Pour les IAM rôles et les utilisateurs actifs, les résultats fournissent une visibilité sur les services et les actions non utilisés.

Les résultats relatifs à la fois aux analyseurs d’accès externes et non utilisés sont organisés dans un tableau de bord récapitulatif visuel. Le tableau de bord met en évidence votre Comptes AWS qui contiennent le plus grand nombre de résultats et fournissent une ventilation des résultats par type. Pour de plus amples informations sur le tableau de bord, veuillez consulter Afficher le tableau de IAM bord des résultats d'Access Analyzer.

IAMAccess Analyzer passe en revue les dernières informations consultées pour tous les rôles de votre AWS organisation et comptes pour vous aider à identifier les accès non utilisés. IAMles informations sur les dernières actions consultées vous aident à identifier les actions non utilisées pour les rôles de votre Comptes AWS. Pour plus d'informations, consultezAffiner les autorisations dans AWS en utilisant les dernières informations consultées.

Validation des politiques par rapport à AWS bonnes pratiques

Vous pouvez valider vos politiques par rapport à la grammaire des IAM politiques et AWS meilleures pratiques utilisant les contrôles de politique de base fournis par la validation des politiques IAM d'Access Analyzer. Vous pouvez créer ou modifier une politique à l'aide du AWS CLI, AWS API, ou éditeur JSON de politiques dans la IAM console. Vous pouvez afficher les résultats des vérifications de validation de politique qui incluent des avertissements de sécurité, des erreurs, des avertissements généraux et des suggestions pour votre politique. Ces résultats fournissent des recommandations exploitables qui vous aident à créer des politiques fonctionnelles et conformes aux AWS meilleures pratiques. Pour en savoir plus sur la validation des politiques à l’aide de la validation des politiques, consultez Validez les politiques avec IAM Access Analyzer.

Validation des politiques par rapport aux normes de sécurité que vous avez spécifiées

Vous pouvez valider vos politiques par rapport aux normes de sécurité que vous avez spécifiées à l'aide des contrôles de politique personnalisés d'IAMAccess Analyzer. Vous pouvez créer ou modifier une politique à l'aide du AWS CLI, AWS API, ou éditeur JSON de politiques dans la IAM console. Avec la console, vous pouvez vérifier si votre politique mise à jour accorde un nouvel accès par rapport à la version existante. À travers AWS CLI and AWS API, vous pouvez également vérifier que des IAM actions spécifiques que vous considérez comme critiques ne sont pas autorisées par une politique. Ces vérifications mettent en évidence une déclaration de politique qui accorde un nouvel accès. Vous pouvez mettre à jour la déclaration de politique et réexécuter les vérifications jusqu’à ce que la politique soit conforme à votre norme de sécurité. Pour en savoir plus sur la validation des politiques à l’aide de vérifications de politique personnalisées, consultez Validez les politiques à IAM l'aide des vérifications de politiques personnalisées d'Access Analyzer.

Générer des politiques

IAMAccess Analyzer analyse votre AWS CloudTrail des journaux pour identifier les actions et les services qui ont été utilisés par une IAM entité (utilisateur ou rôle) dans la plage de dates spécifiée. Il génère ensuite une IAM politique basée sur cette activité d'accès. Vous pouvez utiliser la politique générée pour affiner les autorisations d'une entité en l'attachant à un IAM utilisateur ou à un rôle. Pour en savoir plus sur la génération de politiques IAM à l'aide d'Access Analyzer, consultezIAMGénération de politiques Access Analyzer.

Tarification d'IAMAccess Analyzer

IAMAccess Analyzer facture l'analyse des accès non utilisés en fonction du nombre de IAM rôles et d'utilisateurs analysés par analyseur et par mois.

IAMAccess Analyzer facture les vérifications de politiques personnalisées en fonction du nombre de API demandes adressées à IAM Access Analyzer pour vérifier les nouveaux accès.

Pour une liste complète des frais et des prix d'IAMAccess Analyzer, consultez la section Tarification IAMd'Access Analyzer.

Pour consulter votre facture, rendez-vous sur le tableau de bord Billing and Cost Management dans le AWS Billing and Cost Management console. Votre facture contient des liens vers les rapports d’utilisation qui fournissent des détails sur votre facture. En savoir plus sur Compte AWS facturation, consultez le AWS Billing Guide de l'utilisateur

Si vous avez des questions concernant AWS facturation, comptes et événements, contact AWS Support.