Utiliser AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer offre les fonctionnalités suivantes :

Identification des ressources partagées avec une entité externe

L’IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes, telles que les compartiments Amazon S3 ou les rôles IAM, partagés avec une entité externe. Cela vous permet d'identifier les accès imprévus à vos ressources et données, ce qui constitue un risque de sécurité. L’IAM Access Analyzer identifie les ressources partagées avec des principaux externes en utilisant un raisonnement logique pour analyser les politiques basées sur les ressources dans votre AWSenvironnement. Pour chaque instance d'une ressource qui est partagée en dehors de votre compte, l’IAM Access Analyzer génère un résultat. Les résultats comprennent des renseignements sur l'accès et le principal externe à qui il est accordé. Vous pouvez réviser les résultats pour déterminer si l'accès est intentionnel et sûr ou s'il est non intentionnel et représente un risque pour la sécurité. En plus de vous aider à identifier les ressources partagées avec une entité externe, vous pouvez utiliser les résultats de l’IAM Access Analyzer pour prévisualiser la façon dont votre politique affecte l'accès public et les entre comptes à votre ressource avant de déployer des autorisations de ressources. Les résultats sont organisés dans un tableau de bord récapitulatif visuel. Le tableau de bord met en évidence la distinction entre les résultats relatifs à l’accès public et ceux relatifs à l’accès intercomptes, et fournit une ventilation des résultats par type de ressource. Pour plus d’informations sur les tableaux de bord, consultez Affichage du tableau de bord des résultats de l’analyseur d’accès IAM.

Lorsque vous activez l’IAM Access Analyzer, vous créez un analyseur pour l'ensemble de votre organisation ou de votre compte. L'organisation ou le compte que vous sélectionnez est la zone de confiance de l'analyseur. L'analyseur surveille toutes les ressources prises en charge dans votre zone de confiance. Tout accès aux ressources par les principaux qui se trouvent dans votre zone de confiance est considéré comme fiable. Une fois activé, l’IAM Access Analyzer analyse les politiques appliquées à toutes les ressources prises en charge dans votre zone de confiance. Après la première analyse, l’IAM Access Analyzer analyse lesdites politiques de façon périodique. Si vous ajoutez une nouvelle politique ou modifiez une déja existante, l’IAM Access Analyzer analyse la nouvelle ou celle mise à jour dans un délai d'environ 30 minutes.

Lors de l'analyse des politiques, si l’IAM Access Analyzer en identifie une qui accorde l'accès à un principal externe ne se trouvant pas dans votre zone de confiance, il génère un résultat. Chaque résultat inclut des détails sur la ressource, l'entité externe qui y a accès et les autorisations accordées, afin que vous puissiez prendre les mesures appropriées. Vous pouvez afficher les détails inclus dans le résultat pour déterminer si l'accès à la ressource est intentionnel ou représente un risque potentiel que vous devez résoudre. Lorsque vous ajoutez une politique à une ressource ou que mettez à jour une politique existante, l’IAM Access Analyzer. En outre, l’IAM Access Analyzer analyse périodiquement toutes les politiques basées sur les ressources.

Dans de rares cas et sous certaines conditions, l’analyseur d’accès IAM ne reçoit pas de notification d’ajout ou de mise à jour d’une politique, ce qui peut entraîner des retards dans les résultats générés. Il peut falloir jusqu’à 6 heures à l’analyseur d’accès IAM pour générer ou résoudre des résultats si vous créez ou supprimez un point d’accès multi-régions associé à un compartiment Amazon S3, ou si vous mettez à jour la politique pour le point d’accès multi-régions. De plus, en cas de problème de livraison des journaux AWS CloudTrail ou de modification des restrictions de la politique de contrôle des ressources (RCP), le changement de politique ne déclenche pas une nouvelle analyse de la ressource signalée dans le résultat. Lorsque cela se produit, l’IAM Access Analyzer analyse la politique nouvelle ou mise à jour au cours de l'analyse périodique suivante, qui a lieu dans un délai maximal de 24 heures. Si vous souhaitez confirmer qu'une modification apportée à une politique résout un problème d'accès signalé dans un résultat, vous pouvez réanalyser la ressource indiquée dans le résultat à l'aide du Rescan (Réanalyser) lien de la page des détails Findings (Résultats) ou à l'aide de StartResourceScan l’opération de l’API de l’IAM Access Analyzer. Pour en savoir plus, consultez Résolution des problèmes liés aux résultats de l’analyseur d’accès IAM.

L’IAM Access Analyzer prend en charge les types de ressources suivants :

Identification des accès non utilisés accordés aux utilisateurs et aux rôles IAM

L’analyseur d’accès IAM vous aide à identifier et à examiner les accès non utilisés dans votre organisation et vos comptes AWS. L’analyseur d’accès IAM surveille en permanence tous les rôles et utilisateurs IAM dans votre organisation et vos comptes AWS et génère des résultats pour les accès non utilisés. Les résultats mettent en évidence les rôles non utilisés ainsi que les clés d’accès et les mots de passe non utilisés pour les utilisateurs IAM. Pour les rôles et les utilisateurs IAM actifs, les résultats fournissent une visibilité sur les services et les actions non utilisés.

Les résultats relatifs à la fois aux analyseurs d’accès externes et non utilisés sont organisés dans un tableau de bord récapitulatif visuel. Le tableau de bord met en évidence les Comptes AWS qui ont le plus de résultats et fournit une ventilation des résultats par type. Pour de plus amples informations sur le tableau de bord, veuillez consulter Affichage du tableau de bord des résultats de l’analyseur d’accès IAM.

L’analyseur d’accès IAM examine les dernières informations consultées pour tous les rôles et comptes de votre organisation AWS afin de vous aider à identifier les accès non utilisés. Les informations auxquelles vous avez accédé pour la dernière fois sur les actions IAM vous aident à identifier les actions non utilisées pour les rôles de vos Comptes AWS. Pour en savoir plus, consultez Ajustement des autorisations dans AWS à l’aide des dernières informations consultées.

Validation des politiques par rapport aux bonnes pratiques AWS

Vous pouvez valider vos politiques par rapport à la grammaire des politiques IAM et aux bonnes pratiques AWS à l’aide des vérifications de politique de base fournies par la validation des politiques de l’analyseur d’accès IAM. Vous pouvez créer ou modifier une politique à l'aide de la AWS CLI, de l'API AWS ou de l'éditeur de politique JSON dans la console IAM. Vous pouvez afficher les résultats des vérifications de validation de politique qui incluent des avertissements de sécurité, des erreurs, des avertissements généraux et des suggestions pour votre politique. Ces résultats fournissent des recommandations exploitables qui vous aident à créer des politiques fonctionnelles et conformes aux bonnes pratiques AWS. Pour en savoir plus sur la validation des politiques à l’aide de la validation des politiques, consultez Validation des politiques à l’aide de l’analyseur d’accès IAM.

Validation des politiques par rapport aux normes de sécurité que vous avez spécifiées

Vous pouvez valider vos politiques par rapport aux normes de sécurité spécifiées à l’aide des vérifications de politiques personnalisées de l’analyseur d’accès IAM. Vous pouvez créer ou modifier une politique à l'aide de la AWS CLI, de l'API AWS ou de l'éditeur de politique JSON dans la console IAM. Avec la console, vous pouvez vérifier si votre politique mise à jour accorde un nouvel accès par rapport à la version existante. Avec l’API AWS CLI et l’AWS, vous pouvez également vérifier que des actions IAM spécifiques que vous considérez comme critiques ne sont pas autorisées par une politique. Ces vérifications mettent en évidence une déclaration de politique qui accorde un nouvel accès. Vous pouvez mettre à jour la déclaration de politique et réexécuter les vérifications jusqu’à ce que la politique soit conforme à votre norme de sécurité. Pour en savoir plus sur la validation des politiques à l’aide de vérifications de politique personnalisées, consultez Validation des politiques à l’aide des vérifications des politiques personnalisées de l’analyseur d’accès IAM.

Générer des politiques

L’IAM Access Analyzer analyse vos AWS CloudTrail journaux pour identifier les actions et les services qui ont été utilisés par une entité IAM (utilisateur ou rôle) dans la plage de dates que vous avez spécifiée. Il génère ensuite une politique IAM basée sur cette activité d'accès. Vous pouvez utiliser la politique générée pour affiner les autorisations d'une entité, en l'attachant à un utilisateur ou un rôle IAM. Pour en savoir plus sur la génération de politiques à l'aide de l’IAM Access Analyzer, veuillez consulter Génération d'une politique IAM Access Analyzer.

Tarification pour l’analyseur d’accès IAM

L’analyseur d’accès IAM facture l’analyse des accès non utilisés en fonction du nombre de rôles et d’utilisateurs IAM analysés par analyseur et par mois.

L’analyseur d’accès IAM facture les vérifications de politiques personnalisées en fonction du nombre de demandes d’API faites à l’analyseur d’accès IAM pour vérifier les nouveaux accès.

Pour une liste complète des frais et des prix pour l’analyseur d’accès IAM, consultez la Tarification de l’analyseur d’accès IAM.

Pour consulter votre facture, dirigez-vous vers le Tableau de bord de gestion des coûts et de la facturation dans la console AWS Billing and Cost Management. Votre facture contient des liens vers les rapports d’utilisation qui fournissent des détails sur votre facture. Pour en savoir plus sur la facturation Compte AWS, consultez le Guide de l’utilisateur AWS Billing.

Pour toute question relative à la facturation, aux comptes et aux événements AWS, contactez AWS Support.