Fonctionnement des résultats de l’analyseur d’accès IAM - AWS Identity and Access Management
Résultats des accès externesGestion des résultats des accès externesRésultats relatifs à l’accès interneGestion des résultats des accès internesRésultats des accès non utilisésGestion des résultats des accès non utilisés

Fonctionnement des résultats de l’analyseur d’accès IAM

Cette rubrique décrit les concepts et les termes utilisés dans l’IAM Access Analyzer pour vous aider à vous familiariser avec la façon dont il surveille l'accès à vos ressources AWS.

Résultats des accès externes

Les résultats d’accès externe sont générés une seule fois pour chaque instance d’une ressource qui est partagée en dehors de votre zone de confiance. Chaque fois qu'une politique basée sur les ressources est modifiée, IAM Access Analyzer analyse la politique. Si la politique mise à jour partage une ressource déjà identifiée dans un résultat, mais avec des autorisations ou des conditions différentes, un nouveau résultat est généré pour cette instance du partage de ressource. Les modifications apportées à une politique de contrôle des ressources qui ont une incidence sur la restriction de la politique de contrôle des ressources (RCP) génèrent également un nouveau résultat. L’analyseur d’accès IAM évalue également les configurations de contrôle d’accès établies par des politiques déclaratives. Si l’accès dans le premier résultat est supprimé, celui-ci est mis à jour et prend le statut Résolu.

Le statut de tous les résultats reste Actif jusqu’à ce que vous les archiviez ou que vous supprimiez l’accès ayant généré le résultat. Lorsque vous supprimez l’accès, le statut du résultat est mis à jour et devient Résolu.

Note

Lorsque la politique est modifiée, l’analyseur d’accès IAM peut prendre jusqu’à 30 minutes pour analyser la ressource et mettre à jour le résultat d’accès externe. Les modifications apportées à une politique de contrôle des ressources (RCP) n’entraînent pas une nouvelle analyse de la ressource mentionnée dans le résultat. L’analyseur d’accès IAM analyse la politique nouvelle ou mise à jour au cours de l’analyse périodique suivante, qui a lieu dans un délai maximal de 24 heures.

Processus de génération de résultats relatifs aux accès externes par l’analyseur d’accès IAM

AWS Identity and Access Management Access Analyzer utilise une technologie appelée Zelkova pour analyser les politiques IAM et identifier les accès externes aux ressources.

Zelkova traduit les politiques IAM en instructions logiques équivalentes et les soumet à un ensemble de solveurs logiques généraux et spécialisés (théories du module de satisfiabilité). L’analyseur d’accès IAM applique Zelkova de manière répétitive à une politique, en utilisant des requêtes de plus en plus spécifiques pour caractériser les types d’accès que la politique autorise en fonction de son contenu. Pour en savoir plus sur les théories du module de satisfiabilité, consultez Théories du module de satisfiabilité.

En ce qui concerne les analyseurs d’accès externe, l’analyseur d’accès IAM n’examine pas les journaux d’accès pour déterminer si une entité externe a effectivement accédé à une ressource dans votre zone de confiance. Par contre, il génère un résultat lorsqu’une politique basée sur les ressources autorise l’accès à une ressource, indépendamment du fait que la ressource ait été accédée par l’entité externe ou non.

En outre, l’analyseur d’accès IAM ne tient pas compte de l’état des comptes externes lorsqu’il détermine la situation. S’il indique que le compte 111122223333 peut accéder à votre compartiment Amazon S3, il ne dispose d’aucune information sur les utilisateurs, les rôles, les politiques de contrôle des services (SCP) ou d’autres configurations pertinentes de ce compte. Il s’agit d’une mesure de confidentialité, car l’analyseur d’accès IAM ne sait pas qui est propriétaire de l’autre compte. C’est également une question de sécurité, car il est important de connaître l’existence d’un accès externe potentiel, même si aucun principal actif n’est actuellement en mesure de l’utiliser.

L’analyseur d’accès IAM ne prend en compte que certaines clés de condition IAM que les utilisateurs externes ne peuvent pas influencer directement ou qui ont un autre impact sur l’autorisation. Pour obtenir des exemples de clés que l’IAM Access Analyzer prend en compte veuillez consulter IAM Access Analyzer filter keys (Clés de filtre Access Analyzer).

L’analyseur d’accès IAM ne signale actuellement pas les résultats des principaux d’Service AWS ou des comptes de service internes. Dans les rares cas où il n’est pas en mesure de déterminer avec certitude si une instruction accorde l’accès à une entité externe, il s’abstient de déclarer un faux positif. En effet, l’analyseur d’accès IAM est conçu pour fournir une vue exhaustive du partage des ressources dans votre compte et pour minimiser les faux négatifs.

Résultats relatifs à l’accès interne

Pour utiliser l’analyse d’accès interne, vous devez d’abord configurer l’analyseur en sélectionnant les ressources spécifiques que vous souhaitez surveiller. Une fois configurés, les résultats d’accès interne sont générés lorsqu’un principal (utilisateur ou rôle IAM) au sein de votre organisation ou de votre compte a accès aux ressources que vous avez sélectionnées. Un nouveau résultat est généré la prochaine fois que l’analyseur analyse les ressources spécifiées et identifie un principal ayant accès à ces ressources. Si une politique mise à jour autorise un principal déjà identifié dans un résultat, mais avec des autorisations ou des conditions différentes, un nouveau résultat est généré pour cette instance du partage de ressource. Cette politique mise à jour peut être une politique basée sur les ressources, une politique basée sur l’identité, une politique de contrôle des services (SCP) ou une politique de contrôle des ressources (RCP). L’analyseur d’accès IAM évalue également les configurations de contrôle d’accès établies par des politiques déclaratives.

Note

Les résultats d’accès internes ne sont accessibles qu’à l’aide de l’action d’API ListFindingsV2.

Processus de génération de résultats relatifs aux accès internes par l’analyseur d’accès IAM

Pour analyser les accès internes, vous devez créer un analyseur distinct pour les résultats d’accès internes pour vos ressources, même si vous avez déjà créé un analyseur pour générer des résultats des accès externes ou des résultats des accès non utilisés.

Après avoir créé l’analyseur d’accès interne, l’analyseur d’accès IAM évalue toutes les politiques basées sur les ressources, les politiques basées sur l’identité, les politiques de contrôle des services (SCP), les politiques de contrôle des ressources (RCP) et les limites des autorisations au sein du compte ou de l’organisation que vous avez spécifiés.

En créant un analyseur dédié à l’accès interne aux ressources sélectionnées, vous pouvez identifier :

  • quand un principal de votre organisation ou de votre compte peut accéder aux ressources sélectionnées ;

  • l’ensemble des autorisations effectives accordées à un principal en fonction de l’intersection de toutes les politiques applicables ;

  • les chemins d’accès complexes où un principal obtient l’accès en fonction de la combinaison des politiques d’identité et des politiques de ressources.

Note

L’analyseur d’accès IAM ne peut pas générer de résultats d’accès internes pour les organisations qui contiennent plus de 70 000 principaux (utilisateurs et rôles IAM combinés).

Résultats des accès non utilisés

Les résultats des accès non utilisés sont générés pour les entités IAM (principaux) au sein du compte ou de l’organisation sélectionné en fonction du nombre de jours spécifié lors de la création de l’analyseur. Un nouveau résultat est généré la prochaine fois que l’analyseur analyse les entités si l’une des conditions suivantes est remplie :

  • Un rôle est inactif pendant le nombre de jours spécifié.

  • Une autorisation, un mot de passe utilisateur ou une clé d’accès utilisateur non utilisés dépasse le nombre de jours spécifié.

Note

Les résultats d’accès non utilisés ne sont accessibles qu’à l’aide de l’action d’API ListFindingsV2.

Processus de génération de résultats relatifs aux accès non utilisés par l’analyseur d’accès IAM

Pour analyser les accès non utilisés, vous devez créer un analyseur distinct pour les résultats d’accès non utilisés pour vos rôles, même si vous avez déjà créé un analyseur pour générer des résultats des accès externes ou internes pour vos ressources.

Après avoir créé l’analyseur d’accès externes, l’analyseur d’accès IAM examine l’activité d’accès pour identifier les accès non utilisés. L’analyseur d’accès IAM examine les dernières informations consultées pour tous les utilisateurs IAM, les rôles IAM y compris les rôles de service, les clés d’accès utilisateur et les mots de passe utilisateur dans l’ensemble de votre organisation et de vos comptes AWS. Cela vous permet d’identifier les accès non utilisés.

Note

Un rôle lié à un service est un type particulier de rôle de service qui est lié à un Service AWS et appartient à ce service. Les rôles liés aux services ne sont pas analysés par les analyseurs d’accès non utilisés.

Pour les rôles et utilisateurs IAM actifs, l’analyseur d’accès IAM utilise les informations du dernier accès aux services et aux actions IAM pour identifier les autorisations non utilisées. Cela vous permet de mettre à l’échelle votre processus d’examen au niveau de l’organisation et du compte AWS. Vous pouvez également utiliser les informations relatives au dernier accès à l’action pour approfondir l’analyse des rôles individuels. Cela fournit des informations plus détaillées sur les autorisations spécifiques qui ne sont pas utilisées.

En créant un analyseur dédié aux accès non utilisés, vous pouvez examiner et identifier de manière exhaustive les accès non utilisés dans votre environnement AWS, en complétant les résultats générés par votre analyseur d’accès externe.