Créez un analyseur d'accès interne avec Compte AWS la zone de confiance Création d’un analyseur d’accès interne avec l’organisation comme zone de confiance

Création d’un analyseur d’accès IAM pour l’analyse de l’accès interne

Pour activer un analyseur d’accès interne dans une région, vous devez créer un analyseur dans cette dernière. Vous devez créer un analyseur d’accès interne dans chaque région dans laquelle vous souhaitez surveiller l’accès à vos ressources.

L’analyseur d’accès IAM facture l’analyse des accès internes en fonction du nombre de ressources surveillées par analyseur et par mois. Pour plus d’informations sur les tarifs, consultez la Tarification de l’analyseur d’accès IAM.

Note

Après avoir créé ou mis à jour un analyseur, il peut s’écouler un certain temps avant que les résultats soient disponibles.

L’analyseur d’accès IAM ne peut pas générer de résultats d’accès internes pour les organisations qui contiennent plus de 70 000 principaux (utilisateurs et rôles IAM combinés).

Vous ne pouvez créer qu’un seul analyseur d’accès interne au niveau de l’organisation dans une organisation AWS .

Créez un analyseur d'accès interne avec Compte AWS la zone de confiance

Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.
Sous Analyseur d’accès, sélectionnez Paramètres de l’analyseur.
Sélectionnez Create Analyzer (créer un analyseur).
Dans la section Analyse, sélectionnez Analyse des ressources - Accès interne.
Dans la section Informations sur l’analyseur, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.
Entrez un nom pour l'analyseur.
Choisissez Compte actuel comme zone de confiance pour l’analyseur.

Note
Si votre compte n'est pas le compte AWS Organizations de gestion ou le compte administrateur délégué, vous ne pouvez créer qu'un seul analyseur avec votre compte comme zone de confiance.
Dans la section Ressources à analyser, ajoutez les ressources à surveiller par l’analyseur.
- Pour ajouter des ressources par compte, choisissez Ajouter > Ajouter des ressources à partir des comptes sélectionnés.
  1. Sélectionnez Tous les types de ressources pris en charge ou Définir des types de ressources spécifiques, puis sélectionnez les types de ressources dans la liste Type de ressource.
    
    Les analyseurs d’accès internes prennent en charge les types de ressources suivants :
    
    Compartiments Amazon Simple Storage Service
    
    Compartiments du répertoire Amazon Simple Storage Service
    
    Instantanés de base de données service de base de données relationnelle Amazon
    
    Instantanés de cluster de base de données service base de données relationnelle Amazon
    
    Amazon DynamoDB Streams
    
    Tables Amazon DynamoDB
  2. Choisissez Ajouter des ressources.
- Pour ajouter des ressources par Amazon Resource Name (ARN), sélectionnez Ajouter des ressources > Ajouter des ressources en collant l’ARN de la ressource.
  
  Note
  ARNs doivent correspondre exactement ; les caractères génériques ne sont pas pris en charge. Pour Amazon S3, seuls les compartiments ARNs sont pris en charge. L'objet ARNs et les préfixes Amazon S3 ne sont pas pris en charge.
  1. Pour chaque ARN de ressource, saisissez l’ID du propriétaire du compte et l’ARN de la ressource séparés par une virgule. Saisissez un ID de propriétaire du compte et un ARN de ressource par ligne.
  2. Choisissez Ajouter des ressources.
- Pour ajouter des ressources à partir d’un fichier CSV, sélectionnez Ajouter des ressources > Ajouter des ressources en chargeant un fichier CSV.
  
  Vous pouvez utiliser Explorateur de ressources AWS pour rechercher des ressources dans vos comptes et exporter un fichier CSV. Vous pouvez ensuite charger le fichier CSV pour configurer les ressources que l’analyseur doit surveiller.
  1. Choisissez Choisir un fichier et sélectionnez le fichier CSV sur votre ordinateur.
  2. Choisissez Ajouter des ressources.
Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.
Sélectionnez Create Analyzer (créer un analyseur).

Lorsque vous créez un analyseur d’accès interne pour activer l’analyseur d’accès IAM, un rôle lié au service nommé AWSServiceRoleForAccessAnalyzer est créé dans votre compte.

Création d’un analyseur d’accès interne avec l’organisation comme zone de confiance

Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.
Sous Analyseur d’accès, sélectionnez Paramètres de l’analyseur.
Sélectionnez Create Analyzer (créer un analyseur).
Dans la section Analyse, sélectionnez Analyse des ressources - Accès interne.
Dans la section Informations sur l’analyseur, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.
Entrez un nom pour l'analyseur.
Choisissez Toute l’organisation comme zone de confiance pour l’analyseur.
Dans la section Ressources à analyser, ajoutez les ressources à surveiller par l’analyseur.
- Pour ajouter des ressources pour le compte, choisissez Ajouter des ressources > Ajouter des ressources à partir des comptes sélectionnés.
  1. Sélectionnez Tous les types de ressources pris en charge ou Définir des types de ressources spécifiques, puis sélectionnez les types de ressources dans la liste Type de ressource.
    
    Les analyseurs d’accès internes prennent en charge les types de ressources suivants :
    
    Compartiments Amazon Simple Storage Service
    
    Compartiments du répertoire Amazon Simple Storage Service
    
    Instantanés de base de données service de base de données relationnelle Amazon
    
    Instantanés de cluster de base de données service base de données relationnelle Amazon
    
    Amazon DynamoDB Streams
    
    Tables Amazon DynamoDB
  2. Pour sélectionner des comptes au sein de votre organisation, choisissez Sélectionner dans l’organisation. Dans la section Sélectionner les comptes, choisissez Hiérarchie pour sélectionner les comptes en fonction de la structure organisationnelle ou Liste pour sélectionner les comptes à partir d’une liste de tous les comptes de votre organisation.
    
    Pour saisir manuellement les comptes de votre organisation, choisissez Enter AWS account ID. Entrez un ou plusieurs éléments Compte AWS IDs séparés par des virgules dans le champ ID du AWS compte.
  3. Choisissez Ajouter des ressources.
- Pour ajouter des ressources par Amazon Resource Name (ARN), sélectionnez Ajouter des ressources > Ajouter des ressources en collant l’ARN de la ressource.
  
  Note
  ARNs doivent correspondre exactement ; les caractères génériques ne sont pas pris en charge. Pour Amazon S3, seuls les compartiments ARNs sont pris en charge. L'objet ARNs et les préfixes Amazon S3 ne sont pas pris en charge.
  1. Pour chaque ARN de ressource, saisissez l’ID du propriétaire du compte et l’ARN de la ressource séparés par une virgule. Saisissez un ID de propriétaire du compte et un ARN de ressource par ligne.
  2. Choisissez Ajouter des ressources.
- Pour ajouter des ressources à partir d’un fichier CSV, sélectionnez Ajouter des ressources > Ajouter des ressources en chargeant un fichier CSV.
  
  Vous pouvez utiliser Explorateur de ressources AWS pour rechercher des ressources dans vos comptes et exporter un fichier CSV. Vous pouvez ensuite charger le fichier CSV pour configurer les ressources que l’analyseur doit surveiller.
  1. Choisissez Choisir un fichier et sélectionnez le fichier CSV sur votre ordinateur.
  2. Choisissez Ajouter des ressources.
Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.
Sélectionnez Soumettre.

Lorsque vous créez un analyseur d’accès interne avec l’organisation comme zone de confiance, un rôle lié au service nommé AWSServiceRoleForAccessAnalyzer est créé dans chaque compte de votre organisation.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Gestion d’un analyseur d’accès externe

Gestion d’un analyseur d’accès interne