Résolution des problèmes liés aux résultats de l’analyseur d’accès IAM - AWS Identity and Access Management
Résoudre les problèmes liés aux ressourcesRésolution des problèmes liés aux résultats d’accès non utilisés

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résolution des problèmes liés aux résultats de l’analyseur d’accès IAM

Résoudre les problèmes liés aux ressources

Pour résoudre les problèmes d'accès externes et internes générés par un accès involontaire, vous devez modifier la déclaration de politique afin de supprimer les autorisations qui autorisent l'accès à la ressource identifiée.

Pour les résultats liés aux compartiments S3, utilisez la console Amazon S3 pour configurer les autorisations sur le compartiment.

Pour les rôles IAM, utilisez la console IAM pour modifier la politique d'approbation du rôle IAM répertorié.

Pour les autres ressources prises en charge, utilisez la console pour modifier les instructions de politique ayant abouti à un résultat généré.

Après avoir apporté une modification pour résoudre une recherche de ressource, telle que la modification d'une politique appliquée à un rôle IAM, IAM Access Analyzer analyse à nouveau la ressource. Si l'accès à la ressource est supprimé, le statut de la recherche passe à Résolu. Le résultat sera ensuite affiché dans la liste des résultats résolus au lieu de la liste des résultats actifs.

Note

Cela ne s’applique pas aux résultats signalant une Erreur. Lorsque l’analyseur d’accès IAM n’est pas en mesure d’analyser une ressource, il génère un résultat signalant une erreur. Si vous résolvez le problème qui a empêché l’analyseur d’accès IAM d’analyser la ressource, le résultat d’erreur est complètement supprimé au lieu d’être transformé en résultat résolu. Pour de plus amples informations, veuillez consulter Résultats d'erreur d'IAM Access Analyzer.

Si les modifications que vous avez apportées ont permis un accès externe ou interne à la ressource, mais d'une manière différente, par exemple avec un principal différent ou une autorisation différente, IAM Access Analyzer générera une nouvelle recherche active.

Note

Pour les analyseurs d'accès externes, il peut s'écouler jusqu'à 30 minutes après la modification d'une politique pour qu'IAM Access Analyzer analyse à nouveau la ressource, puis mette à jour le résultat.

Pour les analyseurs d'accès internes, il peut falloir plusieurs minutes ou heures à IAM Access Analyzer pour analyser à nouveau la ressource, puis mettre à jour le résultat. IAM Access Analyzer réanalyse automatiquement toutes les politiques toutes les 24 heures.

Les résultats résolus sont supprimés 90 jours après la dernière mise à jour du résultat.

Résolution des problèmes liés aux résultats d’accès non utilisés

L’analyseur d’accès IAM propose des étapes recommandées pour résoudre les résultats non utilisés de l’analyseur d’accès en fonction du type de résultat.

Une fois que vous avez apporté une modification pour résoudre un résultat des accès non utilisés, le statut du résultat passe à Résolu lors de la prochaine exécution de l’analyseur d’accès non utilisé. Le résultat n’est plus affiché dans la liste des résultats actifs, mais plutôt dans la liste des résultats résolus. Si vous apportez une modification qui ne résoud que partiellement à un résultat des accès non utilisés, le résultat existant devient Résolu mais un nouveau est généré. Par exemple, si vous ne supprimez que certaines autorisations non utilisées dans un résultat, mais pas toutes.

L’analyseur d’accès IAM facture l’analyse d’accès non utilisé en fonction du nombre de rôles et d’utilisateurs IAM analysés par mois. Pour plus d’informations sur les tarifs, consultez la Tarification de l’analyseur d’accès IAM.

Résolution des problèmes liés aux résultats des autorisations non utilisées

Pour les résultats des autorisations non utilisées, l’analyseur d’accès IAM peut recommander des politiques à supprimer d’un rôle ou d’un utilisateur IAM et fournir de nouvelles politiques pour remplacer les politiques d’autorisation existantes. La recommandation de politique n’est pas prise en charge pour les scénarios suivants :

  • Le résultat d’autorisation non utilisée concerne un utilisateur IAM appartenant à un groupe d’utilisateurs.

  • Le résultat d’autorisation non utilisée concerne un rôle IAM pour IAM Identity Center.

  • Le résultat d’autorisation non utilisée est associé à une politique d’autorisation existante qui inclut l’élément notAction.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez un résultat dont le Type de résultat est Autorisations non utilisées.

  4. Dans la section Recommandations, si des politiques sont répertoriées dans la colonne Politique recommandée, choisissez Prévisualiser la politique pour afficher la politique existante avec la politique recommandée pour remplacer la politique existante. S’il existe plusieurs politiques recommandées, vous pouvez choisir Politique suivante et la Politique précédente pour afficher chacune des politiques existantes et recommandées.

  5. Choisissez Télécharger le JSON pour télécharger un fichier .zip contenant les fichiers JSON de toutes les politiques recommandées.

  6. Créez les politiques recommandées et attachez-les au rôle ou à l’utilisateur IAM. Pour plus d’informations, consultez Modification des autorisations d’un utilisateur (console) et Modification d’une politique d’autorisations d’un rôle (console).

  7. Supprimez les politiques répertoriées dans la colonne Politique d’autorisation existante du rôle ou de l’utilisateur IAM. Pour plus d’informations, consultez Suppression d’une autorisation d’un utilisateur (console) et Modification une politique d’autorisations de rôle (console).

Résolution des problèmes liés aux rôles non utilisés

Pour les résultats de rôle non utilisé, l’analyseur d’accès IAM recommande de supprimer le rôle IAM non utilisé.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez un résultat dont le Type de résultat est Rôle non utilisé.

  4. Dans la section Recommandations, passez en revue les détails du rôle IAM.

  5. Supprimez le rôle IAM. Pour plus d’informations sur la suppression d’un rôle IAM, consultez Suppression d’un rôle IAM (console).

Résolution des problèmes liés aux résultats de clé d’accès non utilisée

Pour les résultats de clé d’accès non utilisée, l’analyseur d’accès IAM recommande de désactiver ou de supprimer la clé d’accès non utilisée.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez une recherche dont le Type de résultat est Clés d’accès non utilisées.

  4. Dans la section Recommandations, passez en revue les détails de la clé d’accès.

  5. Désactivez ou supprimez les clés d’accès. Pour de plus amples informations, consultez Gestion des clés d’accès (console).

Résolution des problèmes liés aux mots de passe non utilisés

Pour les résultats de mot de passe non utilisé, l’analyseur d’accès IAM recommande de supprimer le mot de passe non utilisé pour l’utilisateur IAM.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez une recherche dont le Type de résultat est Mot de passe non utilisé.

  4. Dans la section Recommandations, passez en revue les informations relatives à l’utilisateur IAM.

  5. Supprimez le mot de passe de l’utilisateur IAM. Pour plus d’informations, consultez Création, modification ou suppression d’un mot de passe utilisateur IAM (console).