Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Démarrer avec AWS Identity and Access Management Access Analyzer
Utilisez les informations de cette rubrique pour en savoir plus sur les exigences nécessaires pour utiliser et gérer AWS Identity and Access Management Access Analyzer.
Autorisations requises pour l’utilisation de l’IAM Access Analyzer
Pour configurer et utiliser correctement l’IAM Access Analyzer, le compte que vous utilisez doit disposer des autorisations requises.
AWS politiques gérées pour IAM Access Analyzer
AWS Identity and Access Management Access Analyzer fournit des politiques AWS gérées pour vous aider à démarrer rapidement.
-
IAMAccessAnalyzerFullAccess- Permet un accès complet à IAM Access Analyzer pour les administrateurs. Cette politique permet également de créer les rôles liés au service dont l’IAM Access Analyzer a besoin pour analyser les ressources de votre compte ou AWS organisation
-
IAMAccessAnalyzerReadOnlyAccess- Permet un accès en lecture seule à IAM Access Analyzer. Vous devez ajouter des politiques supplémentaires à vos identités IAM (utilisateurs, groupes d'utilisateurs ou rôles) pour les autoriser à afficher leurs résultats.
Ressources définies par l'analyseur d'accès IAM
Pour afficher les ressources définies par l’analyseur d’accès IAM, consultez Types de ressources définis par l’analyseur d’accès IAM dans la Référence de l’autorisation de service.
Autorisations de service de l’IAM Access Analyzer requises
L’analyseur d’accès IAM utilise un rôle lié au service (SLR) IAM nommé AWSServiceRoleForAccessAnalyzer. Ce SLR accorde au service un accès en lecture seule pour analyser les ressources à l'aide de politiques basées sur les AWS ressources et analyser les accès non utilisés en votre nom. Le service crée le rôle dans votre compte dans les scénarios suivants :
-
Vous créez un analyseur d’accès externe avec votre compte comme zone de confiance.
-
Vous créez un analyseur d’accès non utilisé avec votre compte comme compte sélectionné.
-
Vous créez un analyseur d'accès interne avec votre compte comme zone de confiance.
Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour AWS Identity and Access Management Access Analyzer.
Note
L’IAM Access Analyzer est régional. Pour un accès externe et interne, vous devez activer IAM Access Analyzer dans chaque région indépendamment.
En cas d’accès non utilisé, les résultats de l’analyseur ne changent pas en fonction de la région. Il n’est pas nécessaire de créer un analyseur dans chaque région où vous disposez de ressources.
Dans certains cas, une fois que vous avez créé un analyseur dans IAM Access Analyzer, la page des résultats ou le tableau de bord se charge sans résultats ni résumé. Cela peut être dû à un retard d'affichage de vos résultats dans la console. Vous devrez peut-être actualiser manuellement le navigateur ou y revenir ultérieurement pour afficher vos résultats ou votre récapitulatif. Si vous ne voyez toujours pas de résultats pour un analyseur d’accès externe, c’est parce que vous n’avez pas de ressources prises en charge dans votre compte auxquelles une entité externe peut accéder. Si une politique qui accorde l'accès à une entité externe est appliquée à une ressource, l’IAM Access Analyzer génère un résultat.
Note
Pour les analyseurs d'accès externes, cela peut prendre jusqu'à 30 minutes après la modification d'une politique pour qu'IAM Access Analyzer analyse la ressource, puis génère un nouveau résultat ou mette à jour un résultat existant pour l'accès à la ressource.
Lorsque vous créez un analyseur d'accès interne, plusieurs minutes ou heures peuvent s'écouler avant que les résultats ne soient disponibles. Après l'analyse initiale, IAM Access Analyzer réanalyse automatiquement toutes les politiques toutes les 24 heures.
Pour tous les types d'analyseurs d'accès, les mises à jour des résultats peuvent ne pas apparaître immédiatement dans le tableau de bord.
Autorisations de l’analyseur d’accès IAM requises pour consulter le tableau de bord des résultats
Pour afficher le Tableau de bord des résultats de l’analyseur d’accès IAM, le compte que vous utilisez doit disposer d’un accès pour effectuer les actions requises suivantes :
Pour afficher toutes les actions définies par l’analyseur d’accès IAM, consultez Actions définies par l’analyseur d’accès IAM dans la Référence de l’autorisation de service.
Statut de l'IAM Access Analyzer
Pour afficher l'état de vos analyseurs, sélectionnez Analyzers (Analyseurs). Les analyseurs créés pour une organisation ou un compte peuvent avoir l'état suivant :
| État | Description |
|---|---|
|
Actif |
Pour les analyseurs d'accès externes et internes, l'analyseur surveille activement les ressources au sein de sa zone de confiance. L'analyseur génère activement de nouveaux résultats et met à jour les résultats existants. Pour les analyseurs d'accès non utilisés, l'analyseur surveille activement les accès non utilisés au sein de l'organisation sélectionnée ou pendant la Compte AWS période de suivi spécifiée. L'analyseur génère activement de nouveaux résultats et met à jour les résultats existants. |
|
Création |
La création de l'analyseur est toujours en cours. L'analyseur deviendra actif une fois la création terminée. |
|
Désactivées |
L'analyseur est désactivé suite à une action de l' AWS Organizations administrateur. Par exemple, le compte de l'analyseur en tant qu'administrateur délégué pour IAM Access Analyzer a pu être supprimé. Lorsque l’analyseur est désactivé, il ne génère pas de nouveaux résultats ou ne met pas à jour les résultats existants. |
|
Échec |
La création de l'analyseur a échoué en raison d'un problème de configuration. L'analyseur ne génère pas de résultats. Supprimez l'analyseur et créez-en un nouveau. |
