Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Commencer avec AWS Identity and Access Management Access Analyzer
Utilisez les informations de cette rubrique pour en savoir plus sur les exigences nécessaires pour utiliser et gérer AWS Identity and Access Management Access Analyzer.
## Autorisations requises pour l’utilisation de l’IAM Access Analyzer
Pour configurer et utiliser correctement l’IAM Access Analyzer, le compte que vous utilisez doit disposer des autorisations requises.
### AWS politiques gérées pour IAM Access Analyzer
AWS Identity and Access Management Access Analyzer fournit des politiques AWS gérées pour vous aider à démarrer rapidement.
+ [IAMAccessAnalyzerFullAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerFullAccess)- Permet un accès complet à IAM Access Analyzer pour les administrateurs. Cette politique permet également de créer les rôles liés au service dont l’IAM Access Analyzer a besoin pour analyser les ressources de votre compte ou AWS organisation
+ [IAMAccessAnalyzerReadOnlyAccess](https://docs.aws.amazon.com/IAM/latest/UserGuide/security-iam-awsmanpol.html#security-iam-awsmanpol-IAMAccessAnalyzerReadOnlyAccess)- Permet un accès en lecture seule à IAM Access Analyzer. Vous devez ajouter des politiques supplémentaires à vos identités IAM (utilisateurs, groupes d'utilisateurs ou rôles) pour les autoriser à afficher leurs résultats.
### Ressources définies par l'analyseur d'accès IAM
Pour afficher les ressources définies par l’analyseur d’accès IAM, consultez [Types de ressources définis par l’analyseur d’accès IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-resources-for-iam-policies) dans la *Référence de l’autorisation de service*.
### Autorisations de service de l’IAM Access Analyzer requises
L’analyseur d’accès IAM utilise un rôle lié au service (SLR) IAM nommé `AWSServiceRoleForAccessAnalyzer`. Ce SLR accorde au service un accès en lecture seule pour analyser les ressources à l'aide de politiques basées sur les AWS ressources et analyser les accès non utilisés en votre nom. Le service crée le rôle dans votre compte dans les scénarios suivants :
+ Vous créez un analyseur d’accès externe avec votre compte comme zone de confiance.
+ Vous créez un analyseur d’accès non utilisé avec votre compte comme compte sélectionné.
+ Vous créez un analyseur d’accès interne avec votre compte comme zone de confiance.
Pour de plus amples informations, veuillez consulter [Utilisation de rôles liés à un service pour AWS Identity and Access Management Access Analyzer](access-analyzer-using-service-linked-roles.md).
**Note**
L’IAM Access Analyzer est régional. Pour les accès externes et internes, vous devez activer l’analyseur d’accès IAM dans chaque région de manière indépendante.
En cas d’accès non utilisé, les résultats de l’analyseur ne changent pas en fonction de la région. Il n’est pas nécessaire de créer un analyseur dans chaque région où vous disposez de ressources.
Dans certains cas, une fois que vous avez créé un analyseur dans l’analyseur d’accès IAM, la page ou le tableau de bord des **Résultats** se charge sans résultats ni récapitulatif. Cela peut être dû à un retard d'affichage de vos résultats dans la console. Vous devrez peut-être actualiser manuellement le navigateur ou y revenir ultérieurement pour afficher vos résultats ou votre récapitulatif. Si vous ne voyez toujours pas de résultats pour un analyseur d’accès externe, c’est parce que vous n’avez pas de ressources prises en charge dans votre compte auxquelles une entité externe peut accéder. Si une politique qui accorde l'accès à une entité externe est appliquée à une ressource, l’IAM Access Analyzer génère un résultat.
**Note**
Pour les analyseurs d’accès externe, il peut s’écouler jusqu’à 30 minutes après la modification d’une politique pour que l’analyseur d’accès IAM analyse la ressource, puis génère un nouveau résultat ou met à jour un résultat existant pour l’accès à la ressource.
Lorsque vous créez un analyseur d’accès interne, plusieurs minutes ou plusieurs heures peuvent être nécessaires avant que les résultats soient disponibles. Après l’analyse initiale, l’analyseur d’accès IAM réanalyse automatiquement toutes les politiques toutes les 24 heures.
Pour tous les types d’analyseurs d’accès, les mises à jour des résultats peuvent ne pas apparaître immédiatement dans le tableau de bord.
### Autorisations de l’analyseur d’accès IAM requises pour consulter le tableau de bord des résultats
Pour afficher le [Tableau de bord des résultats de l’analyseur d’accès IAM](access-analyzer-dashboard.md), le compte que vous utilisez doit disposer d’un accès pour effectuer les actions requises suivantes :
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetAnalyzer.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_ListAnalyzers.html)
+ [https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html](https://docs.aws.amazon.com/access-analyzer/latest/APIReference/API_GetFindingsStatistics.html)
Pour afficher toutes les actions définies par l’analyseur d’accès IAM, consultez [Actions définies par l’analyseur d’accès IAM](https://docs.aws.amazon.com/service-authorization/latest/reference/list_awsiamaccessanalyzer.html#awsiamaccessanalyzer-actions-as-permissions) dans la *Référence de l’autorisation de service*.
## Statut de l'IAM Access Analyzer
Pour afficher l'état de vos analyseurs, sélectionnez **Analyzers (Analyseurs)**. Les analyseurs créés pour une organisation ou un compte peuvent avoir l'état suivant :
| Statut | Description |
| --- | --- |
| Actif | Pour les analyseurs d’accès externe et externe, l’analyseur surveille activement les ressources dans sa zone de confiance. L'analyseur génère activement de nouveaux résultats et met à jour les résultats existants. Pour les analyseurs d'accès non utilisés, l'analyseur surveille activement les accès non utilisés au sein de l'organisation sélectionnée ou pendant la Compte AWS période de suivi spécifiée. L'analyseur génère activement de nouveaux résultats et met à jour les résultats existants. |
| Création | La création de l'analyseur est toujours en cours. L'analyseur deviendra actif une fois la création terminée. |
| Désactivé | L'analyseur est désactivé suite à une action de l' AWS Organizations administrateur. Par exemple, le compte de l'analyseur en tant qu'administrateur délégué pour IAM Access Analyzer a pu être supprimé. Lorsque l’analyseur est désactivé, il ne génère pas de nouveaux résultats ou ne met pas à jour les résultats existants. |
| Échec | La création de l'analyseur a échoué en raison d'un problème de configuration. L'analyseur ne génère pas de résultats. Supprimez l'analyseur et créez-en un nouveau. |
# Création d’un analyseur d’accès IAM pour l’analyse de l’accès externe
Pour activer un analyseur d’accès externe dans une région, vous devez créer un analyseur dans cette région. Vous devez créer un analyseur d’accès externe dans chaque région dans laquelle vous souhaitez surveiller l’accès à vos ressources.
**Note**
Après avoir créé ou mis à jour un analyseur, il peut s’écouler un certain temps avant que les résultats soient disponibles.
## Créez un analyseur d'accès externe avec Compte AWS la zone de confiance
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Sélectionnez **Create Analyzer (créer un analyseur)**.
1. Dans la section **Analyse**, sélectionnez **Analyse des ressources - Accès externe**.
1. Dans la section **Informations sur l’analyseur**, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.
1. Entrez un nom pour l'analyseur.
1. Choisissez **Compte actuel** comme zone de confiance pour l’analyseur.
**Note**
Si votre compte n'est pas le compte AWS Organizations de gestion ou le compte [administrateur délégué](access-analyzer-delegated-administrator.md), vous ne pouvez créer qu'un seul analyseur avec votre compte comme zone de confiance.
1. Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.
1. Sélectionnez **Create Analyzer (créer un analyseur)**.
Lorsque vous créez un analyseur d’accès externe pour activer l’analyseur d’accès IAM, un rôle lié au service nommé `AWSServiceRoleForAccessAnalyzer` est créé dans votre compte.
## Création d’un analyseur d’accès externe avec l’organisation comme zone de confiance
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Sélectionnez **Create Analyzer (créer un analyseur)**.
1. Dans la section **Analyse**, sélectionnez **Analyse des ressources - Accès externe**.
1. Dans la section **Informations sur l’analyseur**, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.
1. Entrez un nom pour l'analyseur.
1. Choisissez **Organisation courante** comme zone de confiance pour l’analyseur.
1. Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.
1. Sélectionnez **Soumettre**.
Lorsque vous créez un analyseur d’accès externe avec l’organisation comme zone de confiance, un rôle lié au service nommé `AWSServiceRoleForAccessAnalyzer` est créé dans chaque compte de votre organisation.
# Gestion d’un analyseur d’accès IAM pour l’analyse de l’accès externe
Pour activer un analyseur d’accès externe dans une région, vous devez créer un analyseur dans cette région. Vous devez créer un analyseur d’accès externe dans chaque région dans laquelle vous souhaitez surveiller l’accès à vos ressources.
**Note**
Après avoir créé ou mis à jour un analyseur, il peut s’écouler un certain temps avant que les résultats soient disponibles.
## Mise à jour d’un analyseur d’accès externe
Utilisez la procédure suivante pour mettre à jour un analyseur d’accès externe.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Dans la section **Analyseurs**, choisissez le nom de l’analyseur d’accès externe à gérer.
1. Dans l’onglet **Règles d’archivage**, vous pouvez créer, modifier ou supprimer des règles d’archivage pour l’analyseur. Pour de plus amples informations, veuillez consulter [Règles d'archivage](access-analyzer-archive-rules.md).
1. Dans l’onglet **Balises**, vous pouvez gérer et créer des balises pour l’analyseur. Pour de plus amples informations, veuillez consulter [Tags pour les Gestion des identités et des accès AWS ressources](id_tags.md).
## Suppression d’un analyseur d’accès externe
Utilisez la procédure suivante pour supprimer un analyseur d’accès externe. Lorsque vous supprimez un analyseur, les ressources ne sont plus surveillées et aucun nouveau résultat n’est généré. Tous les résultats générés par l’analyseur sont supprimés.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Dans la section **Analyseurs**, choisissez le nom de l’analyseur d’accès externe à supprimer.
1. Choisissez **Supprimer l’analyseur**.
1. Saisissez **supprimer** et choisissez **Supprimer** pour confirmer la suppression de l’analyseur.
# Création d’un analyseur d’accès IAM pour l’analyse de l’accès interne
Pour activer un analyseur d’accès interne dans une région, vous devez créer un analyseur dans cette dernière. Vous devez créer un analyseur d’accès interne dans chaque région dans laquelle vous souhaitez surveiller l’accès à vos ressources.
L’analyseur d’accès IAM facture l’analyse des accès internes en fonction du nombre de ressources surveillées par analyseur et par mois. Pour plus d’informations sur les tarifs, consultez la [Tarification de l’analyseur d’accès IAM](https://aws.amazon.com/iam/access-analyzer/pricing).
**Note**
Après avoir créé ou mis à jour un analyseur, il peut s’écouler un certain temps avant que les résultats soient disponibles.
L’analyseur d’accès IAM ne peut pas générer de résultats d’accès internes pour les organisations qui contiennent plus de 70 000 principaux (utilisateurs et rôles IAM combinés).
Vous ne pouvez créer qu’un seul analyseur d’accès interne au niveau de l’organisation dans une organisation AWS .
## Créez un analyseur d'accès interne avec Compte AWS la zone de confiance
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Sélectionnez **Create Analyzer (créer un analyseur)**.
1. Dans la section **Analyse**, sélectionnez **Analyse des ressources - Accès interne**.
1. Dans la section **Informations sur l’analyseur**, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.
1. Entrez un nom pour l'analyseur.
1. Choisissez **Compte actuel** comme zone de confiance pour l’analyseur.
**Note**
Si votre compte n'est pas le compte AWS Organizations de gestion ou le compte [administrateur délégué](access-analyzer-delegated-administrator.md), vous ne pouvez créer qu'un seul analyseur avec votre compte comme zone de confiance.
1. Dans la section **Ressources à analyser**, ajoutez les ressources à surveiller par l’analyseur.
+ Pour ajouter des ressources par compte, choisissez **Ajouter > Ajouter des ressources à partir des comptes sélectionnés**.
1. Sélectionnez **Tous les types de ressources pris en charge** ou **Définir des types de ressources spécifiques**, puis sélectionnez les types de ressources dans la liste **Type de ressource**.
Les analyseurs d’accès internes prennent en charge les types de ressources suivants :
+ [Compartiments Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3)
+ [Compartiments du répertoire Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Instantanés de base de données service de base de données relationnelle Amazon](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Instantanés de cluster de base de données service base de données relationnelle Amazon](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Tables Amazon DynamoDB](access-analyzer-resources.md#access-analyzer-ddb-table)
1. Choisissez **Ajouter des ressources**.
+ Pour ajouter des ressources par Amazon Resource Name (ARN), sélectionnez **Ajouter des ressources > Ajouter des ressources en collant l’ARN de la ressource**.
**Note**
ARNs doivent correspondre exactement ; les caractères génériques ne sont pas pris en charge. Pour Amazon S3, seuls les compartiments ARNs sont pris en charge. L'objet ARNs et les préfixes Amazon S3 ne sont pas pris en charge.
1. Pour chaque ARN de ressource, saisissez l’ID du propriétaire du compte et l’ARN de la ressource séparés par une virgule. Saisissez un ID de propriétaire du compte et un ARN de ressource par ligne.
1. Choisissez **Ajouter des ressources**.
+ Pour ajouter des ressources à partir d’un fichier CSV, sélectionnez **Ajouter des ressources > Ajouter des ressources en chargeant un fichier CSV**.
Vous pouvez utiliser [Explorateur de ressources AWS](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) pour rechercher des ressources dans vos comptes et exporter un fichier CSV. Vous pouvez ensuite charger le fichier CSV pour configurer les ressources que l’analyseur doit surveiller.
1. Choisissez **Choisir un fichier** et sélectionnez le fichier CSV sur votre ordinateur.
1. Choisissez **Ajouter des ressources**.
1. Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.
1. Sélectionnez **Create Analyzer (créer un analyseur)**.
Lorsque vous créez un analyseur d’accès interne pour activer l’analyseur d’accès IAM, un rôle lié au service nommé `AWSServiceRoleForAccessAnalyzer` est créé dans votre compte.
## Création d’un analyseur d’accès interne avec l’organisation comme zone de confiance
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Sélectionnez **Create Analyzer (créer un analyseur)**.
1. Dans la section **Analyse**, sélectionnez **Analyse des ressources - Accès interne**.
1. Dans la section **Informations sur l’analyseur**, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.
1. Entrez un nom pour l'analyseur.
1. Choisissez **Toute l’organisation** comme zone de confiance pour l’analyseur.
1. Dans la section **Ressources à analyser**, ajoutez les ressources à surveiller par l’analyseur.
+ Pour ajouter des ressources pour le compte, choisissez **Ajouter des ressources > Ajouter des ressources à partir des comptes sélectionnés**.
1. Sélectionnez **Tous les types de ressources pris en charge** ou **Définir des types de ressources spécifiques**, puis sélectionnez les types de ressources dans la liste **Type de ressource**.
Les analyseurs d’accès internes prennent en charge les types de ressources suivants :
+ [Compartiments Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3)
+ [Compartiments du répertoire Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Instantanés de base de données service de base de données relationnelle Amazon](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Instantanés de cluster de base de données service base de données relationnelle Amazon](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Tables Amazon DynamoDB](access-analyzer-resources.md#access-analyzer-ddb-table)
1. Pour sélectionner des comptes au sein de votre organisation, choisissez **Sélectionner dans l’organisation**. Dans la section **Sélectionner les comptes**, choisissez **Hiérarchie** pour sélectionner les comptes en fonction de la structure organisationnelle ou **Liste** pour sélectionner les comptes à partir d’une liste de tous les comptes de votre organisation.
Pour saisir manuellement les comptes de votre organisation, choisissez **Enter AWS account ID**. Entrez un ou plusieurs éléments Compte AWS IDs séparés par des virgules dans le champ **ID du AWS compte**.
1. Choisissez **Ajouter des ressources**.
+ Pour ajouter des ressources par Amazon Resource Name (ARN), sélectionnez **Ajouter des ressources > Ajouter des ressources en collant l’ARN de la ressource**.
**Note**
ARNs doivent correspondre exactement ; les caractères génériques ne sont pas pris en charge. Pour Amazon S3, seuls les compartiments ARNs sont pris en charge. L'objet ARNs et les préfixes Amazon S3 ne sont pas pris en charge.
1. Pour chaque ARN de ressource, saisissez l’ID du propriétaire du compte et l’ARN de la ressource séparés par une virgule. Saisissez un ID de propriétaire du compte et un ARN de ressource par ligne.
1. Choisissez **Ajouter des ressources**.
+ Pour ajouter des ressources à partir d’un fichier CSV, sélectionnez **Ajouter des ressources > Ajouter des ressources en chargeant un fichier CSV**.
Vous pouvez utiliser [Explorateur de ressources AWS](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) pour rechercher des ressources dans vos comptes et exporter un fichier CSV. Vous pouvez ensuite charger le fichier CSV pour configurer les ressources que l’analyseur doit surveiller.
1. Choisissez **Choisir un fichier** et sélectionnez le fichier CSV sur votre ordinateur.
1. Choisissez **Ajouter des ressources**.
1. Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.
1. Sélectionnez **Soumettre**.
Lorsque vous créez un analyseur d’accès interne avec l’organisation comme zone de confiance, un rôle lié au service nommé `AWSServiceRoleForAccessAnalyzer` est créé dans chaque compte de votre organisation.
# Gestion d’un analyseur d’accès IAM pour l’analyse de l’accès interne
Pour activer un analyseur d’accès interne dans une région, vous devez créer un analyseur dans cette dernière. Vous devez créer un analyseur d’accès interne dans chaque région dans laquelle vous souhaitez surveiller l’accès à vos ressources.
**Note**
Après avoir créé ou mis à jour un analyseur, il peut s’écouler un certain temps avant que les résultats soient disponibles.
## Mise à jour d’un analyseur d’accès interne
Utilisez la procédure suivante pour mettre à jour un analyseur d’accès interne.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Dans la section **Analyseurs**, choisissez le nom de l’analyseur d’accès interne à gérer.
1. Dans l’onglet **Règles d’archivage**, vous pouvez créer, modifier ou supprimer des règles d’archivage pour l’analyseur. Pour de plus amples informations, veuillez consulter [Règles d'archivage](access-analyzer-archive-rules.md).
1. Dans l’onglet **Balises**, vous pouvez gérer et créer des balises pour l’analyseur. Pour de plus amples informations, veuillez consulter [Tags pour les Gestion des identités et des accès AWS ressources](id_tags.md).
1. Dans l’onglet **Ressources**, choisissez **Modifier** dans la section **Ressources à analyser**.
1. Pour ajouter des ressources par compte, choisissez **Ajouter des ressources > Ajouter des ressources à partir des comptes sélectionnés**.
1. Sélectionnez **Tous les types de ressources pris en charge** ou **Définir des types de ressources spécifiques**, puis sélectionnez les types de ressources dans la liste **Type de ressource**.
Les analyseurs d’accès internes prennent en charge les types de ressources suivants :
+ [Compartiments Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3)
+ [Compartiments du répertoire Amazon Simple Storage Service](access-analyzer-resources.md#access-analyzer-s3-directory)
+ [Instantanés de base de données service de base de données relationnelle Amazon](access-analyzer-resources.md#access-analyzer-rds-db)
+ [Instantanés de cluster de base de données service base de données relationnelle Amazon](access-analyzer-resources.md#access-analyzer-rds-db-cluster)
+ [Amazon DynamoDB Streams](access-analyzer-resources.md#access-analyzer-ddb-stream)
+ [Tables Amazon DynamoDB](access-analyzer-resources.md#access-analyzer-ddb-table)
1. Choisissez **Ajouter des ressources**.
1. Pour ajouter des ressources par Amazon Resource Name (ARN), sélectionnez **Ajouter des ressources > Ajouter des ressources en collant l’ARN de la ressource**.
**Note**
ARNs doivent correspondre exactement ; les caractères génériques ne sont pas pris en charge. Pour Amazon S3, seuls les compartiments ARNs sont pris en charge. L'objet ARNs et les préfixes Amazon S3 ne sont pas pris en charge.
1. Pour chaque ARN de ressource, saisissez l’ID du propriétaire du compte et l’ARN de la ressource séparés par une virgule. Saisissez un ID de propriétaire du compte et un ARN de ressource par ligne.
1. Choisissez **Ajouter des ressources**.
1. Pour ajouter des ressources à partir d’un fichier CSV, sélectionnez **Ajouter des ressources > Ajouter des ressources en chargeant un fichier CSV**.
Vous pouvez utiliser [Explorateur de ressources AWS](https://docs.aws.amazon.com/resource-explorer/latest/userguide/using-search.html) pour rechercher des ressources dans vos comptes et exporter un fichier CSV. Vous pouvez ensuite charger le fichier CSV pour configurer les ressources que l’analyseur doit surveiller.
1. Choisissez **Choisir un fichier** et sélectionnez le fichier CSV sur votre ordinateur.
1. Choisissez **Ajouter des ressources**.
1. Pour supprimer des ressources de l’analyseur, cochez la case en regard des ressources à supprimer, puis sélectionnez **Supprimer**.
1. Sélectionnez **Enregistrer les modifications**.
**Note**
Toute mise à jour de l’analyseur sera évaluée lors de la prochaine analyse automatique dans les 24 heures.
## Suppression d’un analyseur d’accès interne
Utilisez la procédure suivante pour supprimer un analyseur d’accès interne. Lorsque vous supprimez un analyseur, les ressources ne sont plus surveillées et aucun nouveau résultat n’est généré. Tous les résultats générés par l’analyseur sont supprimés.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Dans la section **Analyseurs**, choisissez le nom de l’analyseur d’accès interne à supprimer.
1. Choisissez **Supprimer l’analyseur**.
1. Saisissez **supprimer** et choisissez **Supprimer** pour confirmer la suppression de l’analyseur.
# Création d’un analyseur d’accès IAM pour l’analyse de l’accès non utilisé
## Création d’un analyseur d’accès non utilisé pour le compte actuel
Suivez la procédure suivante pour créer un analyseur d’accès non utilisé pour un seul Compte AWS. En cas d’accès non utilisé, les résultats de l’analyseur ne changent pas en fonction de la région. Il n’est pas nécessaire de créer un analyseur dans chaque région où vous disposez de ressources.
L’analyseur d’accès IAM facture l’analyse des accès non utilisés en fonction du nombre de rôles et d’utilisateurs IAM analysés par mois et par analyseur. Pour plus d’informations sur les tarifs, consultez la [Tarification de l’analyseur d’accès IAM](https://aws.amazon.com/iam/access-analyzer/pricing).
**Note**
Après avoir créé ou mis à jour un analyseur, il peut s’écouler un certain temps avant que les résultats soient disponibles.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Sélectionnez **Create Analyzer (créer un analyseur)**.
1. Dans la section **Analyse**, sélectionnez **Analyse principale - Accès non utilisé**.
1. Entrez un nom pour l'analyseur.
1. Pour **Période de suivi**, saisissez le nombre de jours d’analyse. L’analyseur évaluera uniquement les autorisations des entités IAM du compte sélectionné qui ont existé pendant toute la période de suivi. Par exemple, si vous définissez une période de suivi de 90 jours, seules les autorisations datant d’au moins 90 jours seront analysées, et les résultats seront générés s’ils ne montrent aucune utilisation pendant cette période. Vous pouvez saisir une valeur comprise entre 1 et 365 jours.
1. Dans la section **Informations sur l’analyseur**, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.
1. Pour **Comptes sélectionnés**, choisissez **Compte actuel**.
**Note**
Si votre compte n'est pas le compte AWS Organizations de gestion ou le compte [administrateur délégué](access-analyzer-delegated-administrator.md), vous ne pouvez créer qu'un seul analyseur avec votre compte comme compte sélectionné.
1. Facultatif. Dans la section **Exclure les personnes et les rôles IAM à l’aide de balises**, vous pouvez spécifier des paires clé-valeur pour les utilisateurs et les rôles IAM à exclure de l’analyse des accès non utilisés. Les résultats ne seront pas générés pour les utilisateurs IAM et les rôles exclus correspondant aux paires clé-valeur. Pour la **clé de balise**, saisissez une valeur comprise entre 1 et 128 caractères. Elle ne peut pas commencer par `aws:`. Pour la **valeur**, vous pouvez spécifier une valeur comprise entre 0 et 256 caractères. Si vous ne saisissez pas de **valeur**, la règle est appliquée à tous les principaux ayant la **clé de balise** spécifiée. Choisissez **Ajouter une nouvelle exclusion** pour ajouter des paires clé-valeur supplémentaires à exclure.
1. Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.
1. Sélectionnez **Create Analyzer (créer un analyseur)**.
Lorsque vous créez un analyseur d’accès non utilisé pour activer l’analyseur d’accès IAM, un rôle lié au service nommé `AWSServiceRoleForAccessAnalyzer` est créé dans votre compte.
## Création d’un analyseur d’accès non utilisé avec l’organisation actuelle
Utilisez la procédure suivante pour créer un analyseur d'accès inutilisé permettant à une organisation de passer Comptes AWS en revue de manière centralisée l'ensemble de l'organisation. Pour l’analyse des accès non utilisés, les résultats de l’analyseur ne changent pas en fonction de la région. Il n’est pas nécessaire de créer un analyseur dans chaque région où vous disposez de ressources.
L’analyseur d’accès IAM facture l’analyse des accès non utilisés en fonction du nombre de rôles et d’utilisateurs IAM analysés par mois et par analyseur. Pour plus d’informations sur les tarifs, consultez la [Tarification de l’analyseur d’accès IAM](https://aws.amazon.com/iam/access-analyzer/pricing).
**Note**
Si le compte d’un membre est supprimé de l’organisation, l’analyseur d’accès non utilisé cessera de générer de nouveaux résultats et de mettre à jour les résultats existants pour ce compte au bout de 24 heures. Les résultats associés au compte membre supprimé de l’organisation seront définitivement supprimés après 90 jours.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Sélectionnez **Create Analyzer (créer un analyseur)**.
1. Dans la section **Analyse**, sélectionnez **Analyse principale - Accès non utilisé**.
1. Entrez un nom pour l'analyseur.
1. Pour **Période de suivi**, saisissez le nombre de jours d’analyse. L’analyseur évaluera uniquement les autorisations des entités IAM au sein des comptes de l’organisation sélectionnée qui ont existé pendant toute la période de suivi. Par exemple, si vous définissez une période de suivi de 90 jours, seules les autorisations datant d’au moins 90 jours seront analysées, et les résultats seront générés s’ils ne montrent aucune utilisation pendant cette période. Vous pouvez saisir une valeur comprise entre 1 et 365 jours.
1. Dans la section **Informations sur l’analyseur**, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.
1. Pour **Comptes sélectionnés**, choisissez **Organisation actuelle**.
1. Facultatif. Dans la section **Exclure Comptes AWS de l'analyse**, vous pouvez choisir Comptes AWS dans votre organisation d'exclure de l'analyse des accès non utilisés. Les résultats ne seront pas générés pour les comptes exclus.
1. Pour spécifier le compte individuel IDs à exclure, choisissez **Spécifier l' Compte AWS ID** et entrez le compte IDs séparé par des virgules dans le champ **Compte AWS ID**. Choisissez **Exclure**. Les comptes sont ensuite répertoriés dans le tableau **Comptes AWS à exclure**.
1. Pour choisir parmi une liste des comptes de votre organisation à exclure, sélectionnez **Choisir parmi l’organisation**.
1. Vous pouvez rechercher des comptes par nom, e-mail et ID de compte dans le champ **Exclusion de comptes de l’organisation**.
1. Choisissez **Hiérarchie** pour afficher vos comptes par unité d’organisation ou choisissez **Liste** pour afficher la liste de tous les comptes de votre organisation.
1. Choisissez **Exclure tous les comptes actuels** pour exclure tous les comptes d’une unité d’organisation ou choisissez **Exclure** pour exclure des comptes un par un.
Les comptes sont ensuite répertoriés dans le tableau **Comptes AWS à exclure**.
**Note**
Le compte propriétaire de l’analyseur d’organisation ne peut pas être l’un des comptes exclus. Lorsque de nouveaux comptes sont ajoutés à votre organisation, ils ne sont pas exclus de l’analyse, même si vous avez précédemment exclu tous les comptes actuels d’une unité d’organisation. Pour plus d’informations sur l’exclusion de comptes après la création d’un analyseur d’accès non utilisé, consultez [Gestion d’un analyseur d’accès IAM pour l’analyse de l’accès non utilisé](access-analyzer-manage-unused.md).
1. Facultatif. Dans la section **Exclure les personnes et les rôles IAM à l’aide de balises**, vous pouvez spécifier des paires clé-valeur pour les utilisateurs et les rôles IAM à exclure de l’analyse des accès non utilisés. Les résultats ne seront pas générés pour les utilisateurs IAM et les rôles exclus correspondant aux paires clé-valeur. Pour la **clé de balise**, saisissez une valeur comprise entre 1 et 128 caractères. Elle ne peut pas commencer par `aws:`. Pour la **valeur**, vous pouvez spécifier une valeur comprise entre 0 et 256 caractères. Si vous ne saisissez pas de **valeur**, la règle est appliquée à tous les principaux ayant la **clé de balise** spécifiée. Choisissez **Ajouter une nouvelle exclusion** pour ajouter des paires clé-valeur supplémentaires à exclure.
1. Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.
1. Sélectionnez **Create Analyzer (créer un analyseur)**.
Lorsque vous créez un analyseur d’accès non utilisé pour activer l’analyseur d’accès IAM, un rôle lié au service nommé `AWSServiceRoleForAccessAnalyzer` est créé dans votre compte.
# Gestion d’un analyseur d’accès IAM pour l’analyse de l’accès non utilisé
Utilisez les informations de cette rubrique pour apprendre à mettre à jour ou supprimer un analyseur d’accès non utilisé.
**Note**
Après avoir créé ou mis à jour un analyseur, il peut s’écouler un certain temps avant que les résultats soient disponibles.
## Mise à jour d’un analyseur d’accès non utilisé
Utilisez la procédure suivante pour mettre à jour un analyseur d’accès non utilisé.
L’analyseur d’accès IAM facture l’analyse des accès non utilisés en fonction du nombre de rôles et d’utilisateurs IAM analysés par mois et par analyseur. Pour plus d’informations sur les tarifs, consultez la [Tarification de l’analyseur d’accès IAM](https://aws.amazon.com/iam/access-analyzer/pricing).
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Dans la section **Analyseurs**, choisissez le nom de l’analyseur d’accès non utilisé à gérer.
1. Dans l’onglet **Exclusion**, si l’analyseur a été créé pour une organisation comme champ d’analyse, choisissez **Gérer** dans la section ** Comptes AWS exclus**.
1. Pour spécifier le compte individuel IDs à exclure, choisissez **Spécifier l' Compte AWS ID** et entrez le compte IDs séparé par des virgules dans le champ **Compte AWS ID**. Choisissez **Exclure**. Les comptes sont ensuite répertoriés dans le tableau **Comptes AWS à exclure**.
1. Pour choisir parmi une liste des comptes de votre organisation à exclure, sélectionnez **Choisir parmi l’organisation**.
1. Vous pouvez rechercher des comptes par nom, e-mail et ID de compte dans le champ **Exclusion de comptes de l’organisation**.
1. Choisissez **Hiérarchie** pour afficher vos comptes par unité d’organisation ou choisissez **Liste** pour afficher la liste de tous les comptes de votre organisation.
1. Choisissez **Exclure tous les comptes actuels** pour exclure tous les comptes d’une unité d’organisation ou choisissez **Exclure** pour exclure des comptes un par un.
Les comptes sont ensuite répertoriés dans le tableau **Comptes AWS à exclure**.
1. Pour supprimer les comptes à exclure, choisissez **Supprimer** à côté du compte dans le tableau **Comptes AWS à exclure**.
1. Sélectionnez **Enregistrer les modifications**.
**Note**
Le compte propriétaire de l’analyseur d’organisation ne peut pas être l’un des comptes exclus.
Lorsque de nouveaux comptes sont ajoutés à votre organisation, ils ne sont pas exclus de l’analyse, même si vous avez précédemment exclu tous les comptes actuels d’une unité d’organisation.
Après avoir mis à jour les exclusions d’un analyseur, la mise à jour de la liste des comptes exclus peut prendre jusqu’à deux jours.
1. Dans l’onglet **Exclusion**, choisissez **Gérer** dans la section **Utilisateurs et rôles IAM exclus avec des balises**.
1. Vous pouvez spécifier des paires clé-valeur pour les utilisateurs et les rôles IAM à exclure de l’analyse des accès non utilisés. Pour la **clé de balise**, saisissez une valeur comprise entre 1 et 128 caractères. Elle ne peut pas commencer par `aws:`. Pour la **valeur**, vous pouvez spécifier une valeur comprise entre 0 et 256 caractères. Si vous ne saisissez pas de **valeur**, la règle est appliquée à tous les principaux ayant la **clé de balise** spécifiée.
1. Choisissez **Ajouter une nouvelle exclusion** pour ajouter des paires clé-valeur supplémentaires à exclure.
1. Pour supprimer les paires clé-valeur à exclure, choisissez **Supprimer** en regard de la paire clé-valeur.
1. Sélectionnez **Enregistrer les modifications**.
1. Dans l’onglet **Règles d’archivage**, vous pouvez créer, modifier ou supprimer des règles d’archivage pour l’analyseur. Pour de plus amples informations, veuillez consulter [Règles d'archivage](access-analyzer-archive-rules.md).
1. Dans l’onglet **Balises**, vous pouvez gérer et créer des balises pour l’analyseur. Pour de plus amples informations, veuillez consulter [Tags pour les Gestion des identités et des accès AWS ressources](id_tags.md).
## Suppression d’un analyseur d’accès non utilisé
Suivez la procédure suivante pour supprimer un analyseur d’accès non utilisé. Lorsque vous supprimez un analyseur, les ressources ne sont plus surveillées et aucun nouveau résultat n’est généré. Tous les résultats générés par l’analyseur sont supprimés.
1. Ouvrez la console IAM à l’adresse [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/).
1. Sous **Analyseur d’accès**, sélectionnez **Accès non utilisé**.
1. Sous **Analyseur d’accès**, sélectionnez **Paramètres de l’analyseur**.
1. Dans la section **Analyseurs**, choisissez le nom de l’analyseur d’accès non utilisé à supprimer.
1. Choisissez **Supprimer l’analyseur**.
1. Saisissez **supprimer** et choisissez **Supprimer** pour confirmer la suppression de l’analyseur.