Génération d'une politique IAM Access Analyzer - AWS Identity and Access Management
Processus de génération de politiqueInformations de niveau service et actionÀ savoirAutorisations nécessairesGénérer une politique basée sur l'activité CloudTrail (console)Générer une politique en utilisant des données AWS CloudTrail dans un autre compteGénérer une politique basée sur l'activité CloudTrail (AWS CLI)Générer une politique basée sur l'activité CloudTrail (API AWS)

Génération d'une politique IAM Access Analyzer

En tant qu'administrateur ou développeur, vous pouvez octroyer plus d'autorisations à des entités IAM (utilisateurs ou rôles) qu'elle n'en ont besoin. IAM propose plusieurs options pour vous aider à affiner les autorisations que vous octroyez. Une option consiste à générer une politique IAM basée sur une activité d'accès pour une entité. IAM Access Analyzer passe en revue vos journaux AWS CloudTrail et génère un modèle de politique contenant les autorisations utilisées par le rôle dans la plage de dates spécifiée. Vous pouvez utiliser le modèle pour créer une politique avec des autorisations précises qui accordent uniquement les autorisations requises pour prendre en charge votre cas d'utilisation spécifique.

Rubriques

Processus de génération de politique

L'analyseur d'accès IAM analyse vos événements CloudTrail pour identifier les actions et les services qui ont été utilisés par une entité IAM (utilisateur ou rôle). Il génère ensuite une politique IAM basée sur cette activité. Vous pouvez ajuster les autorisations d'une entité en remplaçant la politique d'autorisations étendues attachée à l'entité par la politique générée. Voici un aperçu général du processus de génération de politique.

  • Configurer pour générer des modèles de politique : vous spécifiez une période allant jusqu'à 90 jours durant laquelle IAM Access Analyzer analyse vos événements AWS CloudTrail historiques. Vous devez spécifier un rôle de service existant ou en créer un nouveau. Le rôle de service accorde à l'analyseur d'accès IAM l'accès à votre piste CloudTrail et aux informations du dernier service auxquelles vous avez accédé afin d'identifier les services et les actions qui ont été utilisés. Vous devez spécifier la piste CloudTrail qui enregistre les événements pour le compte avant de pouvoir générer une politique. Pour de plus amples informations sur les quotas de l'analyseur d'accès IAM pour les données CloudTrail, veuillez consulter quotas IAM Access Analyzer.

  • Générer une politique : IAM Access Analyzer génère une politique basée sur l'activité d'accès dans vos événements CloudTrail.

  • Examiner et personnaliser la politique : Une fois la politique générée, vous pouvez consulter les services et actions qui ont été utilisés par l'entité pendant la plage de dates spécifiée. Vous pouvez personnaliser davantage la politique en ajoutant ou en supprimant des autorisations, en spécifiant des ressources et en ajoutant des conditions au modèle de politique.

  • Créer et attacher une politique : Vous avez la possibilité d'enregistrer la politique générée en créant une politique gérée. Vous pouvez attacher la politique que vous créez à l'utilisateur ou au rôle dont l'activité a été utilisée pour générer la politique.

Informations de niveau service et action

Lorsque IAM Access Analyzer génère une politique IAM, des informations sont renvoyées pour vous aider à la personnaliser. Deux catégories d'informations peuvent être renvoyées lorsqu'une politique est générée :

  • Politique avec des informations de niveau action : pour certains services d’AWS, tels qu'Amazon EC2, IAM Access Analyzer peut identifier et définir les actions dans vos événements CloudTrail et répertorie les actions utilisées dans la politique générée. Pour obtenir la liste des services pris en charge, consultez Services de génération d'une politique d'Analyseur d'accès IAM. Pour certains services, IAM Access Analyzer vous invite à ajouter des actions pour les services à la politique générée.

  • Politique avec des informations de niveau service : IAM Access Analyzer utilise les informations relatives aux derniers services consultés pour créer un modèle de politique avec tous les services récemment utilisés. Lorsque vous utilisez le AWS Management Console, nous vous invitons à consulter les services et à ajouter des actions pour compléter la politique.

Pour obtenir une liste des actions de chaque service, veuillez consulter Actions, ressources et clés de condition pour services AWS dans le document Référence des autorisations de service.

Points à noter sur la génération de politiques

Avant de générer une politique, veuillez consulter les conseils clés suivants.

  • Activer une piste CloudTrail : Vous devez avoir une piste CloudTrail activée pour que votre compte génère une politique basée sur l'activité d'accès. Lorsque vous créez une piste CloudTrail, CloudTrail envoie les événements liés à votre piste à un compartiment Amazon S3 que vous spécifiez. Pour savoir comment créer une piste CloudTrail, consultez la rubrique Création d'une piste pour votre compte AWS dans le Guide de l'utilisateur AWS CloudTrail CloudTrail.

  • Événements de données non disponibles : l'analyseur d'accès IAM n'identifie pas l'activité au niveau action pour les événements de données, tels que les événements de données Amazon S3, dans les politiques générées.

  • PassRole : l'action iam:PassRole n'est pas suivie par CloudTrail et n'est pas incluse dans les politiques générées.

  • Réduire le temps de génération des politiques– Pour générer une politique plus rapidement, réduisez la plage de dates spécifiée lors de la configuration.

  • Utiliser CloudTrail pour l'audit : N'utilisez pas la génération de politique à des fins d'audit ; utilisez plutôt CloudTrail. Pour de plus amples informations sur l'utilisation de CloudTrail, veuillez consulter la rubrique Journalisation des appels d'API AWS STS et IAM avec AWS CloudTrail.

  • Actions refusées : la génération de politiques passe en revue tous les événements CloudTrail, y compris les actions refusées.

  • Une politique par console IAM : Vous pouvez générer une politique à la fois dans la console IAM.

  • Disponibilité des politiques générées dans la console IAM : Vous pouvez consulter une politique générée dans la console IAM pendant 7 jours au maximum après sa génération. Après 7 jours, vous devez générer une nouvelle politique.

  • Quotas de génération de politiques : pour plus d'informations sur les quotas de génération de politiques d'analyseur d'accès IAM, veuillez consulter Quotas IAM Access Analyzer.

  • Les tarifs standard Amazon S3 s'appliquent : lorsque vous utilisez la fonction de génération de politiques, l'analyseur d'accès IAM passe en revue les journaux CloudTrail dans votre compartiment S3. Il n'y a aucuns frais de stockage supplémentaire pour accéder à vos journaux CloudTrail pour la génération de politiques. AWS facture les tarifs Amazon S3 standard pour les demandes et le transfert de données des journaux CloudTrail stockés dans votre compartiment S3.

  • Support AWS Control Tower : la génération de politiques ne prend pas en charge l’utilisation des traces AWS CloudTrail qu’AWS Control Tower créé lors de la génération de politiques, pour les raisons suivantes :

    • Les données CloudTrail de l’organisation sont enregistrées dans un autre compte, le compte AWS Control Tower Log Archive.

    • Les autorisations pour le compartiment S3 où ces journaux sont stockés ne peuvent pas être reconfigurées en raison des restrictions imposées au compartiment de journalisation S3 par les politiques de contrôle des services (SCP) d’AWS Control Tower.

Autorisations nécessaires pour générer une politique

Les autorisations dont vous avez besoin pour générer une politique pour la première fois diffèrent de celles dont vous avez besoin pour générer une politique les fois suivantes. Pour de plus amples informations, consultez Démarrer avec AWS Identity and Access Management Access Analyzer.

Première configuration

Lorsque vous générez une politique pour la première fois, vous devez choisir un rôle de service existant approprié dans votre compte ou créer un nouveau rôle de service. Le rôle de service accorde à l'analyseur d'accès IAM l'accès aux informations de services récemment accédés dans votre compte CloudTrail. Seuls les administrateurs doivent disposer des autorisations nécessaires pour créer et configurer des rôles. Par conséquent, nous recommandons qu'un administrateur crée le rôle de service lors de la première installation. Pour en savoir plus sur les autorisations requises pour créer des rôles de service, veuillez consulter Création d’un rôle pour la délégation d’autorisations à un serviceAWS.

Lorsque vous créez un rôle de service, vous configurez deux politiques pour ce rôle. Vous attachez une politique d'autorisations IAM au rôle qui spécifie ce que le rôle peut faire. Vous lui attachez également une politique d'approbation de rôle, qui spécifie le principal qui peut utiliser le rôle.

Le premier exemple de politique correspond à une politique d'autorisations à attacher au rôle de service requis pour générer une politique. Le deuxième exemple de politique correspond à une politique d'approbation de rôle à attacher au rôle de service. Vous pouvez utiliser ces politiques pour vous aider à créer un rôle de service lorsque vous utilisez l'API AWS ou AWS CLI pour générer une politique. Lorsque vous utilisez la console IAM pour créer un rôle de service dans le cadre du processus de génération de politique, nous générons ces politiques pour vous.

JSON
{
    "Version":"2012-10-17",		 	 	 		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudtrail:GetTrail",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetServiceLastAccessedDetails",
                "iam:GenerateServiceLastAccessedDetails"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

L'exemple de politique suivant correspond à une politique d'approbation de rôle avec les autorisations permettant à IAM Access Analyzer d'endosser le rôle.

JSON
{
  "Version":"2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "access-analyzer.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
Utilisations ultérieures

Pour générer des politiques dans la AWS Management Console, un utilisateur IAM doit disposer d'une politique d'autorisations qui lui permet de passer le rôle de service utilisé pour la génération de politique à IAM Access Analyzer. iam:PassRole est généralement accompagné par iam:GetRole de sorte que l'utilisateur puisse obtenir les détails du rôle à passer. Dans cet exemple, l'utilisateur peut transférer uniquement les rôles qui existent dans le compte spécifié avec des noms qui commencent par AccessAnalyzerMonitorServiceRole*. Pour en savoir plus sur la transmission de rôles IAM à des services AWS, veuillez consulter Octroi d’autorisations à un utilisateur pour transférer un rôle à un service AWS.

JSON
{
  "Version":"2012-10-17",		 	 	 		 	 	 
  "Statement": [
    {
      "Sid": "AllowUserToPassRole",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/AccessAnalyzerMonitorServiceRole*"
    }
  ]
}

Vous devez également disposer des autorisations IAM Access Analyzer suivantes pour générer des politiques dans la AWS Management Console, l'API AWS ou la AWS CLI comme indiqué dans l'instruction de politique suivante.

{
  "Sid": "AllowUserToGeneratePolicy",
  "Effect": "Allow",
  "Action": [
    "access-analyzer:CancelPolicyGeneration",
    "access-analyzer:GetGeneratedPolicy",
    "access-analyzer:ListPolicyGenerations",
    "access-analyzer:StartPolicyGeneration"
  ],
  "Resource": "*"
}
Pour la première fois et les utilisations ultérieures

Lorsque vous utilisez la AWS Management Console pour générer une politique, vous devez disposer de l'autorisation cloudtrail:ListTrails pour répertorier les pistes CloudTrail de votre compte, comme indiqué dans l'instruction de politique suivante.

{
  "Sid": "AllowUserToListTrails",
  "Effect": "Allow",
  "Action": [
    "CloudTrail:ListTrails"
  ],
  "Resource": "*"
}

Générer une politique basée sur l'activité CloudTrail (console)

Vous pouvez générer une politique pour un utilisateur ou un rôle IAM.

Étape 1 : Générer une politique basée sur l'activité CloudTrail

La procédure suivante explique comment générer une politique pour un rôle à l'aide de la AWS Management Console.

Générer une politique pour un rôle IAM

  1. Connectez-vous à l'outil AWS Management Console, puis ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le panneau de navigation de gauche, sélectionnez Roles (Rôles).

    Note

    Les étapes à suivre pour générer une politique basée sur l'activité d'un utilisateur IAM sont presque identiques. Dans ce cas, sélectionnez Users (Utilisateurs) au lieu de Roles (Rôles).

  3. Dans la liste des rôles de votre compte, sélectionnez le nom du rôle dont vous souhaitez utiliser l'activité pour générer une politique.

  4. Sous l'onglet Permissions (Autorisations), dans la section Generate policy based on CloudTrail events (Générer une politique basée sur des événements CloudTrail), sélectionnez Generate policy (Générer une politique).

  5. Sur la page Generate policy (Générer une politique), spécifiez la période pendant laquelle vous souhaitez que IAM Access Analyzer analyse vos événements CloudTrail pour les actions effectuées avec le rôle. Vous pouvez choisir une plage allant jusqu'à 90 jours. Nous vous recommandons de choisir la période la plus courte possible afin de réduire le temps de génération de politique.

  6. Dans la section Accès CloudTrail, sélectionnez un rôle existant approprié ou créez un rôle s'il n'existe pas de rôle approprié. Le rôle accorde à IAM Access Analyzer les autorisations nécessaires pour accéder à vos données CloudTrail en votre nom, afin d'examiner l'activité d'accès et d'identifier les services et actions qui ont été utilisés. Pour en savoir plus sur les autorisations requises pour ce rôle, veuillez consulter Autorisations nécessaires pour générer une politique.

  7. Dans la section CloudTrail trail to be analyzed (Piste Cloudtrail à analyser), spécifiez la piste CloudTrail qui consigne les événements pour le compte.

    Si vous sélectionnez une piste CloudTrail qui stocke les journaux dans un autre compte, une zone d'informations sur l'accès intercompte s'affiche. L'accès intercompte nécessite une configuration supplémentaire. Pour en savoir plus, veuillez consulter Choose a role for cross-account access plus loin dans cette rubrique.

  8. Sélectionnez Generate policy (Générer une politique).

  9. Lorsque la génération de politique est en cours, vous revenez à la page Roles Summary (Récapitulatif des rôles) sous l'onglet Permissions (Autorisations). Attendez que le statut de la section Policy request details (Détails de la demande de politique) affiche Success (Succès), puis sélectionnez View generated policy (Afficher la politique générée). Vous pouvez afficher la politique générée pendant sept jours au maximum. Si vous générez une autre politique, la politique existante est remplacée par la nouvelle politique que vous générez.

Étape 2 : Examiner les autorisations et ajouter des actions pour les services utilisés

Examinez les services et les mesures que l'analyseur d'accès IAM a constaté être utilisés par le rôle. Vous pouvez ajouter des actions pour tous les services qui ont été utilisés dans le modèle de politique généré.

  1. Examinez les sections suivantes :

    • Sur la page Review permissions (Vérifier les autorisations), veuillez consulter la liste des Actions included in the generated policy (Actions incluses dans la politique générée). La liste affiche les services et actions que l'analyseur d'accès IAM a constaté être utilisés par le rôle dans la plage de dates spécifiée.

    • La section Services used (Services utilisés) affiche les services supplémentaires que l'analyseur d'accès IAM a constaté être utilisés par le rôle dans la plage de dates spécifiée. Il est possible que les informations sur les actions utilisées ne soient pas disponibles pour les services répertoriés dans cette section. Utilisez les menus de chaque service répertorié pour choisir manuellement les actions à inclure dans la politique.

  2. Lorsque vous avez terminé d'ajouter des actions, cliquez sur Next (Suivant).

Étape 3 : Personnaliser la politique générée

Vous pouvez personnaliser la politique en ajoutant ou en supprimant des autorisations ou en spécifiant des ressources.

Pour personnaliser la politique générée

  1. Mettez à jour le modèle de politique. Le modèle de politique contient des espaces réservés ARN de ressource pour les actions qui prennent en charge les autorisations au niveau des ressources, comme illustré dans l'image suivante. Les autorisations au niveau des ressources font référence à la possibilité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à exécuter des actions. Nous vous recommandons d'utiliser des ARN pour spécifier vos ressources individuelles dans la politique pour les actions qui prennent en charge les autorisations au niveau des ressources. Vous pouvez remplacer les ARN de ressource d'espace réservé par des ARN de ressources valides pour votre cas d'utilisation.

    Si une action ne prend pas en charge les autorisations au niveau des ressources, utilisez un caractère générique (*) pour spécifier que toutes les ressources peuvent être concernées par l'action. Pour savoir quels services AWS prennent en charge les autorisations au niveau des ressources, veuillez consulter Services AWS qui fonctionnent avec IAM. Pour obtenir la liste des actions dans chaque service et pour savoir quelles actions prennent en charge les autorisations au niveau des ressources, veuillez consulter Actions, ressources et clés de condition pour les services AWS.

    Espace réservé ARN de ressource dans le modèle de politique

  2. (Facultatif) Ajoutez, modifiez ou supprimez des instructions de politique JSON dans le modèle. Pour en savoir plus sur l'écriture de politiques JSON, veuillez consulter Creating IAM policies (Création de politiques IAM) (console).

  3. Lorsque vous avez terminé de personnaliser le modèle de politique, vous disposez des options suivantes :

    • (Facultatif) Vous pouvez copier le JSON dans le modèle pour l'utiliser séparément en dehors de la page Generated policy (Politique générée). Par exemple, si vous souhaitez utiliser le JSON pour créer une politique dans un autre compte. Si la politique de votre modèle dépasse la limite de 6 144 caractères pour les politiques JSON, la politique est divisée en plusieurs politiques.

    • Cliquez sur Next (Suivant) pour consulter et créer une politique gérée dans le même compte.

Étape 4 : Examiner et créer une politique gérée

Si vous disposez des autorisations nécessaires pour créer et attacher des politiques IAM, vous pouvez créer une politique gérée à partir de la politique qui a été générée. Vous pouvez ensuite attacher la politique à un utilisateur ou à un rôle de votre compte.

Pour examiner et créer une politique

  1. Dans la page Review and create managed policy (Examiner et créer une politique), spécifiez un nom sous Name et une Description (facultatif) pour la politique que vous êtes en train de créer.

  2. (Facultatif) Dans la section Summary (Résumé), vous pouvez consulter les autorisations qui seront incluses dans la politique.

  3. (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour de plus amples informations sur l'utilisation de balises dans IAM, veuillez consulter Balisage des ressources IAM.

  4. Lorsque vous avez terminé, effectuez l'une des opérations suivantes :

    • Vous pouvez attacher la nouvelle politique directement au rôle qui a été utilisé pour générer la politique. Pour ce faire, en bas de la page, activez la case à cocher en regard de Attacher la politique à YourRoleName. Ensuite, sélectionnez Create and attach policy (Créer et attacher une politique).

    • Sinon, cliquez sur Create policy (Créer une politique). Vous trouverez la politique que vous avez créée dans la liste des politiques du panneau de navigation Policies (Politiques) de la console IAM.

  5. Vous pouvez attacher la politique que vous avez créée à une entité de votre compte. Après avoir attaché la politique, vous pouvez supprimer toute autre politique trop étendue qui pourrait être attachée à l'entité. Pour savoir comment attacher une politique gérée, veuillez consulter Adding IAM identity permissions (Ajout d'autorisations d'identité IAM) (console).

Générer une politique en utilisant des données AWS CloudTrail dans un autre compte

Vous pouvez créer des pistes CloudTrail qui stockent des données dans des comptes centraux afin de rationaliser les activités de gouvernance. Par exemple, vous pouvez utiliser AWS Organizations pour créer une piste qui journalise tous les événements pour tous les Comptes AWS dans cette organisation. La piste appartient à un compte central. Si vous voulez générer une politique pour un utilisateur ou un rôle dans un compte différent de celui qui stocke les données du journal CloudTrail, vous devez octroyer un accès intercompte. Pour cela, vous avez besoin d'un rôle et d'une politique de compartiment qui octroient des autorisations IAM Access Analyzer à vos journaux CloudTrail. Pour plus d'informations sur la création de pistes Organisations, veuillez consulter Creating a trail for an organization (Création d'une piste pour une organisation).

Dans cet exemple, supposons que vous vouliez générer une politique pour un utilisateur ou un rôle dans le compte A. La piste CloudTrail du compte A stocke les journaux CloudTrail dans un compartiment du compte B. Avant de pouvoir générer une politique, vous devez effectuer les mises à jour suivantes :

  1. Choisissez un rôle existant ou créez un rôle de service qui octroie à l'analyseur d'accès IAM un accès au compartiment du compte B (où vos journaux CloudTrail sont stockés).

  2. Vérifiez votre politique de propriété d'objets de compartiment Amazon S3 et d'autorisations de compartiment dans le compte B afin que l'analyseur d'accès IAM puisse accéder aux objets du compartiment.

Étape 1 : choisir ou créer un rôle pour l'accès intercompte

  • Sur l'écran Generate policy (Générer une politique), l'optionUse an existing role (Utiliser un rôle existant) est présélectionnée pour vous si un rôle avec les autorisations requises existe dans votre compte. Sinon, sélectionnez Create and use a new service role (Créer et utiliser un nouveau rôle de service). Le nouveau rôle est utilisé pour octroyer à l'analyseur d'accès IAM l'accès à vos journaux CloudTrail dans le compte B.

Étape 2 : vérifier la configuration du compartiment Amazon S3 dans le compte B

  1. Connectez-vous à la AWS Management Console et ouvrez la console Amazon S3 à l’adresse https://console.aws.amazon.com/s3/.

  2. Dans la liste Buckets (Compartiments), sélectionnez le nom du compartiment dans lequel sont stockés vos journaux de piste CloudTrail.

  3. Choisissez l'onglet Permissions (Autorisations) et accédez à la section Object ownership (Propriété des objets).

    Utilisez les paramètres de propriété des objets du compartiment Amazon S3 pour contrôler la propriété des objets que vous chargez dans vos compartiments. Par défaut, lorsque d'autres Comptes AWS chargent des objets dans votre compartiment, le compte qui les a chargés est propriétaire des objets. Pour générer une politique, le propriétaire du compartiment doit posséder tous les objets du compartiment. Selon votre cas d'utilisation ACL, vous pouvez modifier le réglage Object Ownership (Propriété de l'objet) pour votre compartiment. Définissez Object Ownership (Propriété de l'objet) sur l'une des options suivantes.

    • Bucket owner enforced (Propriétaire du compartiment imposé) (recommandé)

    • Bucket owner preferred (Propriétaire du compartiment préféré

    Important

    Pour générer une politique avec succès, les objets du compartiment doivent appartenir au propriétaire du compartiment. Si vous choisissez d'utiliser Bucket owner preferred (Propriétaire du compartiment préféré), vous ne pouvez générer une politique que pour la période qui suit la modification de propriété de l'objet.

    Pour en savoir plus sur la propriété des objets dans Amazon S3, veuillez consulter la rubrique Contrôle de la propriété des objets et désactivation des ACL pour votre compartiment dans le Guide de l'utilisateur d'Simple Storage Service (Amazon S3).

  4. Ajoutez des autorisations à votre politique de compartiment Amazon S3 dans le compte B afin d'autoriser l'accès au rôle dans le compte A.

    L'exemple de politique suivant autorise ListBucket et GetObject pour le compartiment nommé amzn-s3-demo-bucket. Il autorise l'accès si le rôle accédant au compartiment appartient à un compte de votre organisation et a un nom commençant par AccessAnalyzerMonitorServiceRole. L’utilisation d’aws:PrincipalArn en tant que Condition dans l’élément Resource garantit que le rôle ne peut accéder à l’activité du compte que s’il appartient au compte A. Vous pouvez remplacer amzn-s3-demo-bucket par le nom de votre compartiment, optional-prefix par un préfixe facultatif pour le compartiment et organization-id par votre ID d’organisation.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Sid": "PolicyGenerationBucketPolicy",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket",
        "arn:aws:s3:::amzn-s3-demo-bucket/optional-prefix/AWSLogs/organization-id/${aws:PrincipalAccount}/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "organization-id"
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam:::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
        }
      }
    }
  ]
}

  5. Si vous chiffrez vos journaux à l'aide d'AWS KMS, mettez à jour votre stratégie de clé AWS KMS dans le compte où vous stockez les journaux CloudTrail afin d'autoriser l'analyseur d'accès IAM à utiliser votre clé, comme indiqué dans l'exemple de stratégie suivant. Remplacez CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN par l'ARN pour votre piste et organization-id par l'ID de votre organisation.

    JSON
    {
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:EncryptionContext:aws:cloudtrail:arn": "CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN",
          "aws:PrincipalOrgID": "organization-id"
        },
        "StringLike": {
          "kms:ViaService": [
            "access-analyzer.*.amazonaws.com",
            "s3.*.amazonaws.com"
            ]
        },
        "ArnLike": {
          "aws:PrincipalArn": "arn:aws:iam:::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
        }
      }
     }
    ]
}

Générer une politique basée sur l'activité CloudTrail (AWS CLI)

Vous pouvez utiliser les commandes suivantes pour générer une politique à l'aide de la AWS CLI.

Pour générer une politique
Pour afficher une politique générée
Pour annuler une demande de génération de politique
Pour afficher la liste des demandes de génération de politique

Générer une politique basée sur l'activité CloudTrail (API AWS)

Vous pouvez utiliser les opérations suivantes pour générer une politique à l'aide de l'API AWS.

Pour générer une politique
Pour afficher une politique générée
Pour annuler une demande de génération de politique
Pour afficher la liste des demandes de génération de politique