Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Types de ressources pris en charge par IAM Access Analyzer pour un accès externe et interne

Pour les analyseurs d'accès externes et internes, IAM Access Analyzer analyse les politiques basées sur les ressources qui sont appliquées aux AWS ressources de la région dans laquelle vous avez activé IAM Access Analyzer. Seules les politiques basées sur les ressources sont analysées. Pour en savoir plus sur la manière dont IAM Access Analyzer génère des résultats pour chaque type de ressource, consultez les informations relatives au type de ressource.

Types de ressources pris en charge pour l'accès interne :

Compartiments Amazon Simple Storage Service

Lorsqu'IAM Access Analyzer analyse les compartiments Amazon S3 à la recherche d'analyseurs d'accès externes, il indique lorsqu'une politique de compartiment, une liste de contrôle d'accès (ACL) ou un point d'accès Amazon S3, y compris un point d'accès multirégional, appliqué à un compartiment accorde l'accès à une entité externe. Une entité externe est un principal ou une autre entité que vous pouvez utiliser pour créer un filtre qui ne se trouve pas dans votre zone d’approbation. Par exemple, si une politique de compartiment accorde l'accès à un autre compte ou autorise un accès public, IAM Access Analyzer génère un résultat. Toutefois, si vous activez le blocage de l'accès public sur votre compartiment, vous pouvez bloquer l'accès au niveau du compte ou du compartiment.

Pour les analyseurs d'accès internes, IAM Access Analyzer génère une constatation lorsqu'un principal (utilisateur ou rôle) au sein de votre organisation ou de votre compte a accès à un compartiment Amazon S3 spécifié.

Les paramètres Amazon S3 de blocage de l'accès public remplacent les politiques de compartiment qui sont appliquées au compartiment. Les paramètres remplacent également les politiques de point d'accès appliquées aux points d'accès du compartiment. Chaque fois qu'une politique change, IAM Access Analyzer analyse les paramètres de blocage de l'accès public au niveau du compartiment. Cependant, il évalue les paramètres de blocage d'accès public au niveau du compte seulement une fois toutes les 6 heures. Cela signifie que l’IAM Access Analyzer peut ne pas générer ou résoudre un résultat pour un accès public à un compartiment pendant une période pouvant aller jusqu'à 6 heures. Par exemple, si vous disposez d'une politique de compartiment qui autorise l'accès public, IAM Access Analyzer génère un résultat pour cet accès. Si vous activez le blocage de l'accès public afin de bloquer tout accès public au compartiment au niveau du compte, IAM Access Analyzer ne résout pas le résultat pour la politique de compartiment pendant une période pouvant aller jusqu'à 6 heures, même si tout l'accès public au compartiment est bloqué. La résolution des résultats publics concernant les points d'accès intercompte peut également prendre jusqu'à 6 heures une fois que vous avez activé l'option Bloquer l'accès public au niveau du compte. Les modifications apportées à une politique de contrôle des ressources (RCP) sans modification de politique de compartiment n’entraînent pas une nouvelle analyse du compartiment mentionné dans le résultat. L’analyseur d’accès IAM analyse la politique nouvelle ou mise à jour au cours de l’analyse périodique suivante, qui a lieu dans un délai maximal de 24 heures.

Pour un point d'accès multi-région, IAM Access Analyzer utilise une politique établie dans le but de générer des résultats. IAM Access Analyzer évalue les modifications apportées aux points d'accès multi-région toutes les 6 heures. Cela signifie que l’IAM Access Analyzer ne génère pas ou ne résout pas un résultat pendant au moins 6 heures, même si vous créez ou supprimez un point d'accès multi-région, ou si vous mettez à jour la politique pour ce point.

Compartiments du répertoire Amazon Simple Storage Service

Les compartiments d'annuaire Amazon S3 organisent les données de manière hiérarchique dans des répertoires, contrairement à la structure de stockage plate des compartiments à usage général, qui est recommandée pour les charges de travail ou les applications critiques en termes de performances. Pour les analyseurs d'accès externes, IAM Access Analyzer analyse la politique de compartiment d'annuaire, y compris les instructions de condition figurant dans une politique, qui permettent à une entité externe d'accéder à un compartiment d'annuaire.

Pour les analyseurs d'accès internes, IAM Access Analyzer génère une constatation lorsqu'un principal (utilisateur ou rôle) au sein de votre organisation ou de votre compte a accès à un compartiment d'annuaire Amazon S3 spécifié.

Les compartiments d'annuaire Amazon S3 prennent également en charge les points d'accès, qui appliquent des autorisations et des contrôles réseau distincts pour toutes les demandes adressées au compartiment d'annuaire via le point d'accès. Chaque point d'accès peut avoir une politique de point d'accès qui fonctionne conjointement avec la politique de compartiment attachée au compartiment de répertoire sous-jacent. Avec les points d'accès pour les compartiments de répertoire, vous pouvez restreindre l'accès à des préfixes spécifiques, à des actions d'API ou à un cloud privé virtuel (VPC).

Pour plus d'informations sur les compartiments d'annuaire Amazon S3, consultez la section Utilisation des compartiments de répertoire dans le guide de l'utilisateur d'Amazon Simple Storage Service.

AWS Identity and Access Management rôles

Pour les rôles IAM, IAM Access Analyzer analyse les politiques de confiance. Dans une politique d'approbation de rôle, vous définissez les principaux auxquels vous faites confiance pour endosser le rôle. Une politique d'approbation de rôle est une politique basée sur les ressources requise qui est attachée à un rôle dans IAM. IAM Access Analyzer génère des résultats pour les rôles dans la zone de confiance à laquelle peut accéder une entité externe située en dehors de votre zone de confiance.

AWS Key Management Service clés

En AWS KMS keys effet, IAM Access Analyzer analyse les politiques clés et les autorisations appliquées à une clé. IAM Access Analyzer génère un résultat si une politique de clé ou d’ un octroi autorise l’ accès d’une entité externe à la clé. Par exemple, si vous utilisez la clé de CallerAccount condition kms : dans une déclaration de politique pour autoriser l'accès à tous les utilisateurs d'un AWS compte spécifique, et que vous spécifiez un compte autre que le compte courant (la zone de confiance de l'analyseur actuel), IAM Access Analyzer génère un résultat. Pour en savoir plus sur les clés de AWS KMS condition dans les déclarations de politique IAM, consultez la section Clés de AWS KMS condition.

Lorsque l'IAM Access Analyzer analyse une clé KMS, il lit les métadonnées de clé, telles que la politique de clé et la liste des autorisations. Si la politique de clé n'autorise pas le rôle IAM Access Analyzer à lire les métadonnées de clé, un résultat d'erreur de type Accès refusé est généré. Par exemple, si l'instruction de politique suivante est la seule politique appliquée à une clé, un résultat d'erreur de type Accès refusé est généré dans IAM Access Analyzer.

{
    "Sid": "Allow access for Key Administrators",
    "Effect": "Allow",
    "Principal": {
       "AWS": "arn:aws:iam::111122223333:role/Admin"
    },
    "Action": "kms:*",
    "Resource": "*"
}

Comme cette instruction autorise uniquement le rôle nommé Admin du AWS compte 111122223333 à accéder à la clé, un message d'erreur d'accès refusé est généré car IAM Access Analyzer n'est pas en mesure d'analyser complètement la clé. Un résultat d'erreur s'affiche sous la forme d'un texte en rouge dans le tableau Findings (Résultats). Le résultat ressemble à ce qui suit :

{
    "error": "ACCESS_DENIED",
    "id": "12345678-1234-abcd-dcba-111122223333",
    "analyzedAt": "2019-09-16T14:24:33.352Z",
    "resource": "arn:aws:kms:us-west-2:1234567890:key/1a2b3c4d-5e6f-7a8b-9c0d-1a2b3c4d5e6f7g8a",
    "resourceType": "AWS::KMS::Key",
    "status": "ACTIVE",
    "updatedAt": "2019-09-16T14:24:33.352Z"
}

Lorsque vous créez une clé KMS, les autorisations accordées pour accéder à la clé dépendent de la façon dont vous créez celle-ci. Si vous recevez un résultat d'erreur de type Accès refusé pour une ressource de clé, appliquez l'instruction de politique suivante à la ressource de clé pour accorder à IAM Access Analyzer l'autorisation d'accéder à la clé.

{
    "Sid": "Allow IAM Access Analyzer access to key metadata",
    "Effect": "Allow",
    "Principal": {
        "AWS": "arn:aws:iam::111122223333:role/aws-service-role/access-analyzer.amazonaws.com/AWSServiceRoleForAccessAnalyzer"
        },
    "Action": [
        "kms:DescribeKey",
        "kms:GetKeyPolicy",
        "kms:List*"
    ],
    "Resource": "*"
},

Après la réception d'un résultat d'erreur de type Accès refusé pour une ressource de clé KMS, puis la résolution du résultat par la mise à jour de la politique de clé, le résultat est mis à jour et prend le statut Resolved (Résolu). S'il existe des instructions de politique ou des autorisations de clé qui accordent l'autorisation sur la clé à une entité externe, vous pouvez voir des résultats supplémentaires pour la ressource clé.

AWS Lambda fonctions et couches

Pour les AWS Lambda fonctions, IAM Access Analyzer analyse les politiques, y compris les déclarations de condition figurant dans une politique, qui accordent l'accès à la fonction à une entité externe. Avec Lambda, vous pouvez associer des politiques uniques basées sur les ressources aux fonctions, aux versions, aux alias et aux couches. L’analyseur d’accès IAM signale les accès externes en fonction des politiques basées sur les ressources associées aux fonctions et aux couches. L’analyseur d’accès IAM ne signale pas les accès externes sur la base de politiques basées sur les ressources associées aux alias et aux versions spécifiques invoquées à l’aide d’un ARN qualifié.

Pour plus d'informations, consultez les sections Utilisation de politiques basées sur les ressources pour Lambda et Utilisation de versions dans le Guide du développeur. AWS Lambda

Files d'attente Amazon Simple Queue Service

Pour les files d'attente Amazon SQS, IAM Access Analyzer analyse les politiques, notamment les instructions de condition dans une politique, permettant à une entité externe l’accès à une file d'attente.

AWS Secrets Manager secrets

Pour détecter AWS Secrets Manager les secrets, IAM Access Analyzer analyse les politiques, y compris les déclarations de condition figurant dans une stratégie, qui permettent à une entité externe d'accéder à un secret.

Rubriques Amazon Simple Notification Service

IAM Access Analyzer analyse les politiques basées sur les ressources associées aux rubriques Amazon SNS, y compris les conditions énoncées dans les politiques qui autorisent l'accès externe à une rubrique. Vous pouvez autoriser les comptes externes à effectuer des actions Amazon SNS, telles que l'abonnement à des sujets et la publication de sujets, par le biais d'une politique basée sur les ressources. Une rubrique Amazon SNS est accessible de l'extérieur si les responsables d'un compte situé en dehors de votre zone de confiance peuvent effectuer des opérations sur le sujet. Lorsque vous choisissez Everyone dans votre politique lors de la création d'un sujet Amazon SNS, vous le rendez accessible au public. AddPermission est une autre façon d'ajouter une politique basée sur les ressources à une rubrique Amazon SNS qui autorise l'accès externe.

Instantanés volumes Amazon Elastic Block Store

Les instantanés volume d'Amazon Elastic Block Store n’ont pas de politique basée sur les ressources. Un instantané est partagé via les autorisations de partage Amazon EBS. Pour les instantanés volume Amazon EBS, IAM Access Analyzer analyse les listes de contrôle d'accès qui permettent à une entité externe d'accéder à un instantané. Un instantané d'un volume Amazon EBS peut être partagé avec des comptes externes lorsqu'il est crypté. Un instantané de volume non chiffré peut être partagé avec des comptes externes et accorder un accès public. Les paramètres de partage se trouvent dans l'attribut CreateVolumePermissions de l'instantané. Lorsque les clients prévisualisent l'accès externe à un instantané Amazon EBS, ils peuvent spécifier la clé de chiffrement pour indiquer que l'instantané est chiffré, de la même manière qu'IAM Access Analyzer Preview gère les secrets de Secrets Manager.

Instantanés de base de données service de base de données relationnelle Amazon

Les Instantanés de base de données Amazon RDS ne disposent pas de politiques basées sur les ressources. Un instantané de base de données est partagé via les autorisations de base de données Amazon RDS, et seuls les instantanés de base de données manuels peuvent être partagés. Pour les analyseurs d'accès externes, IAM Access Analyzer analyse les listes de contrôle d'accès qui permettent à une entité externe d'accéder à un instantané de base de données Amazon RDS. Les instantanés de base de données non cryptés peuvent être publics. Les instantanés de base de données chiffrés ne peuvent pas être partagés publiquement, mais ils peuvent être partagés avec jusqu'à 20 autres comptes. Pour de plus amples informations, veuillez consulter Création d'un instantané de base de données. IAM Access Analyzer considère la possibilité d'exporter un instantané manuel de base de données (par exemple, vers un compartiment Amazon S3) comme un accès sécurisé.

Pour les analyseurs d'accès internes, IAM Access Analyzer génère une constatation lorsqu'un principal (utilisateur ou rôle) au sein de votre organisation ou de votre compte a accès à un instantané de base de données Amazon RDS spécifié.

Instantanés de cluster de base de données service base de données relationnelle Amazon

Les instantanés de cluster de base de données Amazon RDS ne disposent pas de politiques basées sur les ressources. Un instantané est partagé via les autorisations du cluster de base de données Amazon RDS. Pour les analyseurs d'accès externes, IAM Access Analyzer analyse les listes de contrôle d'accès qui permettent à une entité externe d'accéder à un instantané de cluster de base de données Amazon RDS. Les instantanés de cluster non chiffrés peuvent être publics. Les instantanés de cluster chiffrés ne peuvent pas être partagés publiquement. Les instantanés de cluster chiffrés et non chiffrés et peuvent être partagés avec 20 autres comptes maximum. Pour plus d'informations, consultez Creating a DB Cluster Snapshot (Créer un instantané de cluster de base de données). IAM Access Analyzer considère la possibilité d'exporter un instantané de cluster de bases de données (par exemple, vers un compartiment Amazon S3) comme un accès sécurisé.

Pour les analyseurs d'accès internes, IAM Access Analyzer génère une constatation lorsqu'un principal (utilisateur ou rôle) au sein de votre organisation ou de votre compte a accès à un instantané de cluster de base de données Amazon RDS spécifié.

Référentiels Amazon Elastic Container Registry

Pour les référentiels Amazon ECR, IAM Access Analyzer analyse les politiques basées sur les ressources, y compris les instructions de condition dans une politique, qui permettent à une entité externe d'accéder à un référentiel (comme les autres types de ressources tels que les rubriques Amazon SNS et les systèmes de fichiers d’EFS Amazon SNS). Pour les référentiels Amazon ECR, un principal doit être autorisé à ecr:GetAuthorizationToken via une politique basée sur l’identité pour être considéré comme disponible en externe.

Systèmes de fichiers Amazon Elastic File System

Pour les systèmes de fichiers Amazon EFS, IAM Access Analyzer analyse les politiques, notamment les instructions de condition dans une politique, permettant à une entité externe l’accès à un système de fichiers. Un système de fichiers Amazon EFS est accessible de l'extérieur si les responsables d'un compte situé en dehors de votre zone de confiance peuvent effectuer des opérations sur ce système de fichiers. L'accès est défini par une politique de système de fichiers qui utilise IAM et par la manière dont le système de fichiers est monté. Par exemple, le montage de votre système de fichiers Amazon EFS sur un autre compte est considéré comme accessible de l'extérieur, sauf si ce compte appartient à votre organisation et que vous l'ayez définie comme votre zone de confiance. Si vous montez le système de fichiers à partir d'un cloud privé virtuel avec un sous-réseau public, le système de fichiers est accessible de l'extérieur. Lorsque vous utilisez Amazon EFS avec AWS Transfer Family, les demandes d'accès au système de fichiers reçues d'un serveur Transfer Family appartenant à un compte différent de celui du système de fichiers sont bloquées si le système de fichiers autorise l'accès public.

Amazon DynamoDB Streams

Pour les analyseurs d'accès externes, IAM Access Analyzer détermine si une politique DynamoDB autorise au moins une action entre comptes permettant à une entité externe d'accéder à un flux DynamoDB. Pour plus d’informations sur les actions intercomptes prises en charge pour DynamoDB, consultez Actions IAM supportées par des politiques basées sur les ressources dans le guide du développeur Amazon DynamoDB.

Pour les analyseurs d'accès internes, IAM Access Analyzer génère une constatation lorsqu'un principal (utilisateur ou rôle) au sein de votre organisation ou de votre compte a accès à un flux DynamoDB spécifié.

Tables Amazon DynamoDB

Pour les analyseurs d'accès externes, IAM Access Analyzer génère une recherche pour une table DynamoDB si une politique DynamoDB autorise au moins une action entre comptes permettant à une entité externe d'accéder à une table ou à un index DynamoDB. Pour plus d’informations sur les actions intercomptes prises en charge pour DynamoDB, consultez Actions IAM supportées par des politiques basées sur les ressources dans le guide du développeur Amazon DynamoDB.

Pour les analyseurs d'accès internes, IAM Access Analyzer génère une constatation lorsqu'un principal (utilisateur ou rôle) au sein de votre organisation ou de votre compte a accès à une table DynamoDB spécifiée.