Identification des ressources partagées avec une entité externe Identification des accès internes aux ressources critiques pour l’entreprise Identification des accès non utilisés accordés aux utilisateurs et aux rôles IAM Validation des politiques par rapport aux bonnes pratiques AWS Validation des politiques par rapport aux normes de sécurité que vous avez spécifiées Générer des politiques Tarification pour l’analyseur d’accès IAM

Utilisation de AWS Identity and Access Management Access Analyzer

AWS Identity and Access Management Access Analyzer offre les fonctionnalités suivantes :

Les analyseurs d’accès externe de l’analyseur d’accès IAM vous aide à identifier les ressources de votre organisation et de vos comptes qui sont partagés avec une entité externe.
Les analyseurs d’accès internes de l’analyseur d’accès IAM aident à identifier les accès internes à certaines ressources au sein de votre organisation et de vos comptes.
Les analyseurs d’accès non utilisés de l’analyseur d’accès IAM aident à identifier les accès non utilisés au sein de votre organisation et de vos comptes.
L’analyseur d’accès IAM valide les politiques IAM par rapport à la grammaire de politique et aux bonnes pratiques AWS.
Les vérifications de politiques personnalisées de l’analyseur d’accès IAM permettent de valider les politiques IAM par rapport aux normes de sécurité spécifiées..
L'IAM Access Analyzer génère des politiques IAM basées sur l'activité d'accès dans vos AWS CloudTrail journaux.

Identification des ressources partagées avec une entité externe

L’IAM Access Analyzer vous aide à identifier les ressources de votre organisation et de vos comptes, telles que les compartiments Amazon S3 ou les rôles IAM, partagés avec une entité externe. Cela vous permet d'identifier les accès imprévus à vos ressources et données, ce qui constitue un risque de sécurité. L’IAM Access Analyzer identifie les ressources partagées avec des principaux externes en utilisant un raisonnement logique pour analyser les politiques basées sur les ressources dans votre AWSenvironnement. Pour chaque instance d'une ressource qui est partagée en dehors de votre compte, l’IAM Access Analyzer génère un résultat. Les résultats comprennent des renseignements sur l'accès et le principal externe à qui il est accordé. Vous pouvez réviser les résultats pour déterminer si l'accès est intentionnel et sûr ou s'il est non intentionnel et représente un risque pour la sécurité. En plus de vous aider à identifier les ressources partagées avec une entité externe, vous pouvez utiliser les résultats de l’IAM Access Analyzer pour prévisualiser la façon dont votre politique affecte l'accès public et les entre comptes à votre ressource avant de déployer des autorisations de ressources. Les résultats sont organisés dans un tableau de bord récapitulatif visuel. Le tableau de bord met en évidence la distinction entre les résultats relatifs à l’accès public et ceux relatifs à l’accès intercomptes, et fournit une ventilation des résultats par type de ressource. Pour plus d’informations sur les tableaux de bord, consultez Affichage du tableau de bord des résultats de l’analyseur d’accès IAM.

Note

Une entité externe peut être un autre compte AWS, un utilisateur racine, un utilisateur ou un rôle IAM, un utilisateur fédéré, un utilisateur anonyme ou une autre entité que vous pouvez utiliser pour créer un filtre. Pour plus d'informations, veuillez consulter Éléments de politique JSON AWS : Principal.

Lorsque vous activez l’IAM Access Analyzer, vous créez un analyseur pour l'ensemble de votre organisation ou de votre compte. L'organisation ou le compte que vous sélectionnez est la zone de confiance de l'analyseur. L'analyseur surveille toutes les ressources prises en charge dans votre zone de confiance. Tout accès aux ressources par les principaux qui se trouvent dans votre zone de confiance est considéré comme fiable. Une fois activé, l’IAM Access Analyzer analyse les politiques appliquées à toutes les ressources prises en charge dans votre zone de confiance. Après la première analyse, l’IAM Access Analyzer analyse lesdites politiques de façon périodique. Si vous ajoutez une nouvelle politique ou modifiez une déja existante, l’analyseur d’accès IAM analyse la nouvelle ou celle mise à jour dans un délai d’environ 30 minutes.

Lors de l'analyse des politiques, si l’IAM Access Analyzer en identifie une qui accorde l'accès à un principal externe ne se trouvant pas dans votre zone de confiance, il génère un résultat. Chaque résultat inclut des détails sur la ressource, l'entité externe qui y a accès et les autorisations accordées, afin que vous puissiez prendre les mesures appropriées. Vous pouvez afficher les détails inclus dans le résultat pour déterminer si l'accès à la ressource est intentionnel ou représente un risque potentiel que vous devez résoudre. Lorsque vous ajoutez une politique à une ressource ou que mettez à jour une politique existante, l’IAM Access Analyzer. En outre, l’IAM Access Analyzer analyse périodiquement toutes les politiques basées sur les ressources.

Dans de rares cas et sous certaines conditions, l’analyseur d’accès IAM ne reçoit pas de notification d’ajout ou de mise à jour d’une politique, ce qui peut entraîner des retards dans les résultats générés. Il peut falloir jusqu’à 6 heures à l’analyseur d’accès IAM pour générer ou résoudre des résultats si vous créez ou supprimez un point d’accès multi-régions associé à un compartiment Amazon S3, ou si vous mettez à jour la politique pour le point d’accès multi-régions. De plus, en cas de problème de livraison des journaux AWS CloudTrail ou de modification des restrictions de la politique de contrôle des ressources (RCP), le changement de politique ne déclenche pas une nouvelle analyse de la ressource signalée dans le résultat. Lorsque cela se produit, l’IAM Access Analyzer analyse la politique nouvelle ou mise à jour au cours de l'analyse périodique suivante, qui a lieu dans un délai maximal de 24 heures. Si vous souhaitez confirmer qu’une modification apportée à une politique résout un problème d’accès signalé dans un résultat, vous pouvez réanalyser la ressource indiquée dans le résultat à l’aide du lien Réanalyser de la page des détails Résultats ou à l’aide de l’opération StartResourceScan de l’API de l’analyseur d’accès IAM. Pour en savoir plus, veuillez consulter la section Résolution des problèmes liés aux résultats de l’analyseur d’accès IAM.

Important

Pour un accès externe, l’analyseur d’accès IAM analyse uniquement les politiques appliquées aux ressources de la même région AWS dans laquelle il est activé. Pour surveiller toutes les ressources de votre AWS, environnement vous devez créer un analyseur d’accès externe pour activer l’analyseur d’accès IAM dans chaque région où vous utilisez les ressources AWS prises en charge.

En cas d’accès non utilisé, les résultats de l’analyseur ne changent pas en fonction de la région. Il n’est pas nécessaire de créer un analyseur d’accès non utilisé dans chaque région où vous disposez de ressources.

L’analyseur d’accès IAM prend en charge les types de ressources suivants pour l’accès externe :

Identification des accès internes aux ressources critiques pour l’entreprise

Pour les ressources critiques que vous avez sélectionnées, l’analyseur d’accès IAM vous aide à identifier les principaux au sein de votre organisation ou de votre compte qui y ont accès. Cette analyse soutient la mise en œuvre du principe du moindre privilège en garantissant que vos ressources spécifiées ne soient accessibles qu’aux principaux intéressés au sein de votre organisation.

L’analyse des accès internes vous aide à :

Déterminer quels utilisateurs ou rôles IAM au sein de votre compte ou de votre organisation peuvent accéder aux ressources que vous avez spécifiées
Comprendre les chemins d’accès entre les principaux et les ressources au sein de votre environnement AWS
Vérifier que vos contrôles d’accès fonctionnent comme prévu
Examiner les résultats afin de déterminer si l’accès est intentionnel et sécurisé ou s’il est involontaire et présente un risque pour la sécurité
Identifier et remédier aux accès non autorisés au sein de votre organisation

L’analyseur d’accès IAM prend en charge les types de ressources suivants pour l’accès interne :

Identification des accès non utilisés accordés aux utilisateurs et aux rôles IAM

L’analyseur d’accès IAM vous aide à identifier et à examiner les accès non utilisés dans votre organisation et vos comptes AWS. L’analyseur d’accès IAM surveille en permanence tous les rôles et utilisateurs IAM dans votre organisation et vos comptes AWS et génère des résultats pour les accès non utilisés. Les résultats mettent en évidence les rôles non utilisés ainsi que les clés d’accès et les mots de passe non utilisés pour les utilisateurs IAM. Pour les rôles et les utilisateurs IAM actifs, les résultats fournissent une visibilité sur les services et les actions non utilisés.

L’analyseur d’accès IAM examine les dernières informations consultées pour tous les rôles et comptes de votre organisation AWS afin de vous aider à identifier les accès non utilisés. Les informations auxquelles vous avez accédé pour la dernière fois sur les actions IAM vous aident à identifier les actions non utilisées pour les rôles de vos Comptes AWS. Pour de plus amples informations, consultez Ajustement des autorisations dans AWS à l’aide des dernières informations consultées.

Les résultats relatifs aux analyseurs d’accès externes, internes et non utilisés sont organisés dans un tableau de bord récapitulatif visuel. Le tableau de bord met en évidence vos ressources AWS et vos Comptes AWS qui ont le plus de résultats et fournit une ventilation des résultats par type. Pour plus d’informations sur le tableau de bord, consultez Affichage du tableau de bord des résultats de l’analyseur d’accès IAM.

Validation des politiques par rapport aux bonnes pratiques AWS

Vous pouvez valider vos politiques par rapport à la grammaire des politiques IAM et aux bonnes pratiques AWS à l’aide des vérifications de politique de base fournies par la validation des politiques de l’analyseur d’accès IAM. Vous pouvez créer ou modifier une politique à l'aide de la AWS CLI, de l'API AWS ou de l'éditeur de politique JSON dans la console IAM. Vous pouvez afficher les résultats des vérifications de validation de politique qui incluent des avertissements de sécurité, des erreurs, des avertissements généraux et des suggestions pour votre politique. Ces résultats fournissent des recommandations exploitables qui vous aident à créer des politiques fonctionnelles et conformes aux bonnes pratiques AWS. Pour en savoir plus sur la validation des politiques à l’aide de la validation des politiques, consultez Validation des politiques à l’aide de l’analyseur d’accès IAM.

Validation des politiques par rapport aux normes de sécurité que vous avez spécifiées

Vous pouvez valider vos politiques par rapport aux normes de sécurité spécifiées à l’aide des vérifications de politiques personnalisées de l’analyseur d’accès IAM. Vous pouvez créer ou modifier une politique à l'aide de la AWS CLI, de l'API AWS ou de l'éditeur de politique JSON dans la console IAM. Avec la console, vous pouvez vérifier si votre politique mise à jour accorde un nouvel accès par rapport à la version existante. Avec l’API AWS CLI et l’AWS, vous pouvez également vérifier que des actions IAM spécifiques que vous considérez comme critiques ne sont pas autorisées par une politique. Ces vérifications mettent en évidence une déclaration de politique qui accorde un nouvel accès. Vous pouvez mettre à jour la déclaration de politique et réexécuter les vérifications jusqu’à ce que la politique soit conforme à votre norme de sécurité. Pour en savoir plus sur la validation des politiques à l’aide de vérifications de politique personnalisées, consultez Validation des politiques à l’aide des vérifications des politiques personnalisées de l’analyseur d’accès IAM.

Générer des politiques

L’IAM Access Analyzer analyse vos AWS CloudTrail journaux pour identifier les actions et les services qui ont été utilisés par une entité IAM (utilisateur ou rôle) dans la plage de dates que vous avez spécifiée. Il génère ensuite une politique IAM basée sur cette activité d'accès. Vous pouvez utiliser la politique générée pour affiner les autorisations d'une entité, en l'attachant à un utilisateur ou un rôle IAM. Pour en savoir plus sur la génération de politiques à l'aide de l’IAM Access Analyzer, veuillez consulter Génération d'une politique IAM Access Analyzer.

Tarification pour l’analyseur d’accès IAM

L’analyseur d’accès IAM facture l’analyse des accès non utilisés en fonction du nombre de rôles et d’utilisateurs IAM analysés par analyseur et par mois.

Vous serez facturé pour chaque analyseur d’accès non utilisé que vous créez.
Si vous créez des analyseurs d’accès non utilisés dans plusieurs régions, vous serez facturé pour chaque analyseur.
Les rôles liés à un service ne sont pas analysés pour détecter les activités d’accès non utilisées et ne sont pas inclus dans le nombre total de rôles IAM analysés.

L’analyseur d’accès IAM facture l’analyse des accès internes en fonction du nombre de ressources surveillées par analyseur d’accès interne et par mois.

L’analyseur d’accès IAM facture les vérifications de politiques personnalisées en fonction du nombre de demandes d’API faites à l’analyseur d’accès IAM pour vérifier les nouveaux accès.

Pour une liste complète des frais et des prix pour l’analyseur d’accès IAM, consultez la Tarification de l’analyseur d’accès IAM.

Pour consulter votre facture, dirigez-vous vers le Tableau de bord de gestion des coûts et de la facturation dans la console AWS Billing and Cost Management. Votre facture contient des liens vers les rapports d’utilisation qui fournissent des détails sur votre facture. Pour en savoir plus sur la facturation Compte AWS, consultez le Guide de l’utilisateur AWS Billing.

Pour toute question relative à la facturation, aux comptes et aux événements AWS, contactez Support.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Fonctions de sécurité en dehors d'IAM

Conclusions