Résultats d’erreur des accès externes Résultats d’erreur des accès internes Résolution des résultats d’erreur

Résultats d’erreur de l’analyseur d’accès IAM

Lorsque l’analyseur d’accès IAM analyse les ressources, il génère généralement des résultats qui indiquent qui a accès à vos ressources. Cependant, dans certains cas, l’analyseur peut rencontrer des problèmes qui l’empêchent de terminer l’analyse. En pareil cas, l’analyseur d’accès IAM génère des résultats d’erreur à la place.

Les résultats d’erreur indiquent que l’analyseur d’accès IAM n’a pas pu terminer l’analyse pour une ressource spécifique ou pour une paire principal-ressource spécifique. Ces résultats vous aident à identifier les ressources qui pourraient nécessiter une attention particulière afin de garantir une analyse correcte.

Résultats d’erreur des accès externes

Les analyseurs d’accès externes, qui identifient les ressources partagées en dehors de votre compte ou de votre organisation, peuvent générer deux types de résultats d’erreur :

INTERNAL_ERROR : indique que l’analyseur d’accès IAM a rencontré un problème interne lors de l’analyse de la ressource. Cela peut être dû à des limites de service ou à des problèmes temporaires.


{
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR",
	"createdAt": "2022-07-14T01:31:43.085000+00:00",
	"resourceType": "AWS::IAM::Role",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
}

ACCESS_DENIED : indique que l’analyseur d’accès IAM ne dispose pas des autorisations requises pour analyser la ressource. Cela se produit généralement lorsque le rôle lié au service (SLR) pour l’analyseur d’accès IAM se voit refuser l’accès à la ressource.


{
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
	"status": "ACTIVE",
	"error": "ACCESS_DENIED",
	"createdAt": "2022-07-14T01:31:43.104000+00:00",
	"resourceType": "AWS::KMS::Key",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
}

Résultats d’erreur des accès internes

Les analyseurs d’accès internes, qui identifient les accès au sein de votre compte ou de votre organisation, peuvent générer quatre types de résultats d’erreur :

PRINCIPAL_LIMIT_EXCEEDED : générée lorsque plus de 3 000 principaux ont accès à une ressource critique. Cette erreur vous aide à identifier les ressources dont l’accès est trop large et qu’il peut être nécessaire de restreindre.

Si vous apportez des modifications à la ressource ou aux principaux dans votre environnement qui font passer le nombre de principaux en dessous de la limite, l’analyseur générera des résultats normaux lors de la prochaine analyse, et le résultat d’erreur sera marqué comme résolu.
```
{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}
```

Erreurs au niveau des ressources (INTERNAL_ERROR ou ACCESS_DENIED) : tout comme les erreurs d’accès externes, elles indiquent que l’analyseur n’a pas pu analyser une ressource spécifique en raison de problèmes internes ou d’autorisations. Lorsqu’une erreur au niveau d’une ressource se produit, l’analyseur génère un seul résultat d’erreur pour la ressource au lieu des résultats normaux.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Erreurs au niveau du principal (INTERNAL_ERROR ou ACCESS_DENIED) : indique que l’analyseur n’a pas pu analyser l’accès d’un principal spécifique à une ressource spécifique. Contrairement aux erreurs au niveau des ressources, une ressource peut présenter à la fois des résultats normaux pour certains principaux et des résultats d’erreur pour d’autres principaux.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess", 
	"findingDetails": [
		{
			"internalAccessDetails": {
				"principal": {
					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
				},
				"principalOwnerAccount": "111122223333",
				"principalType": "IAM_ROLE",
				"accessType": "INTRA_ACCOUNT"
			}
		}
	]
}

PRINCIPAL_ERRORS_LIMIT_EXCEDED : générée lorsqu’un trop grand nombre d’erreurs de niveau principal sont détectées pour une seule ressource. Il s’agit d’une erreur au niveau des ressources qui peut apparaître parallèlement aux résultats normaux pour la même ressource.


{
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Résolution des résultats d’erreur

Si vous résolvez le problème qui a empêché l’analyseur d’accès IAM d’analyser la ressource, le résultat d’erreur est complètement supprimé au lieu d’être transformé en résultat résolu.

Pour résoudre les résultats d’erreur, envisagez les approches suivantes en fonction du type d’erreur :

Pour les erreurs ACCESS_DENIED, vérifiez que le rôle lié au service d’analyse d’accès IAM dispose des autorisations nécessaires pour accéder à la ressource.
Pour les erreurs PRINCIPAL_LIMIT_EXCEEDED, vérifiez les stratégies d’accès à la ressource et envisagez de restreindre l’accès à un nombre plus restreint de principaux.
Pour les résultats INTERNAL_ERROR, vous devrez peut-être attendre le cycle d’analyse suivant ou contacter le support AWS si le problème persiste.
Pour PRINCIPAL_ERRORS_LIMIT_EXCEEDED, examinez et simplifiez éventuellement les modèles d’accès pour la ressource concernée.

Après avoir apporté les modifications nécessaires pour résoudre les problèmes sous-jacents, l’analyseur d’accès IAM tentera d’analyser à nouveau les ressources lors de son prochain cycle d’analyse.

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.

Conventions de rédaction

Résolution des problèmes liés aux résultats

Types de ressources pris en charge