Résolution des problèmes liés aux résultats de l’analyseur d’accès IAM - AWS Identity and Access Management
Résolution des problèmes liés aux résultatsRésolution des problèmes liés aux résultats d’accès non utilisés

Résolution des problèmes liés aux résultats de l’analyseur d’accès IAM

Résolution des problèmes liés aux résultats

Pour résoudre les problèmes liés aux résultats des accès externes et internes résultant d’un accès non intentionnel, modifiez l’instruction de politique pour supprimer les autorisations qui accordent l’accès à la ressource identifiée.

Pour les résultats liés aux compartiments S3, utilisez la console Amazon S3 pour configurer les autorisations sur le compartiment.

Pour les rôles IAM, utilisez la console IAM pour modifier la politique d'approbation du rôle IAM répertorié.

Pour les autres ressources prises en charge, utilisez la console pour modifier les instructions de politique ayant abouti à un résultat généré.

Lorsque vous apportez une modification afin de résoudre un problème de résultats de ressources, comme la modification d’une politique appliquée à un rôle IAM, l’analyseur d’accès IAM analyse la ressource à nouveau. Si l’accès à la ressource est supprimé, le statut du résultat devient Résolu. Le résultat sera ensuite affiché dans la liste des résultats résolus au lieu de la liste des résultats actifs.

Note

Cela ne s’applique pas aux résultats signalant une Erreur. Lorsque l’analyseur d’accès IAM n’est pas en mesure d’analyser une ressource, il génère un résultat signalant une erreur. Si vous résolvez le problème qui a empêché l’analyseur d’accès IAM d’analyser la ressource, le résultat d’erreur est complètement supprimé au lieu d’être transformé en résultat résolu. Pour de plus amples informations, consultez Résultats d’erreur de l’analyseur d’accès IAM.

Si les modifications que vous avez apportées ont entraîné un accès externe ou interne à la ressource, mais d’une manière différente, par exemple avec un principal différent ou pour une autorisation différente, l’analyseur d’accès IAM résoudra le résultat d’origine et générera un nouveau résultat actif. Si les modifications que vous avez apportées ont entraîné des erreurs internes ou des erreurs d’accès refusé, tous les résultats actifs sans erreur liés à l’accès spécifique à la ressource sont résolus et un nouveau résultat d’erreur est généré.

Note

Pour les analyseurs d’accès externes, lorsque la politique est modifiée, l’analyseur d’accès IAM peut prendre jusqu’à 30 minutes pour analyser à nouveau la ressource et mettre à jour le résultat.

Pour les analyseurs d’accès internes, plusieurs minutes ou plusieurs heures peuvent être nécessaires à l’analyseur d’accès IAM pour analyser à nouveau la ressource, puis mettre à jour les résultats. L’analyseur d’accès IAM réanalyse automatiquement toutes les politiques toutes les 24 heures.

Les résultats résolus sont supprimés 90 jours après la dernière mise à jour du résultat.

Résolution des problèmes liés aux résultats d’accès non utilisés

L’analyseur d’accès IAM propose des étapes recommandées pour résoudre les résultats non utilisés de l’analyseur d’accès en fonction du type de résultat.

Une fois que vous avez apporté une modification pour résoudre un résultat des accès non utilisés, le statut du résultat passe à Résolu lors de la prochaine exécution de l’analyseur d’accès non utilisé. Le résultat n’est plus affiché dans la liste des résultats actifs, mais plutôt dans la liste des résultats résolus. Si vous apportez une modification qui ne résoud que partiellement à un résultat des accès non utilisés, le résultat existant devient Résolu mais un nouveau est généré. Par exemple, si vous ne supprimez que certaines autorisations non utilisées dans un résultat, mais pas toutes.

L’analyseur d’accès IAM facture l’analyse d’accès non utilisé en fonction du nombre de rôles et d’utilisateurs IAM analysés par mois. Pour plus d’informations sur les tarifs, consultez la Tarification de l’analyseur d’accès IAM.

Résolution des problèmes liés aux résultats des autorisations non utilisées

Pour les résultats des autorisations non utilisées, l’analyseur d’accès IAM peut recommander des politiques à supprimer d’un rôle ou d’un utilisateur IAM et fournir de nouvelles politiques pour remplacer les politiques d’autorisation existantes. La recommandation de politique n’est pas prise en charge pour les scénarios suivants :

  • Le résultat d’autorisation non utilisée concerne un utilisateur IAM appartenant à un groupe d’utilisateurs.

  • Le résultat d’autorisation non utilisée concerne un rôle IAM pour IAM Identity Center.

  • Le résultat d’autorisation non utilisée est associé à une politique d’autorisation existante qui inclut l’élément notAction.

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez un résultat dont le Type de résultat est Autorisations non utilisées.

  4. Dans la section Recommandations, si des politiques sont répertoriées dans la colonne Politique recommandée, choisissez Prévisualiser la politique pour afficher la politique existante avec la politique recommandée pour remplacer la politique existante. S’il existe plusieurs politiques recommandées, vous pouvez choisir Politique suivante et la Politique précédente pour afficher chacune des politiques existantes et recommandées.

  5. Choisissez Télécharger le JSON pour télécharger un fichier .zip contenant les fichiers JSON de toutes les politiques recommandées.

  6. Créez les politiques recommandées et attachez-les au rôle ou à l’utilisateur IAM. Pour plus d’informations, consultez Modification des autorisations d’un utilisateur (console) et Modification d’une politique d’autorisations d’un rôle (console).

  7. Supprimez les politiques répertoriées dans la colonne Politique d’autorisation existante du rôle ou de l’utilisateur IAM. Pour plus d’informations, consultez Suppression d’une autorisation d’un utilisateur (console) et Modification une politique d’autorisations de rôle (console).

Résolution des problèmes liés aux rôles non utilisés

Pour les résultats de rôle non utilisé, l’analyseur d’accès IAM recommande de supprimer le rôle IAM non utilisé.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez un résultat dont le Type de résultat est Rôle non utilisé.

  4. Dans la section Recommandations, passez en revue les détails du rôle IAM.

  5. Supprimez le rôle IAM. Pour plus d’informations sur la suppression d’un rôle IAM, consultez Suppression d’un rôle IAM (console).

Résolution des problèmes liés aux résultats de clé d’accès non utilisée

Pour les résultats de clé d’accès non utilisée, l’analyseur d’accès IAM recommande de désactiver ou de supprimer la clé d’accès non utilisée.

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez une recherche dont le Type de résultat est Clés d’accès non utilisées.

  4. Dans la section Recommandations, passez en revue les détails de la clé d’accès.

  5. Désactivez ou supprimez les clés d’accès. Pour de plus amples informations, consultez Gestion des clés d’accès (console).

Résolution des problèmes liés aux mots de passe non utilisés

Pour les résultats de mot de passe non utilisé, l’analyseur d’accès IAM recommande de supprimer le mot de passe non utilisé pour l’utilisateur IAM.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accès non utilisé.

  3. Choisissez une recherche dont le Type de résultat est Mot de passe non utilisé.

  4. Dans la section Recommandations, passez en revue les informations relatives à l’utilisateur IAM.

  5. Supprimez le mot de passe de l’utilisateur IAM. Pour plus d’informations, consultez Création, modification ou suppression d’un mot de passe utilisateur IAM (console).