Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Comprendre les informations relatives aux accès non utilisés dans Security Hub
Security Hub utilise IAM Access Analyzer pour identifier les autorisations, les rôles, les clés d'accès et les mots de passe IAM non utilisés dans votre compte. Ces résultats vous aident à mettre en œuvre les meilleures pratiques de sécurité relatives à l'accès par le moindre privilège en mettant en évidence les principes et autorisations IAM qui ne sont pas utilisés activement. Cette fonctionnalité est proposée à tous les clients du Security Hub sans frais supplémentaires.
## Comment fonctionne l'analyse des accès non utilisés
Lorsque vous activez Security Hub, le service crée automatiquement un analyseur d'accès IAM lié au service dans votre compte. Cet analyseur évalue tous les principes IAM (rôles et utilisateurs) par rapport aux données d' AWS CloudTrail activité afin de déterminer quels principes et autorisations n'ont pas été utilisés au cours d'une période rétrospective de 90 jours. La période de rétrospective n'est pas configurable.
IAM Access Analyzer réévalue tous les résultats actifs toutes les 24 heures. Lorsqu'un principal ou une autorisation précédemment inutilisés devient actif, le résultat correspondant est automatiquement résolu.
L'analyseur d'accès inutilisé fonctionne dans l'est des États-Unis (Virginie du Nord) car IAM est un service mondial. Security Hub reproduit les résultats dans toutes les régions dans lesquelles vous avez activé Security Hub. Il n'est pas nécessaire d'activer Security Hub dans l'est des États-Unis (Virginie du Nord) pour que l'analyseur fonctionne.
## Types de recherche d'accès non utilisés
Security Hub génère quatre types de résultats d'accès non utilisés :
| Type de résultat | Description | Ressource évaluée |
| --- | --- | --- |
| Rôle IAM inutilisé | Un rôle IAM qui n'a pas été assumé au cours de la période rétrospective de 90 jours. | Rôle IAM |
| UnusedIAMUserAccessKey | Une clé d'accès utilisateur IAM qui n'a pas été utilisée pour signer les demandes d'API au cours de la période rétrospective de 90 jours. | Utilisateur IAM |
| UnusedIAMUserPassword | Un mot de passe utilisateur IAM qui n'a pas été utilisé pour la connexion à la console au cours de la période rétrospective de 90 jours. | Utilisateur IAM |
| UnusedPermission | Actions IAM spécifiques accordées à un rôle ou à un utilisateur mais qui n'ont pas été invoquées au cours de la période de rétrospective de 90 jours. | Rôle IAM ou utilisateur IAM |
## Service-linked analyseur
L'analyseur d'accès IAM créé par Security Hub est un analyseur lié à un service. Vous pouvez le consulter dans la console IAM Access Analyzer, mais vous ne pouvez ni le modifier ni le supprimer tant que Security Hub est activé.
Lorsque vous désactivez Security Hub dans toutes les régions, l'analyseur lié au service est automatiquement supprimé. Si la suppression automatique échoue, vous pouvez supprimer l'analyseur en appelant l'opération d'API IAM Access Analyzer`DeleteServiceLinkedAnalyzer`. Cette opération ne réussit que lorsque Security Hub est complètement désactivé pour votre compte.
L'analyseur lié à un service est distinct de tous les analyseurs gérés par le client que vous avez créés indépendamment dans IAM Access Analyzer. La création ou la suppression d'analyseurs gérés par le client n'a aucune incidence sur l'analyseur lié à un service, et vice versa.
## Afficher les résultats relatifs aux accès non utilisés
Les résultats d'accès non utilisés apparaissent dans la console Security Hub aux côtés des autres résultats du Security Hub. Vous pouvez filtrer les résultats par type pour n'afficher que les résultats d'accès non utilisés. Les résultats d'accès non utilisés sont formatés dans le cadre de l'Open Cybersecurity Schema Framework (OCSF), le même format que celui utilisé pour toutes les conclusions du Security Hub.
En ce qui concerne les UnusedPermission résultats, si vous supprimez certaines autorisations non utilisées de la politique trop permissive, mais pas toutes, Security Hub fermera le résultat existant et créera un nouveau résultat pour la politique révisée si celle-ci est toujours trop permissive.
Les résultats d'accès non utilisés sont également accessibles depuis la console IAM Access Analyzer. Les résultats d'accès non utilisés dans la console IAM Access Analyzer sont en lecture seule et ne sont visibles que dans la région de l'est des États-Unis (Virginie du Nord).
## Accès non utilisé aux résultats d'exposition
Les informations d'accès non utilisées peuvent apparaître sous forme de caractéristiques contextuelles dans les résultats d'exposition du Security Hub. Lorsqu'un rôle IAM associé à une ressource possède des autorisations non utilisées, le résultat d'exposition inclut cela en tant que contexte supplémentaire. Cela vous permet de comprendre le rayon d'action potentiel d'une vulnérabilité : une ressource dotée d'un rôle IAM privilégié présente un risque plus élevé qu'une ressource dotée d'autorisations de moindre privilège.
Les types de ressources suivants peuvent afficher des caractéristiques contextuelles d'accès non utilisées dans leurs résultats d'exposition :
+ Instances Amazon Elastic Compute Cloud
+ AWS Lambda fonctions
+ Services Amazon Elastic Container Service
+ Clusters Amazon Elastic Kubernetes Service
+ Utilisateurs IAM (directement)
Pour plus d'informations sur les résultats d'exposition, voir[Résultats d’exposition dans Security Hub](exposure-findings.md).
## Recommandations relatives aux politiques relatives aux autorisations non utilisées
Pour les UnusedPermission résultats, Security Hub peut générer des recommandations relatives à la politique du moindre privilège. Ces recommandations vous indiquent une politique de remplacement limitée qui ne conserve que les autorisations que votre principal utilise réellement. Pour de plus amples informations, veuillez consulter [Génération de recommandations politiques pour les résultats d'accès non utilisés](unused-access-recommendations.md).
## Tarification
L'analyseur d'accès IAM lié au service est fourni à tous les clients du Security Hub sans frais supplémentaires. Vous n'êtes pas facturé séparément pour l'analyseur ou pour les résultats d'accès non utilisés.