View a markdown version of this page

Génération de recommandations politiques pour les résultats d'accès non utilisés - AWS Security Hub
Comment fonctionnent les recommandations politiquesQui peut générer des recommandationsCycle de vie des recommandationsCas d'erreurUtilisation de la consoleRéférence des API

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Génération de recommandations politiques pour les résultats d'accès non utilisés

En cas de détection d'autorisations non utilisées, Security Hub peut générer des recommandations de politique de moindre privilège qui vous indiquent une politique de remplacement limitée. La recommandation évalue chaque politique attachée au principal IAM et génère un remplacement qui ne conserve que les autorisations que le principal a réellement utilisées. Cette fonctionnalité est proposée à tous les clients du Security Hub sans frais supplémentaires.

Comment fonctionnent les recommandations politiques

La génération de recommandations de politique est une opération asynchrone. Pour générer et récupérer une recommandation, procédez comme suit :

  1. Récupérez les autorisations non utilisées trouvées dans Security Hub à l'aide de l'opération GetFindingsV2 API. Notez le metadata.uid champ indiqué dans le résultat.

  2. Appelez GenerateRecommendedPolicyV2 pour connaître les résultatsmetadata.uid. Cela lance la génération de recommandations, qui se termine généralement dans les 20 secondes.

  3. Effectuez GetRecommendedPolicyV2 le même sondage metadata.uid jusqu'à ce que le status champ revienneSUCCEEDED.

  4. La réponse contient une ou plusieurs étapes de recommandation. Chaque étape spécifie soit CREATE_POLICY (créer et associer une politique recommendedAction de remplacement limitée), soit DETACH_POLICY (détacher la politique d'origine surprivilégiée). Pour CREATE_POLICY les étapes, la réponse inclut à la fois le existingPolicy JSON et le recommendedPolicy JSON afin que vous puissiez les comparer.

Vous devez appeler GenerateRecommendedPolicyV2 avant d'appeler GetRecommendedPolicyV2 si aucune recommandation n'a été précédemment générée pour cette constatation.

Qui peut générer des recommandations

Le propriétaire du compte et les administrateurs délégués peuvent appeler les opérations d'API suivantes :

  • Les propriétaires de comptes peuvent générer et consulter des recommandations concernant les autorisations non utilisées dans leur propre compte.

  • Les administrateurs délégués peuvent générer et consulter des recommandations concernant les autorisations non utilisées de tout compte membre au sein de leur organisation.

Si vous n'êtes pas un administrateur délégué et que le résultat appartient à un autre compte, l'opération d'API renvoie une AccessDeniedException erreur.

Cycle de vie des recommandations

  • Les recommandations sont mises en cache pendant 90 jours et restent disponibles tant que la recherche est active (et non fermée). Cependant, le fait d'appeler GenerateRecommendedPolicyV2 plusieurs fois invalidera le cache et lancera une nouvelle tâche qui remplacera la politique de mise en cache. Il est recommandé de n'appeler qu'une seule GenerateRecommendedPolicyV2 fois par recherche.

  • La recommandation suit un schéma de détachement et de fixation. Cela ne modifie pas vos politiques IAM existantes. Vous passez en revue la politique recommandée et vous l'appliquez manuellement dans la console IAM ou via l'API IAM.

  • Si le résultat est résolu (par exemple, parce que les autorisations précédemment inutilisées sont désormais utilisées), la recommandation n'est plus disponible.

Cas d'erreur

Les opérations d'API renvoient des erreurs dans les situations suivantes :

  • Le résultat a été résolu — InvalidInputException (HTTP 400).

  • Le résultat n'est pas un résultat d'autorisation non utilisé — InvalidInputException (HTTP 400).

  • Le principal IAM a été créé via le jeu d'autorisations IAM Identity Center. Les politiques relatives aux principes des ensembles d'autorisations ne peuvent pas être modifiées directement. La recommandation renvoie un FAILED statut avec une explication.

  • L'appelant n'est pas un administrateur délégué et le résultat appartient à un autre compte AccessDeniedException (HTTP 403).

  • Aucune recommandation n'a encore été générée et vous appelez GetRecommendedPolicyV2 sans appeler au préalable GenerateRecommendedPolicyV2ResourceNotFoundException (HTTP 404).

Utilisation de la console

Dans la console Security Hub, vous pouvez générer une recommandation de politique en consultant une recherche d'autorisations non utilisées et en choisissant l'onglet Corrections. La console affiche un spinner de chargement lors de la création de la recommandation. Lorsque la recommandation est prête, vous pouvez choisir Aperçu pour voir une comparaison côte à côte entre votre politique actuelle et le remplacement recommandé selon le principe du moindre privilège. Vous pouvez copier la politique recommandée au format JSON.

Référence des API

  • GenerateRecommendedPolicyV2— Lance la génération asynchrone d'une recommandation de politique de moindre privilège pour une recherche d'autorisations non utilisées. Prend le résultat metadata.uid en entrée. Renvoie HTTP 200 avec un corps vide en cas de succès.

  • GetRecommendedPolicyV2— Récupère la recommandation de politique générée. Prend le résultat metadata.uid en entrée. Supporte la pagination avec maxResults (1 à 100) et les nextToken paramètres. Renvoie l'état de la recommandation (IN_PROGRESSSUCCEEDED, ouFAILED), les étapes de recommandation, l'ARN de la ressource et les éventuelles erreurs.

Pour obtenir une documentation détaillée sur les API, consultez le Security Hub API Reference.