Publié le: Dec 2, 2019
AWS Identity and Access Management (IAM) Access Analyzer est une nouvelle fonctionnalité qui permet aux équipes de sécurité et aux administrateurs de vérifier en toute simplicité que leurs politiques fournissent uniquement les accès désirés aux ressources. Les politiques de ressources permettent aux clients de contrôler avec précision les personnes pouvant accéder à une ressource spécifique et la manière dont elles peuvent l'utiliser, sur tout l’environnement du cloud. En un clic dans la IAM console, les clients peuvent activer IAM Access Analyzer sur leur compte pour analyser en permanence les permissions accordées, en utilisant les politiques associées avec leurs compartiments Amazon S3, leurs clés AWS KMS, leurs files d’attente Amazon SQS, leurs rôles AWS IAM et leurs fonctions AWS Lambda.
IAM Access Analyzer surveille les politiques en permanence pour détecter les changements, ce qui signifie que les clients n’ont plus besoin de recourir à des vérifications manuelles périodiques pour détecter les problèmes lorsque des politiques sont ajoutées ou mises à jour. Grâce à IAM Access Analyzer, les clients peuvent gérer de manière proactive toutes les politiques de ressources qui violent leurs bonnes pratiques de sécurité et de gouvernance en matière de partage des ressources. Ces ressources sont ainsi protégées des accès non désirés. IAM Access Analyzer fournit des résultats complets et détaillés par le biais d'AWS IAM, d'Amazon S3 et des consoles AWS Security Hub, ainsi que par le biais de ses API. Les découvertes peuvent également être exportées en tant que rapports à des fins d’audit. Les découvertes d’IAM Access Analyzer fournissent des réponses définitives sur les personnes qui ont des accès publics et entre comptes aux ressources AWS, en dehors d’un compte AWS.
IAM Access Analyzer a recours au raisonnement automatisé, une forme d’analyse mathématique qui applique l’inférence logique et mathématique afin de déterminer tous les chemins d'accès possibles autorisés par une politique de ressources. Cela signifie qu’IAM Access Analyzer est capable d’évaluer des centaines, voire des milliers de politiques dans l’environnement d’un client en quelques secondes, et de livrer des découvertes très complètes sur les ressources qui sont accessibles en dehors du compte. Nous appelons cela la sécurité prouvable.
Avec ce lancement, IAM Access Analyzer est disponible sans frais supplémentaires dans la console IAM et via les API dans toutes les régions AWS commerciales. IAM Access Analyzer est également disponible via les API dans AWS GovCloud (US).
Pour en savoir plus sur IAM Access Analyzer, consultez la page des fonctionnalités.