Fonctionnalités de l’analyseur d’accès AWS IAM
Présentation
L’analyseur d’accès IAM vous guide vers le moindre privilège en fournissant des outils pour configurer, vérifier et affiner les autorisations. En tant qu'outil complet d'analyse des autorisations et de validation des politiques, l'analyseur d'accès IAM propose des résultats d'accès, des vérifications des politiques et la génération de politiques.
L’analyseur d’accès IAM utilise une sécurité éprouvée pour fournir des résultats complets sur les accès inutilisés, internes et externes ainsi que les contrôles personnalisés des politiques. La preuve de sécurité repose sur la technologie du raisonnement automatisé, qui est l'application de la logique mathématique pour aider à répondre à des questions essentielles sur votre infrastructure, notamment les autorisations AWS. Pour découvrir comment les outils et méthodes de raisonnement automatisé d’AWS fournissent un niveau de sécurité supérieur pour le cloud, consultez Qu’est-ce que le raisonnement automatisé ? ou téléchargez le livre blanc Raisonnement formel concernant la sécurité des services Web d’Amazon.
Établir des autorisations précises
Ouvrir tout
IAM Access Analyzer génère une politique précise en fonction de l'activité d'accès enregistrée dans vos journaux AWS CloudTrail. Cela signifie qu'après avoir créé et exécuté une application, vous pouvez générer des stratégies IAM qui accordent uniquement les autorisations requises pour faire fonctionner l'application.
L'analyseur d'accès IAM vous aide à créer et à valider des politiques sécurisées et fonctionnelles sur la base des bonnes pratiques IAM. Par exemple, si votre politique contient l’autorisation IAM:PassRole avec un astérisque dans l’élément Ressource, l’analyseur d’accès IAM le signale comme un avertissement de sécurité. L’analyseur d’accès IAM comprend quatre types de résultats de validation des politiques ; les avertissements de sécurité, les erreurs, les avertissements généraux et les suggestions de bonnes pratiques IAM pour votre politique. Les résultats fournissent des recommandations pratiques qui vous aident à créer des politiques fonctionnelles et conformes aux bonnes pratiques d’AWS et à vos normes de sécurité.
Vérifier qui peut accéder à quelles informations
Ouvrir tout
L’analyseur d’accès IAM vous guide pour vérifier que l’accès existant répond à vos attentes. IAM Access Analyzer utilise des outils de raisonnement automatisés, pour garantir une sécurité prouvée, afin d'analyser tous les accès externes à vos ressources AWS. Lorsque vous activez Access Analyzer IAM , il contrôle en permanence les permissions des ressources nouvelles ou mises à jour pour vous aider à identifier les autorisations qui accordent un accès public et inter-comptes. Par exemple, si la politique d'un compartiment Amazon S3 venait à changer, IAM Access Analyzer vous avertirait que le compartiment est devenu accessible aux utilisateurs extérieurs au compte. Grâce à cette même analyse, l'analyseur d'accès IAM facilite l'examen et la validation des accès publics et intercomptes avant de déployer les changements d'autorisations.
L’analyseur d’accès IAM identifie les personnes au sein de votre organisation AWS qui ont accès à vos ressources AWS critiques. Il utilise un raisonnement automatisé pour évaluer collectivement plusieurs politiques et génère des résultats lorsqu’un utilisateur ou un rôle a accès à vos ressources S3, DynamoDB ou RDS. Les résultats sont regroupés dans un tableau de bord unifié, ce qui simplifie l’examen et la gestion des accès. Vous pouvez utiliser Amazon EventBridge pour informer automatiquement les équipes de développement des nouveaux résultats afin de supprimer tout accès involontaire. Les résultats des accès internes fournissent aux équipes de sécurité la visibilité nécessaire pour renforcer les contrôles d’accès sur leurs ressources critiques et aident les équipes chargées de la conformité à démontrer les exigences en matière d’audit des contrôles d’accès.
L'analyseur d'accès IAM vérifie que les politiques IAM sont conformes à vos normes de sécurité avant les déploiements. Les vérifications de politiques personnalisées utilisent la puissance du raisonnement automatisé afin que les équipes de sécurité puissent détecter de manière proactive les mises à jour non conformes des politiques. Par exemple, les modifications de politique IAM qui sont plus permissives que leur version précédente seraient signalées pour un examen plus approfondi. Les équipes de sécurité peuvent utiliser ces contrôles pour rationaliser leurs évaluations, en approuvant automatiquement les politiques conformes à leurs normes de sécurité et en effectuant des inspections plus approfondies lorsque ce n'est pas le cas. Les équipes de sécurité et de développement peuvent automatiser les révisions des politiques à grande échelle en intégrant des contrôles des politiques personnalisées dans les outils et les environnements dans lesquels les développeurs rédigent leurs politiques, tels que leurs pipelines CI/CD.
Affiner l'accès
Ouvrir tout
L'analyseur d'accès IAM simplifie l'inspection des accès non utilisés afin de vous orienter vers le moindre privilège. Les équipes de sécurité peuvent se servir de l'analyseur d'accès IAM pour bénéficier d'une visibilité sur les accès non utilisés au sein de leur organisation AWS et automatiser l'adaptation des autorisations. L’analyseur d’accès IAM analyse en continu vos comptes pour identifier tout accès non utilisé et propose des recommandations accompagnées de conseils pratiques pour y remédier. Il regroupe les résultats dans un tableau de bord centralisé qui aide les équipes de sécurité à examiner les résultats et à hiérarchiser les comptes en fonction du volume des résultats. Les résultats mettent en évidence les rôles non utilisés, les clés d'accès non utilisées des utilisateurs IAM et les mots de passe non utilisés des utilisateurs IAM. Dans le cas des utilisateurs et des rôles IAM actifs, les résultats indiquent quels services et quelles actions ne sont pas utilisés. Les équipes de sécurité peuvent automatiser les flux de notification de manière à aider les équipes de développement à identifier et à supprimer les accès non utilisés.
L’analyseur d’accès IAM fournit les dernières informations consultées sur la date à laquelle les services AWS et les actions de certains services AWS ont été utilisés pour la dernière fois par un rôle ou un utilisateur via leurs politiques IAM. Cela vous permet d’identifier les possibilités d’affiner vos autorisations. Grâce à ces informations, vous pouvez comparer les autorisations accordées à un rôle ou un utilisateur avec la date du dernier accès à ces autorisations afin de supprimer les accès inutilisés et d’affiner vos autorisations.
Intégrations
Ouvrir tout
Lorsque IAM Access Analyzer est intégré à AWS Security Hub Cloud Security Posture Management (CSPM), les résultats d'accès externes et non utilisés peuvent être envoyés à CSPM et vérifiés par rapport aux normes et meilleures pratiques du secteur de la sécurité. Cela permet une analyse plus approfondie de vos schémas de sécurité et l’identification des problèmes de sécurité les plus urgents. Security Hub peut inclure les résultats de l’analyseur d’accès IAM à son analyse de votre niveau de sécurité.
En intégrant IAM Access Analyzer à Amazon EventBridge, vous pouvez automatiser et adapter le raffinement des autorisations en demandant aux équipes de vérifier et de supprimer les autorisations excessives sur leurs comptes AWS. L'analyseur d'accès IAM envoie un événement à EventBridge lorsqu'un résultat est généré, supprimé ou que son statut change. Pour recevoir des résultats et des notifications concernant les résultats, vous devez activer et créer une règle d’événement dans EventBridge.