IAM vous aide à analyser les accès et vous guide tout au long de votre parcours le moins privilégié. Lorsque vous créez sur AWS, vous devez définir des autorisations détaillées à l'aide de stratégies IAM. IAM Access Analyzer fournit plus de 100 contrôles de stratégies qui vous aident à valider de manière proactive les stratégies lors de leur élaboration. Ces contrôles analysent votre stratégie et signalent les erreurs, avertissements et suggestions avec des recommandations exploitables qui vous guident pour définir des autorisations sûres et fonctionnelles. Tout comme les vérifications de grammaire sur vos outils de traitement de texte préférés, IAM Access Analyzer effectue automatiquement ces vérifications de stratégie lorsque vous créez vos stratégies à l'aide de l'éditeur de stratégie dans la console IAM. Vous pouvez aussi valider vos stratégies par programmation à l'aide des API d'Access Analyzer. IAM Access Analyzer vous permet également de valider les accès publics et entre comptes aux ressources avant de déployer les changements d'autorisations. Vous pouvez prévisualiser les accès dans la console Amazon S3 ou avec les API IAM Access Analyzer.

Tout au long de votre parcours vers le principe de moindre privilège, IAM Access Analyzer vous aide à examiner les accès existants, ce qui vous permet d'identifier et de supprimer les autorisations externes ou inutilisées. Pour vous permettre d'identifier les ressources bénéficiant d'un accès public ou entre comptes, IAM Access Analyzer utilise un raisonnement automatisé pour générer des conclusions complètes sur les ressources accessibles depuis l'extérieur d'un compte AWS. Pour cette analyse, IAM Access Analyzer surveille en continu les stratégies mises à jour ou nouvelles et analyse les autorisations octroyées pour vos compartiments Amazon S3, les clés AWS KMS, les files d'attente Amazon SQS, les rôles IAM AWS, les fonctions AWS Lambda et les secrets AWS Secrets Manager. Pour vous aider à supprimer les autorisations non utilisées, IAM fournit des informations sur le dernier accès afin de préciser quand une entité IAM a utilisé un service ou une action pour la dernière fois. Cela vous aide à réduire les accès en identifiant et en supprimant facilement les autorisations non utilisées. Pour vous aider à définir des garde-fous d'autorisation, vous pouvez également analyser la dernière fois que des entités de votre organisation AWS (telles que des unités d'organisation (UO) ou des comptes) ont accédé à un service. Pour en savoir plus sur la façon d'utiliser les données relatives au « dernier accès » pour prendre des décisions concernant les autorisations octroyées à vos entités AWS Organizations ou IAM, consultez la section Exemples de scénarios relatifs à l'utilisation des données « dernier accès au service ». Les fonctionnalités d'IAM Access Analyzer sont disponibles sans frais supplémentaires dans la console IAM et via les API IAM Access Analyzer.

Avantages

Création guidée de stratégies

IAM Access Analyzer effectue des contrôles de stratégies qui vous aident à définir des autorisations sûres et fonctionnelles. Ces contrôles analysent vos stratégies et signalent les erreurs, avertissements et suggestions avec des recommandations exploitables qui vous aident à valider vos stratégies. Tout comme les vérifications de grammaire sur vos outils de traitement de texte préférés, IAM Access Analyzer effectue automatiquement ces vérifications lorsque vous créez vos stratégies à l'aide de l'éditeur de stratégie de la console IAM. Vous pouvez aussi valider vos stratégies par programmation à l'aide des API IAM Access Analyzer.

Analyse complète pour un accès public et entre comptes

IAM Access Analyzer analyse les stratégies pour vous aider à identifier et à résoudre les accès publics ou entre comptes involontaires à vos ressources. IAM Access Analyzer utilise la logique mathématique et l'inférence pour générer des résultats complets qui identifient les ressources accessibles en dehors d'un compte AWS. Ces résultats vous aident à identifier les ressources dont l'accès public ou entre comptes n'est pas prévu. IAM Access Analyzer évalue les autorisations octroyées à l'aide de stratégies pour vos compartiments Amazon S3, les clés AWS KMS, les files d'attente Amazon SQS, les rôles IAM AWS et les fonctions AWS Lambda, en plus de fournir des résultats détaillés via l'IAM AWS, Amazon S3, les consoles AWS Security Hub et aussi via ses API. Avec IAM Access Analyzer, vous pouvez aussi prévisualiser les résultats et valider le fait que vos changements de stratégies n'octroient que l'accès prévu à vos ressources. En prévisualisant les résultats, vous pouvez empêcher tout accès non intentionnel avant de déployer les autorisations.

Suivi continu et réduction des autorisations

IAM Access Analyzer surveille et analyse en continu les stratégies de ressources nouvelles ou mises à jour pour vous aider à identifier les autorisations qui accordent un accès public et entre comptes. Par exemple, lorsqu'une stratégie d'un compartiment Amazon S3 change, IAM Access Analyzer vous avertit que le compartiment est accessible par des utilisateurs externes au compte.

IAM vous fournit également les informations d'horodatage de l'accès le plus récent d'une entité IAM, comme un rôle IAM, à un service ou une action. Cela vous permet de réduire les autorisations en supprimant les autorisations non utilisées et en n'accordant que les accès nécessaires à l'exécution d'une tâche.

Niveaux d'assurance de la sécurité les plus élevés

IAM Access Analyzer utilise le raisonnement automatisé, une forme de logique mathématique et d'inférence, pour générer des résultats complets qui identifient les ressources accessibles en dehors d'un compte AWS. Nous qualifions ces résultats analytiques de sécurité vérifiable, un niveau plus élevé d'assurance de la sécurité du cloud et dans le cloud. Alors que certains outils vous permettent de tester des scénarios d'accès particuliers, IAM Access Analyzer utilise les mathématiques pour analyser toutes les demandes d'accès possibles et générer des résultats pour les accès externes. Cela vous permet de vérifier l'accès externe en toute confiance.

Fonctionnement de la surveillance de l'accès externe aux ressources

Fonctionnement d'IAM Access Analyzer

Raisonnement automatisé pour les analyses d’accès externes

Le raisonnement automatisé est un domaine de la science cognitive qui automatise différents aspects du raisonnement lié aux mathématiques et à la logique formelle. Le groupe de raisonnement automatisé AWS conçoit des algorithmes et élabore un code qui peut raisonner par rapport aux ressources, aux configurations et à l'infrastructure cloud afin de rapidement garantir les aspects de leurs comportements. Dans le cas des stratégies de ressources, AWS les transforme en formules logiques précises, puis utilise des dispositifs de raisonnement automatisé pour résumer, de façon exhaustive, les ressources qui octroient les accès entre comptes ou publics. Découvrez comment les méthodes et les outils de raisonnement automatisé d'Amazon Web Services permettent un niveau d'assurance de sécurité du cloud plus élevé en consultant « Raisonnement formel concernant AWS ».

En savoir plus sur les fonctionnalités AWS IAM

Consulter la page des fonctionnalités
Prêt à concevoir ?
Démarrer avec AWS IAM
D'autres questions ?
Nous contacter