AWS Identity and Access Management (IAM) vous permet de contrôler les accès et les autorisations aux services et aux ressources AWS, comme les compartiments de stockage et les instances de calcul. Par le biais des stratégies de ressources, par exemple, IAM permet aux clients de contrôler avec précision les personnes pouvant accéder à une ressource spécifique et la manière dont elles peuvent l'utiliser.

Avec le cloud, vous pouvez rapidement lancer des ressources lorsque vous en avez besoin, en déployant des milliers de serveurs en quelques minutes. Il est donc particulièrement important de pouvoir examiner rapidement les stratégies de ressources et d'identifier les ressources qui présentent un accès public ou entre comptes non souhaitable. IAM Access Analyzer génère des résultats complets qui identifient les ressources accessibles en dehors d'un compte AWS. Pour ce faire, IAM Access Analyzer évalue les stratégies de ressources à l'aide d'une interférence et d'une logique mathématique afin de déterminer les chemins d'accès possibles autorisés par les stratégies. IAM Access Analyzer surveille en continu les stratégies mises à jour ou nouvelles et analyse les autorisations octroyées à l'aide des stratégies pour vos compartiments Amazon S3, les clés AWS KMS, les files d'attente Amazon SQS, les rôles IAM AWS ainsi que les fonctions AWS Lambda.

Dans le cadre des bonnes pratiques en matière de sécurité, il est également important d'examiner l'utilisation réelle des autorisations au fil du temps afin que vous puissiez supprimer les autorisations inutiles, conformément au principe de moindre privilège. IAM vous fournit les données relatives au « dernier accès », qui constituent un horodatage décrivant la dernière utilisation d'un service ou d'une action depuis des services supportés, par une entité ou une stratégie IAM, telle qu'un utilisateur ou un rôle. Cela vous permet de facilement identifier les autorisations non utilisées et d'améliorer votre niveau de sécurité en supprimant les autorisations non nécessaires à l'utilisateur, au groupe ou au rôle pour exécuter une tâche spécifique. À partir du compte principal AWS Organizations, vous pouvez également consulter la date et l'heure du dernier accès à un service par la racine d'organisation, les unités d'organisation (UO) et les comptes. Pour en savoir plus sur la façon d'utiliser les données relatives au « dernier accès » pour prendre des décisions concernant les autorisations octroyées à vos entités AWS Organizations ou IAM, reportez-vous à la section Exemples de scénarios relatifs à l'utilisation des données « dernier accès au service ».

Avantages

Gain de temps grâce à l'analyse des stratégies de ressources pour l'accessibilité entre comptes ou publique

Par rapport aux techniques de correspondance de modèles ou d'heuristique qui peuvent durer des jours ou des semaines, IAM Access Analyzer utilise une interférence et une logique mathématique afin de générer, beaucoup plus rapidement, des résultats complets concernant les ressources accessibles en dehors d'un compte AWS. IAM Access Analyzer évalue les autorisations octroyées à l'aide des stratégies pour vos compartiments Amazon S3, les clés AWS KMS, les files d'attente Amazon SQS, les rôles IAM AWS ainsi que les fonctions AWS Lambda. IAM Access Analyzer fournit des résultats détaillés par le biais d'AWS IAM, d'Amazon S3 et des consoles AWS Security Hub, ainsi que par le biais de ses API.

Suivi continu et affinement des autorisations

IAM Access Analyzer surveille et analyse en continu toute stratégie de ressources nouvelle ou mise à jour afin de vous aider à comprendre les potentielles implications en matière de sécurité. Par exemple, lorsqu'une stratégie d'un compartiment Amazon S3 change, IAM vous avertit que le compartiment est accessible par des utilisateurs externes au compte.

IAM vous fournit également des données d'horodatage inhérentes au « dernier accès », qui concernent la dernière utilisation d'un service par une entité ou une stratégie IAM, et ce, afin que vous puissiez facilement identifier et supprimer les autorisations non utilisées pour améliorer votre niveau de sécurité en octroyant uniquement les autorisations requises à l'exécution d'une tâche spécifique.

Niveaux d'assurance de la sécurité les plus élevés

IAM Access Analyzer a recours au raisonnement automatisé, une forme d'interférence et de logique mathématique, afin de déterminer tous les chemins d'accès possibles autorisés par la stratégie d'une ressource. Nous qualifions ces résultats analytiques de sécurité vérifiable, un niveau plus élevé d'assurance de la sécurité du cloud et dans le cloud.

Bien que certains outils vous permettent de tester des scénarios d'accès particuliers, IAM Access Analyzer est en mesure d'utiliser les mathématiques pour analyser toutes les demandes d'accès possibles, ce qui permet de vous assurer que vos stratégies autorisent uniquement les accès que vous souhaitez.

Fonctionnement

Fonctionnement d'IAM Access Analyzer

Raisonnement automatisé pour l'analyse des stratégies

Le raisonnement automatisé est un domaine de la science cognitive qui automatise différents aspects du raisonnement lié aux mathématiques et à la logique formelle. Le groupe de raisonnement automatisé AWS conçoit des algorithmes et élabore un code qui peut raisonner par rapport aux ressources, aux configurations et à l'infrastructure cloud afin de rapidement garantir les aspects de leurs comportements. Dans le cas des stratégies de ressources, AWS les transforme en formules logiques précises, puis utilise des dispositifs de raisonnement automatisé pour résumer, de façon exhaustive, les ressources qui octroient les accès entre comptes ou publics. Découvrez comment les méthodes et les outils de raisonnement automatisé d'Amazon Web Services permettent un niveau d'assurance de sécurité du cloud plus élevé en consultant « Raisonnement formel concernant AWS ».

En savoir plus sur les fonctionnalités AWS IAM

Consulter la page des fonctionnalités
Prêt à concevoir ?
Démarrer avec AWS IAM
D'autres questions ?
Contactez-nous