Règles d'archivage - AWS Identity and Access Management

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Règles d'archivage

Les règles d'archivage archivent automatiquement les nouveaux résultats qui répondent aux critères que vous définissez lors de la création de la règle. Vous pouvez également appliquer rétroactivement des règles d'archivage pour archiver des résultats existants répondant aux critères de règles d'archivage. Par exemple, vous pouvez créer une règle d’archivage pour archiver automatiquement tous les résultats pour un compartiment Amazon S3 spécifique auquel vous accordez régulièrement l’accès. Si vous accordez à un principal spécifique l'accès à plusieurs ressources, vous pouvez créer une règle qui archive automatiquement tout nouveau résultat généré pour l'accès accordé à ce principal. Cela vous permet de vous concentrer uniquement sur les résultats actifs qui peuvent indiquer un risque de sécurité.

Lorsque vous créez une règle d'archivage, seuls les nouveaux résultats qui correspondent aux critères de la règle sont automatiquement archivés. Les résultats existants ne sont pas automatiquement archivés. Lorsque vous créez une règle, vous pouvez y inclure jusqu'à 20 valeurs par critère. Pour obtenir la liste des clés de filtre que vous pouvez utiliser pour créer ou mettre à jour une règle d'archivage, veuillez consulter Clés de filtre de l’IAM Access Analyzer.

Note

Lorsque vous créez ou modifiez une règle d'archivage, l’IAM Access Analyzer ne valide pas les valeurs que vous incluez dans le filtre de la règle. Par exemple, si vous ajoutez une règle pour correspondre à un Compte AWS, l’analyseur d’accès IAM accepte toute valeur dans le champ, même s’il ne s’agit pas d’un numéro de compte AWS valide.

Pour créer une règle d'archivage

  1. Ouvrez la console IAM à l’adresse https://console.aws.amazon.com/iam/.

  2. Choisissez Accéder à l’analyseur, puis sélectionnez Paramètres de l’analyseur.

  3. Dans la section Analyseurs, choisissez l’analyseur pour lequel vous souhaitez créer une règle d’archivage.

  4. Dans l’onglet Règles d’archivage, choisissez Créer une règle d’archivage.

  5. Entrez un nom pour la règle si vous souhaitez modifier le nom par défaut.

  6. Dans la section Rule (Règle) sous Criteria (Critères), sélectionnez une propriété à faire correspondre pour la règle.

  7. Choisissez une condition pour la valeur de la propriété, telle que Contient, Est ou N’est pas égal à.

    Les opérateurs disponibles dépendent de la propriété que vous sélectionnez.

  8. Vous pouvez également ajouter des valeurs supplémentaires pour la propriété ou ajouter des critères supplémentaires pour la règle. En ce qui concerne les résultats des accès externes, pour vous assurer que votre règle n’archive pas de nouveaux résultats en accès public, vous pouvez également inclure le critère Accès public et lui attribuer la valeur False.

    Pour ajouter une valeur supplémentaire à un critère, sélectionnez Add another value (Ajouter une autre valeur). Pour ajouter un autre critère à la règle, choisissez Ajouter un critère.

  9. Lorsque vous avez terminé d'ajouter des critères et des valeurs, sélectionnez Create rule (Créer une règle) pour appliquer la règle uniquement aux nouveaux résultats. Choisissez Create and archive active findings (Créer et archiver les résultats actifs) pour archiver les résultats nouveaux et existants en fonction des critères de la règle. Dans la section Results (Résultats), vous pouvez consulter la liste des résultats actifs auxquels la règle d'archivage s'applique.

Par exemple, pour créer une règle pour les résultats des accès externes qui archive automatiquement les résultats pour les compartiments Amazon S3 : sélectionnez Type de ressource, puis Est pour la condition. Choisissez ensuite le compartiment S3 dans la liste Valeur.

Pour créer une règle pour les résultats des accès non utilisés qui archive automatiquement tout résultat pour un compte particulier, choisissez Compte propriétaire de la ressource, puis Égal à pour la condition. Entrez l' Compte AWS ID dans la zone de texte Valeur.

Continuez à définir des critères pour personnaliser la règle en fonction de votre environnement, puis sélectionnez Créer une règle.

Si vous créez une règle et ajoutez plusieurs critères, vous pouvez supprimer un critère de la règle en choisissant Remove this criterion (Supprimer ce critère). Vous pouvez supprimer une valeur ajoutée pour un critère en choisissant Remove value (Supprimer la valeur).

Pour modifier une règle d'archivage

  1. Choisissez le nom de la règle à modifier dans la colonne Nom.

    Vous ne pouvez modifier qu'une seule règle d'archivage à la fois.

  2. Ajoutez les nouveaux critères ou supprimez des critères et des valeurs existants pour chaque critère.

  3. Choisissez Enregistrer les modifications pour appliquer la règle uniquement aux nouveaux résultats. Choisissez Enregistrer et archiver les résultats actifs pour archiver les résultats nouveaux et existants en fonction des critères de la règle.

Pour supprimer une règle d'archivage

  1. Cochez la case correspondant aux règles que vous souhaitez supprimer.

  2. Sélectionnez Delete (Supprimer).

  3. Tapez delete dans la boîte de dialogue de confirmation Supprimer une règle d'archivage puis sélectionnez Supprimer.

Les règles sont supprimées uniquement de l'analyseur dans la région actuelle. Vous devez supprimer les règles d'archivage séparément pour chaque analyseur que vous avez créé dans d'autres régions.