Création d'un analyseur d'accès interne IAM Access Analyzer - AWS Identity and Access Management
Créez un analyseur d'accès interne avec Compte AWS la zone de confianceCréez un analyseur d'accès interne avec l'organisation comme zone de confiance

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d'un analyseur d'accès interne IAM Access Analyzer

Pour activer un analyseur d'accès interne dans une région, vous devez créer un analyseur dans cette région. Vous devez créer un analyseur d'accès interne dans chaque région dans laquelle vous souhaitez surveiller l'accès à vos ressources.

IAM Access Analyzer facture l'analyse des accès internes en fonction du nombre de ressources surveillées par analyseur et par mois. Pour plus d’informations sur les tarifs, consultez la Tarification de l’analyseur d’accès IAM.

Note

Après avoir créé ou mis à jour un analyseur, la disponibilité des résultats peut prendre un certain temps.

IAM Access Analyzer ne peut pas générer de résultats d'accès internes pour les organisations comptant plus de 70 000 principaux (utilisateurs et rôles IAM combinés).

Vous ne pouvez créer qu'un seul analyseur d'accès interne au niveau de l'organisation dans une organisation. AWS

Créez un analyseur d'accès interne avec Compte AWS la zone de confiance

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Sous Analyseur d’accès, sélectionnez Paramètres de l’analyseur.

  3. Sélectionnez Create Analyzer (créer un analyseur).

  4. Dans la section Analyse, choisissez Analyse des ressources - Accès interne.

  5. Dans la section Informations sur l’analyseur, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.

  6. Entrez un nom pour l'analyseur.

  7. Choisissez Compte courant comme zone de confiance pour l'analyseur.

    Note

    Si votre compte n'est pas le compte AWS Organizations de gestion ou le compte administrateur délégué, vous ne pouvez créer qu'un seul analyseur avec votre compte comme zone de confiance.

  8. Dans la section Ressources à analyser, ajoutez les ressources à surveiller par l'analyseur.

  9. Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.

  10. Sélectionnez Create Analyzer (créer un analyseur).

Lorsque vous créez un analyseur d'accès interne pour activer IAM Access Analyzer, un rôle lié à un service nommé AWSServiceRoleForAccessAnalyzer est créé dans votre compte.

Créez un analyseur d'accès interne avec l'organisation comme zone de confiance

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Sous Analyseur d’accès, sélectionnez Paramètres de l’analyseur.

  3. Sélectionnez Create Analyzer (créer un analyseur).

  4. Dans la section Analyse, choisissez Analyse des ressources - Accès interne.

  5. Dans la section Informations sur l’analyseur, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.

  6. Entrez un nom pour l'analyseur.

  7. Choisissez Organisation entière comme zone de confiance pour l'analyseur.

  8. Dans la section Ressources à analyser, ajoutez les ressources à surveiller par l'analyseur.

    • Pour ajouter des ressources au compte, choisissez Ajouter des ressources > Ajouter des ressources à partir des comptes sélectionnés.

      1. Choisissez Tous les types de ressources pris en charge ou choisissez Définir des types de ressources spécifiques et sélectionnez les types de ressources dans la liste des types de ressources.

        Les analyseurs d'accès internes prennent en charge les types de ressources suivants :

      2. Pour sélectionner des comptes au sein de votre organisation, choisissez Sélectionner dans une organisation. Dans la section Sélectionner les comptes, choisissez Hiérarchie pour sélectionner les comptes par structure organisationnelle ou Liste pour sélectionner les comptes dans la liste de tous les comptes de votre organisation.

        Pour saisir manuellement les comptes de votre organisation, choisissez Enter AWS account ID. Entrez un ou plusieurs éléments Compte AWS IDs séparés par des virgules dans le champ ID du AWS compte.

      3. Choisissez Ajouter des ressources.

    • Pour ajouter des ressources par Amazon Resource Name (ARN), choisissez Ajouter des ressources > Ajouter des ressources en collant l'ARN de la ressource.

      1. Pour chaque ARN de ressource, entrez l'ID du propriétaire du compte et l'ARN de la ressource séparés par une virgule. Entrez un identifiant de propriétaire du compte et un ARN de ressource par ligne.

      2. Choisissez Ajouter des ressources.

    • Pour ajouter des ressources par le biais d'un fichier CSV, choisissez Ajouter des ressources > Ajouter des ressources en chargeant un fichier CSV.

      Vous pouvez l'utiliser Explorateur de ressources AWSpour rechercher des ressources dans vos comptes et exporter un fichier CSV. Vous pouvez ensuite télécharger le fichier CSV pour configurer les ressources à surveiller par l'analyseur.

      1. Choisissez Choisir un fichier et sélectionnez le fichier CSV sur votre ordinateur.

      2. Choisissez Ajouter des ressources.

  9. Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.

  10. Sélectionnez Envoyer.

Lorsque vous créez un analyseur d'accès interne avec l'organisation comme zone de confiance, un rôle lié au service nommé AWSServiceRoleForAccessAnalyzer est créé dans chaque compte de votre organisation.