Création d’un analyseur d’accès IAM pour l’analyse de l’accès non utilisé - AWS Identity and Access Management
Création d’un analyseur d’accès non utilisé pour le compte actuelCréation d’un analyseur d’accès non utilisé avec l’organisation actuelle

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Création d’un analyseur d’accès IAM pour l’analyse de l’accès non utilisé

Création d’un analyseur d’accès non utilisé pour le compte actuel

Suivez la procédure suivante pour créer un analyseur d’accès non utilisé pour un seul Compte AWS. En cas d’accès non utilisé, les résultats de l’analyseur ne changent pas en fonction de la région. Il n’est pas nécessaire de créer un analyseur dans chaque région où vous disposez de ressources.

L’analyseur d’accès IAM facture l’analyse des accès non utilisés en fonction du nombre de rôles et d’utilisateurs IAM analysés par mois et par analyseur. Pour plus d’informations sur les tarifs, consultez la Tarification de l’analyseur d’accès IAM.

Note

Après avoir créé ou mis à jour un analyseur, la disponibilité des résultats peut prendre un certain temps.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Sous Analyseur d’accès, sélectionnez Paramètres de l’analyseur.

  3. Sélectionnez Create Analyzer (créer un analyseur).

  4. Dans la section Analyse, choisissez Analyse principale - Accès non utilisé.

  5. Entrez un nom pour l'analyseur.

  6. Pour Période de suivi, entrez le nombre de jours d'analyse. L'analyseur évaluera uniquement les autorisations pour les entités IAM du compte sélectionné qui ont existé pendant toute la période de suivi. Par exemple, si vous définissez une période de suivi de 90 jours, seules les autorisations datant d'au moins 90 jours seront analysées et des résultats seront générés s'ils ne montrent aucune utilisation pendant cette période. Vous pouvez saisir une valeur comprise entre 1 et 365 jours.

  7. Dans la section Informations sur l’analyseur, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.

  8. Pour Comptes sélectionnés, choisissez Compte courant.

    Note

    Si votre compte n'est pas le compte AWS Organizations de gestion ou le compte administrateur délégué, vous ne pouvez créer qu'un seul analyseur avec votre compte comme compte sélectionné.

  9. Facultatif. Dans la section Exclure les personnes et les rôles IAM à l’aide de balises, vous pouvez spécifier des paires clé-valeur pour les utilisateurs et les rôles IAM à exclure de l’analyse des accès non utilisés. Les résultats ne seront pas générés pour les utilisateurs IAM et les rôles exclus correspondant aux paires clé-valeur. Pour la clé de balise, saisissez une valeur comprise entre 1 et 128 caractères. Elle ne peut pas commencer par aws:. Pour la valeur, vous pouvez spécifier une valeur comprise entre 0 et 256 caractères. Si vous ne saisissez pas de valeur, la règle est appliquée à tous les principaux ayant la clé de balise spécifiée. Choisissez Ajouter une nouvelle exclusion pour ajouter des paires clé-valeur supplémentaires à exclure.

  10. Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.

  11. Sélectionnez Create Analyzer (créer un analyseur).

Lorsque vous créez un analyseur d’accès non utilisé pour activer l’analyseur d’accès IAM, un rôle lié au service nommé AWSServiceRoleForAccessAnalyzer est créé dans votre compte.

Création d’un analyseur d’accès non utilisé avec l’organisation actuelle

Utilisez la procédure suivante pour créer un analyseur d'accès inutilisé permettant à une organisation de passer Comptes AWS en revue de manière centralisée l'ensemble de l'organisation. Pour l’analyse des accès non utilisés, les résultats de l’analyseur ne changent pas en fonction de la région. Il n’est pas nécessaire de créer un analyseur dans chaque région où vous disposez de ressources.

L’analyseur d’accès IAM facture l’analyse des accès non utilisés en fonction du nombre de rôles et d’utilisateurs IAM analysés par mois et par analyseur. Pour plus d’informations sur les tarifs, consultez la Tarification de l’analyseur d’accès IAM.

Note

Si le compte d’un membre est supprimé de l’organisation, l’analyseur d’accès non utilisé cessera de générer de nouveaux résultats et de mettre à jour les résultats existants pour ce compte au bout de 24 heures. Les résultats associés au compte membre supprimé de l’organisation seront définitivement supprimés après 90 jours.

  1. Ouvrez la console IAM à l'adresse https://console.aws.amazon.com/iam/.

  2. Sous Analyseur d’accès, sélectionnez Paramètres de l’analyseur.

  3. Sélectionnez Create Analyzer (créer un analyseur).

  4. Dans la section Analyse, choisissez Analyse principale - Accès non utilisé.

  5. Entrez un nom pour l'analyseur.

  6. Pour Période de suivi, entrez le nombre de jours d'analyse. L'analyseur évaluera uniquement les autorisations pour les entités IAM dans les comptes de l'organisation sélectionnée qui ont existé pendant toute la période de suivi. Par exemple, si vous définissez une période de suivi de 90 jours, seules les autorisations datant d'au moins 90 jours seront analysées et des résultats seront générés s'ils ne montrent aucune utilisation pendant cette période. Vous pouvez saisir une valeur comprise entre 1 et 365 jours.

  7. Dans la section Informations sur l’analyseur, vérifiez que la région affichée est celle dans laquelle vous souhaitez activer l’analyseur d’accès IAM.

  8. Pour Comptes sélectionnés, sélectionnez Organisation actuelle.

  9. Facultatif. Dans la section Exclure Comptes AWS de l'analyse, vous pouvez choisir Comptes AWS dans votre organisation d'exclure de l'analyse des accès non utilisés. Les résultats ne seront pas générés pour les comptes exclus.

    1. Pour spécifier le compte individuel IDs à exclure, choisissez Spécifier l' Compte AWS ID et entrez le compte IDs séparé par des virgules dans le champ Compte AWS ID. Choisissez Exclure. Les comptes sont ensuite répertoriés dans le tableau Comptes AWS à exclure.

    2. Pour choisir parmi une liste des comptes de votre organisation à exclure, sélectionnez Choisir parmi l’organisation.

      1. Vous pouvez rechercher des comptes par nom, e-mail et ID de compte dans le champ Exclusion de comptes de l’organisation.

      2. Choisissez Hiérarchie pour afficher vos comptes par unité d’organisation ou choisissez Liste pour afficher la liste de tous les comptes de votre organisation.

      3. Choisissez Exclure tous les comptes actuels pour exclure tous les comptes d’une unité d’organisation ou choisissez Exclure pour exclure des comptes un par un.

    Les comptes sont ensuite répertoriés dans le tableau Comptes AWS à exclure.

    Note

    Le compte propriétaire de l’analyseur d’organisation ne peut pas être l’un des comptes exclus. Lorsque de nouveaux comptes sont ajoutés à votre organisation, ils ne sont pas exclus de l’analyse, même si vous avez précédemment exclu tous les comptes actuels d’une unité d’organisation. Pour plus d’informations sur l’exclusion de comptes après la création d’un analyseur d’accès non utilisé, consultez Gestion d’un analyseur d’accès IAM pour l’analyse de l’accès non utilisé.

  10. Facultatif. Dans la section Exclure les personnes et les rôles IAM à l’aide de balises, vous pouvez spécifier des paires clé-valeur pour les utilisateurs et les rôles IAM à exclure de l’analyse des accès non utilisés. Les résultats ne seront pas générés pour les utilisateurs IAM et les rôles exclus correspondant aux paires clé-valeur. Pour la clé de balise, saisissez une valeur comprise entre 1 et 128 caractères. Elle ne peut pas commencer par aws:. Pour la valeur, vous pouvez spécifier une valeur comprise entre 0 et 256 caractères. Si vous ne saisissez pas de valeur, la règle est appliquée à tous les principaux ayant la clé de balise spécifiée. Choisissez Ajouter une nouvelle exclusion pour ajouter des paires clé-valeur supplémentaires à exclure.

  11. Facultatif. Ajoutez les balises que vous souhaitez appliquer à l'analyseur.

  12. Sélectionnez Create Analyzer (créer un analyseur).

Lorsque vous créez un analyseur d’accès non utilisé pour activer l’analyseur d’accès IAM, un rôle lié au service nommé AWSServiceRoleForAccessAnalyzer est créé dans votre compte.