Résultats d'erreur d'IAM Access Analyzer - AWS Identity and Access Management
Découverte d'erreurs d'accès externesDécouverte d'erreurs d'accès internesRésolution des erreurs détectées

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Résultats d'erreur d'IAM Access Analyzer

Lorsque IAM Access Analyzer analyse les ressources, il génère généralement des résultats indiquant qui a accès à vos ressources. Toutefois, dans certains cas, l'analyseur peut rencontrer des problèmes qui l'empêchent de terminer l'analyse. Dans ces situations, IAM Access Analyzer génère plutôt des résultats d'erreur.

Les erreurs détectées indiquent qu'IAM Access Analyzer n'a pas pu effectuer l'analyse pour une ressource spécifique ou pour une paire principale-ressource spécifique. Ces résultats vous aident à identifier les ressources susceptibles de nécessiter une attention particulière pour garantir une analyse appropriée.

Découverte d'erreurs d'accès externes

Les analyseurs d'accès externes, qui identifient les ressources partagées en dehors de votre compte ou de votre organisation, peuvent générer deux types de résultats d'erreur :

  • INTERNAL_ERROR — Indique qu'IAM Access Analyzer a rencontré un problème interne lors de l'analyse de la ressource. Cela peut être dû à des limitations de service ou à des problèmes temporaires.

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:iam::941407043048:role/TestAccessAnalyzer",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR",
	"createdAt": "2022-07-14T01:31:43.085000+00:00",
	"resourceType": "AWS::IAM::Role",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.109000+00:00",
	"id": "4b035c7d-b7d2-40e4-a6c3-9887d1a995df",
	"updatedAt": "2022-07-14T01:31:43.085000+00:00"
}

  • ACCESS_DENIED — Indique qu'IAM Access Analyzer ne dispose pas des autorisations requises pour analyser la ressource. Cela se produit généralement lorsque le rôle lié au service (SLR) d'IAM Access Analyzer se voit refuser l'accès à la ressource.

    {
	"findingDetails": [
		{
			"externalAccessDetails": {}
		}
	],
	"resource": "arn:aws:kms:us-west-2:941407043048:key/01cae123-b7f2-4488-9a05-0070a072ea2c",
	"status": "ACTIVE",
	"error": "ACCESS_DENIED",
	"createdAt": "2022-07-14T01:31:43.104000+00:00",
	"resourceType": "AWS::KMS::Key",
	"findingType": "ExternalAccess",
	"resourceOwnerAccount": "941407043048",
	"analyzedAt": "2025-03-19T06:51:46.090000+00:00",
	"id": "7ef6f04a-9d2c-4038-9cc0-2a5f00a4d8f8",
	"updatedAt": "2022-07-14T01:31:43.104000+00:00"
}

Découverte d'erreurs d'accès internes

Les analyseurs d'accès internes, qui identifient les accès au sein de votre compte ou de votre organisation, peuvent générer quatre types de résultats d'erreur :

  • PRINCIPAL_LIMIT_EXCEDED — Généré lorsque plus de 3 000 principaux ont accès à une ressource critique. Cette erreur vous aide à identifier les ressources dont l'accès est trop large et qu'il peut être nécessaire de restreindre.

    Si vous apportez des modifications à la ressource ou aux principes de votre environnement qui ramènent le nombre de principes en dessous de la limite, l'analyseur générera des résultats normaux lors de la prochaine analyse, et l'erreur détectée sera marquée comme résolue.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • Erreurs au niveau des ressources (INTERNAL_ERROR ou ACCESS_DENIED) : comme les erreurs d'accès externes, elles indiquent que l'analyseur n'a pas pu analyser une ressource spécifique en raison de problèmes internes ou de problèmes d'autorisation. Lorsqu'une erreur survient au niveau de la ressource, l'analyseur génère un seul résultat d'erreur pour la ressource au lieu des résultats normaux.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

  • Erreurs au niveau principal (INTERNAL_ERROR ou ACCESS_DENIED) : indique que l'analyseur n'a pas pu analyser l'accès d'un principal spécifique à une ressource spécifique. Contrairement aux erreurs au niveau des ressources, une ressource peut présenter à la fois des résultats normaux pour certains principes et des résultats d'erreur pour d'autres principes.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "INTERNAL_ERROR", // can be INTERNAL_ERROR or ACCESS_DENIED
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess", 
	"findingDetails": [
		{
			"internalAccessDetails": {
				"principal": {
					"AWS": "arn:aws:iam::111122223333:role/MyRole_1"
				},
				"principalOwnerAccount": "111122223333",
				"principalType": "IAM_ROLE",
				"accessType": "INTRA_ACCOUNT"
			}
		}
	]
}

  • PRINCIPAL_ERRORS_LIMIT_EXCEDED — Généré lorsqu'un trop grand nombre d'erreurs de niveau principal sont détectées pour une seule ressource. Il s'agit d'un résultat d'erreur au niveau de la ressource qui peut apparaître parallèlement aux résultats normaux pour la même ressource.

    {
	"id": "efec28fe-b304-412f-af0f-704d0d70c79c",
	"status": "ACTIVE",
	"error": "PRINCIPAL_ERRORS_LIMIT_EXCEEDED",
	"resource": "arn:aws:s3:::critical-data",
	"resourceType": "AWS::S3::Bucket",
	"resourceOwnerAccount": "111122223333",
	"createdAt": "2023-11-30T00:56:56.437000+00:00",
	"analyzedAt": "2024-03-06T04:11:54.406000+00:00",
	"updatedAt": "2023-11-30T00:56:56.437000+00:00",
	"findingType": "InternalAccess",
	"resourceControlPolicyRestriction": "NOT_APPLICABLE",
	"serviceControlPolicyRestriction": "NOT_APPLICABLE",
	"findingDetails": [
		{
			"internalAccessDetails": {}
		}
	]
}

Résolution des erreurs détectées

Si vous résolvez le problème qui a empêché l’analyseur d’accès IAM d’analyser la ressource, le résultat d’erreur est complètement supprimé au lieu d’être transformé en résultat résolu.

Pour résoudre les erreurs détectées, envisagez les approches suivantes en fonction du type d'erreur :

  • Pour les erreurs ACCESS_DENIED, vérifiez que le rôle lié au service IAM Access Analyzer dispose des autorisations nécessaires pour accéder à la ressource.

  • Pour les erreurs PRINCIPAL_LIMIT_EXCEDED, passez en revue les politiques d'accès de la ressource et envisagez de restreindre l'accès à un plus petit nombre de personnes principales.

  • Pour les résultats d'INTERNAL_ERROR, vous devrez peut-être attendre un cycle d'analyse suivant ou contacter le AWS support si le problème persiste.

  • Pour PRINCIPAL_ERRORS_LIMIT_EXCEDED, passez en revue et simplifiez éventuellement les modèles d'accès pour la ressource affectée.

Après avoir apporté des modifications pour résoudre les problèmes sous-jacents, IAM Access Analyzer tentera à nouveau d'analyser les ressources lors de son prochain cycle d'analyse.