IAMGénération de politiques Access Analyzer

En tant qu'administrateur ou développeur, vous pouvez accorder des autorisations aux IAM entités (utilisateurs ou rôles) au-delà de ce dont elles ont besoin. IAMpropose plusieurs options pour vous aider à affiner les autorisations que vous accordez. L'une des options consiste à générer une IAM politique basée sur l'activité d'accès d'une entité. IAMAccess Analyzer examine vos AWS CloudTrail journaux et génère un modèle de politique qui contient les autorisations utilisées par l'entité dans la plage de dates spécifiée. Vous pouvez utiliser le modèle pour créer une politique avec des autorisations précises qui accordent uniquement les autorisations requises pour prendre en charge votre cas d'utilisation spécifique.

Rubriques

• Processus de génération de politique
• Informations de niveau service et action
• Points à noter sur la génération de politiques
• Autorisations nécessaires pour générer une politique
• Génération d'une politique basée sur CloudTrail l'activité (console)
• Générer une politique en utilisant AWS CloudTrail les données d'un autre compte
• Générer une politique basée sur CloudTrail l'activité (AWS CLI)
• Générer une politique basée sur CloudTrail l'activité (AWS API)
• IAMServices de génération de politiques Access Analyzer

Processus de génération de politique

IAMAccess Analyzer analyse vos CloudTrail événements pour identifier les actions et les services utilisés par une IAM entité (utilisateur ou rôle). Il génère ensuite une IAM politique basée sur cette activité. Vous pouvez ajuster les autorisations d'une entité en remplaçant la politique d'autorisations étendues attachée à l'entité par la politique générée. Voici un aperçu général du processus de génération de politique.

• Configuration pour la génération de modèles de politique : vous spécifiez une période maximale de 90 jours pour qu'IAMAccess Analyzer analyse vos AWS CloudTrail événements historiques. Vous devez spécifier un rôle de service existant ou en créer un nouveau. Le rôle de service permet IAM à Access Analyzer d'accéder à votre CloudTrail historique et aux dernières informations auxquelles vous avez accédé afin d'identifier les services et les actions utilisés. Vous devez spécifier la CloudTrail trace qui enregistre les événements pour le compte avant de pouvoir générer une politique. Pour plus d'informations sur les quotas IAM d'Access Analyzer pour les CloudTrail données, consultez la section Quotas IAMd'Access Analyzer.

• Générer une politique — IAM Access Analyzer génère une politique basée sur l'activité d'accès lors de vos CloudTrail événements.

• Examiner et personnaliser la politique : Une fois la politique générée, vous pouvez consulter les services et actions qui ont été utilisés par l'entité pendant la plage de dates spécifiée. Vous pouvez personnaliser davantage la politique en ajoutant ou en supprimant des autorisations, en spécifiant des ressources et en ajoutant des conditions au modèle de politique.

• Créer et attacher une politique : Vous avez la possibilité d'enregistrer la politique générée en créant une politique gérée. Vous pouvez attacher la politique que vous créez à l'utilisateur ou au rôle dont l'activité a été utilisée pour générer la politique.

Informations de niveau service et action

Lorsqu'IAMAccess Analyzer génère une IAM politique, des informations sont renvoyées pour vous aider à personnaliser davantage la politique. Deux catégories d'informations peuvent être renvoyées lorsqu'une politique est générée :

• Politique avec informations au niveau de l'action — Pour certains AWS services, tels qu'AmazonEC2, IAM Access Analyzer peut identifier les actions trouvées dans vos CloudTrail événements et répertorie les actions utilisées dans la politique qu'il génère. Pour obtenir la liste des services pris en charge, consultez IAMServices de génération de politiques Access Analyzer. Pour certains services, IAM Access Analyzer vous invite à ajouter des actions relatives aux services à la politique générée.

• Politique avec informations sur le niveau de service : IAM Access Analyzer utilise les dernières informations consultées pour créer un modèle de politique avec tous les services récemment utilisés. Lorsque vous utilisez le AWS Management Console, nous vous invitons à consulter les services et à ajouter des actions pour compléter la politique.

Pour obtenir la liste des actions de chaque service, consultez la section Actions, ressources et clés de condition pour les AWS services dans la référence d'autorisation des services.

Points à noter sur la génération de politiques

Avant de générer une politique, veuillez consulter les conseils clés suivants.

• Activer un CloudTrail suivi : vous devez avoir activé un CloudTrail suivi pour que votre compte puisse générer une politique basée sur l'activité d'accès. Lorsque vous créez un CloudTrail suivi, les CloudTrail événements liés à celui-ci sont envoyés vers un compartiment Amazon S3 que vous spécifiez. Pour savoir comment créer un CloudTrail parcours, consultez la section Création d'un parcours pour votre AWS compte dans le Guide de AWS CloudTrail l'utilisateur.

• Événements de données non disponibles — IAM Access Analyzer n'identifie pas l'activité au niveau de l'action pour les événements de données, tels que les événements de données Amazon S3, dans les politiques générées.

• PassRole— L'iam:PassRoleaction n'est pas suivie CloudTrail et n'est pas incluse dans les politiques générées.

• Réduire le temps de génération des politiques– Pour générer une politique plus rapidement, réduisez la plage de dates spécifiée lors de la configuration.

• Utilisation CloudTrail à des fins d'audit : n'utilisez pas la génération de politiques à des fins d'audit ; CloudTrail utilisez-la plutôt. Pour plus d'informations sur l'utilisation CloudTrail, consultez la section Journalisation IAM et AWS STS API appels avec AWS CloudTrail.

• Actions refusées : la génération de politiques passe en revue tous les CloudTrail événements, y compris les actions refusées.

• IAMConsole de politique unique : vous ne pouvez générer qu'une seule politique à la fois dans la IAM console.

• IAMConsole de disponibilité des politiques générée : vous pouvez consulter une politique générée dans la IAM console jusqu'à 7 jours après sa création. Après 7 jours, vous devez générer une nouvelle politique.

• Quotas de génération de politiques : pour plus d'informations sur les quotas de génération de politiques d'IAMAccess Analyzer, voir Quotas IAMd'Access Analyzer.

• Les tarifs standard d'Amazon S3 s'appliquent : lorsque vous utilisez la fonctionnalité de génération de politiques, IAM Access Analyzer examine CloudTrail les journaux de votre compartiment S3. Aucun frais de stockage supplémentaire n'est facturé pour accéder à vos CloudTrail journaux afin de générer des politiques. AWS facture les tarifs standard d'Amazon S3 pour les demandes et le transfert de données des CloudTrail journaux stockés dans votre compartiment S3.

• AWS Control Tower support — La génération de politiques ne prend pas en AWS Control Tower charge la génération de politiques.

Autorisations nécessaires pour générer une politique

Les autorisations dont vous avez besoin pour générer une politique pour la première fois diffèrent de celles dont vous avez besoin pour générer une politique les fois suivantes.

Première configuration

Lorsque vous générez une politique pour la première fois, vous devez choisir un rôle de service existant approprié dans votre compte ou créer un nouveau rôle de service. Le rôle de service permet IAM à Access Analyzer d'accéder aux CloudTrail informations de votre compte auxquelles vous avez accédé pour la dernière fois. Seuls les administrateurs doivent disposer des autorisations nécessaires pour créer et configurer des rôles. Par conséquent, nous recommandons qu'un administrateur crée le rôle de service lors de la première installation. Pour en savoir plus sur les autorisations requises pour créer des rôles de service, voir Création d'un rôle pour déléguer des autorisations à un AWS service.

Autorisations nécessaires pour le rôle de service

Lorsque vous créez un rôle de service, vous configurez deux politiques pour ce rôle. Vous associez une politique d'IAMautorisation au rôle qui précise ce que le rôle peut faire. Vous lui attachez également une politique d'approbation de rôle, qui spécifie le principal qui peut utiliser le rôle.

Le premier exemple de politique correspond à une politique d'autorisations à attacher au rôle de service requis pour générer une politique. Le deuxième exemple de politique correspond à une politique d'approbation de rôle à attacher au rôle de service. Vous pouvez utiliser ces politiques pour créer un rôle de service lorsque vous utilisez AWS API ou AWS CLI pour générer une politique. Lorsque vous utilisez la IAM console pour créer un rôle de service dans le cadre du processus de génération de politiques, nous générons ces politiques pour vous.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudtrail:GetTrail",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetServiceLastAccessedDetails",
                "iam:GenerateServiceLastAccessedDetails"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

L'exemple de politique suivant montre la politique d'approbation des rôles avec les autorisations qui permettent IAM à Access Analyzer d'assumer le rôle.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "access-analyzer.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Utilisations ultérieures

Pour générer des politiques dans le AWS Management Console, un IAM utilisateur doit disposer d'une politique d'autorisations lui permettant de transmettre le rôle de service utilisé pour la génération des politiques à IAM Access Analyzer. iam:PassRoleest généralement accompagné de iam:GetRole manière à ce que l'utilisateur puisse obtenir les détails du rôle à transmettre. Dans cet exemple, l'utilisateur peut transférer uniquement les rôles qui existent dans le compte spécifié avec des noms qui commencent par AccessAnalyzerMonitorServiceRole*. Pour en savoir plus sur le transfert de IAM rôles aux AWS services, consultez la section Accorder à un utilisateur l'autorisation de transférer un rôle à un AWS service.

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUserToPassRole",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/AccessAnalyzerMonitorServiceRole*"
    }
  ]
}

Vous devez également disposer des autorisations IAM Access Analyzer suivantes pour générer des politiques dans AWS Management Console AWS API, ou AWS CLI comme indiqué dans la déclaration de politique suivante.

{
  "Sid": "AllowUserToGeneratePolicy",
  "Effect": "Allow",
  "Action": [
    "access-analyzer:CancelPolicyGeneration",
    "access-analyzer:GetGeneratedPolicy",
    "access-analyzer:ListPolicyGenerations",
    "access-analyzer:StartPolicyGeneration"
  ],
  "Resource": "*"
}

Pour la première fois et les utilisations ultérieures

Lorsque vous utilisez le AWS Management Console pour générer une politique, vous devez être cloudtrail:ListTrails autorisé à répertorier les CloudTrail sentiers de votre compte, comme indiqué dans la déclaration de politique suivante.

{
  "Sid": "AllowUserToListTrails",
  "Effect": "Allow",
  "Action": [
    "CloudTrail:ListTrails"
  ],
  "Resource": "*"
}

Génération d'une politique basée sur CloudTrail l'activité (console)

Vous pouvez générer une politique pour un IAM utilisateur ou un rôle.

Étape 1 : générer une politique basée sur CloudTrail l'activité

La procédure suivante explique comment générer une politique pour un rôle à l'aide de la AWS Management Console.

Générer une politique pour un IAM rôle

1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

2. Dans le panneau de navigation de gauche, sélectionnez Roles (Rôles).

   Note

   Les étapes pour générer une politique basée sur l'activité d'un IAM utilisateur sont presque identiques. Dans ce cas, sélectionnez Users (Utilisateurs) au lieu de Roles (Rôles).

3. Dans la liste des rôles de votre compte, sélectionnez le nom du rôle dont vous souhaitez utiliser l'activité pour générer une politique.

4. Dans l'onglet Autorisations, dans la section Générer une politique basée sur CloudTrail les événements, choisissez Générer une politique.

5. Sur la page Générer une politique, spécifiez la période pendant laquelle vous souhaitez qu'IAMAccess Analyzer analyse vos CloudTrail événements afin de détecter les actions entreprises avec le rôle. Vous pouvez choisir une plage allant jusqu'à 90 jours. Nous vous recommandons de choisir la période la plus courte possible afin de réduire le temps de génération de politique.

6. Dans la section CloudTrail Accès, choisissez un rôle existant approprié ou créez-en un nouveau s'il n'existe pas de rôle approprié. Le rôle donne IAM à Access Analyzer l'autorisation d'accéder à vos CloudTrail données en votre nom afin d'examiner les activités d'accès afin d'identifier les services et les actions qui ont été utilisés. Pour en savoir plus sur les autorisations requises pour ce rôle, veuillez consulter Autorisations nécessaires pour générer une politique.

7. Dans la CloudTrail section Suivi à analyser, spécifiez le CloudTrail suivi qui enregistre les événements du compte.

   Si vous choisissez un CloudTrail parcours qui stocke les journaux sur un autre compte, une boîte d'information concernant l'accès entre comptes s'affiche. L'accès intercompte nécessite une configuration supplémentaire. Pour en savoir plus, veuillez consulter Choose a role for cross-account access plus loin dans cette rubrique.

8. Sélectionnez Generate policy (Générer une politique).

9. Lorsque la génération de politique est en cours, vous revenez à la page Roles Summary (Récapitulatif des rôles) sous l'onglet Permissions (Autorisations). Attendez que le statut de la section Policy request details (Détails de la demande de politique) affiche Success (Succès), puis sélectionnez View generated policy (Afficher la politique générée). Vous pouvez afficher la politique générée pendant sept jours au maximum. Si vous générez une autre politique, la politique existante est remplacée par la nouvelle politique que vous générez.

Étape 2 : Examiner les autorisations et ajouter des actions pour les services utilisés

Passez en revue les services et les actions qu'IAMAccess Analyzer a identifiés et utilisés par le rôle. Vous pouvez ajouter des actions pour tous les services qui ont été utilisés dans le modèle de politique généré.

1. Examinez les sections suivantes :

   • Sur la page Review permissions (Vérifier les autorisations), veuillez consulter la liste des Actions included in the generated policy (Actions incluses dans la politique générée). La liste affiche les services et les actions identifiés par IAM Access Analyzer comme étant utilisés par le rôle dans la plage de dates spécifiée.

   • La section Services utilisés affiche les services supplémentaires identifiés par IAM Access Analyzer qui ont été utilisés par le rôle dans la plage de dates spécifiée. Il est possible que les informations sur les actions utilisées ne soient pas disponibles pour les services répertoriés dans cette section. Utilisez les menus de chaque service répertorié pour choisir manuellement les actions à inclure dans la politique.

2. Lorsque vous avez terminé d'ajouter des actions, cliquez sur Next (Suivant).

Étape 3 : Personnaliser la politique générée

Vous pouvez personnaliser la politique en ajoutant ou en supprimant des autorisations ou en spécifiant des ressources.

Pour personnaliser la politique générée

1. Mettez à jour le modèle de politique. Le modèle de politique contient des ARN espaces réservés aux ressources pour les actions qui prennent en charge les autorisations au niveau des ressources, comme illustré dans l'image suivante. Les autorisations au niveau des ressources font référence à la possibilité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à exécuter des actions. Nous vous recommandons de spécifier vos ressources individuelles dans la politique pour les actions qui prennent en charge les autorisations au niveau des ressources. ARNs Vous pouvez remplacer la ressource fictive par ARNs une ressource valide ARNs pour votre cas d'utilisation.

   Si une action ne prend pas en charge les autorisations au niveau des ressources, utilisez un caractère générique (*) pour spécifier que toutes les ressources peuvent être concernées par l'action. Pour savoir quels AWS services prennent en charge les autorisations au niveau des ressources, consultez la section AWS Services compatibles avec. IAM Pour obtenir la liste des actions dans chaque service et pour savoir quelles actions prennent en charge les autorisations au niveau des ressources, veuillez consulter Actions, ressources et clés de condition pour les services AWS.

   

2. (Facultatif) Ajoutez, modifiez ou supprimez des déclarations de JSON politique dans le modèle. Pour en savoir plus sur la rédaction de JSON politiques, consultez la section Création de IAM politiques (console).

3. Lorsque vous avez terminé de personnaliser le modèle de politique, vous disposez des options suivantes :

   • (Facultatif) Vous pouvez le copier JSON dans le modèle pour l'utiliser séparément en dehors de la page de politique générée. Par exemple, si vous souhaitez utiliser le JSON pour créer une politique dans un autre compte. Si la politique de votre modèle dépasse la limite de 6 144 caractères pour les JSON politiques, elle est divisée en plusieurs politiques.

   • Cliquez sur Next (Suivant) pour consulter et créer une politique gérée dans le même compte.

Étape 4 : Examiner et créer une politique gérée

Si vous êtes autorisé à créer et à joindre des IAM politiques, vous pouvez créer une politique gérée à partir de la politique qui a été générée. Vous pouvez ensuite attacher la politique à un utilisateur ou à un rôle de votre compte.

Pour examiner et créer une politique

1. Dans la page Review and create managed policy (Examiner et créer une politique), spécifiez un nom sous Name et une Description (facultatif) pour la politique que vous êtes en train de créer.

2. (Facultatif) Dans la section Summary (Résumé), vous pouvez consulter les autorisations qui seront incluses dans la politique.

3. (Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour plus d'informations sur l'utilisation des balisesIAM, consultez la section IAMRessources de balisage.

4. Lorsque vous avez terminé, effectuez l'une des opérations suivantes :

   • Vous pouvez attacher la nouvelle politique directement au rôle qui a été utilisé pour générer la politique. Pour ce faire, en bas de la page, cochez la case à côté de la politique Attacher à YourRoleName. Choisissez ensuite Create and attach policy.

   • Sinon, cliquez sur Create policy (Créer une politique). Vous trouverez la politique que vous avez créée dans la liste des politiques du volet de navigation Politiques de la IAM console.

5. Vous pouvez attacher la politique que vous avez créée à une entité de votre compte. Après avoir attaché la politique, vous pouvez supprimer toute autre politique trop étendue qui pourrait être attachée à l'entité. Pour savoir comment associer une politique gérée, consultez la section Ajout IAM d'autorisations d'identité (console).

Générer une politique en utilisant AWS CloudTrail les données d'un autre compte

Vous pouvez créer des CloudTrail pistes qui stockent les données dans des comptes centraux afin de rationaliser les activités de gouvernance. Par exemple, vous pouvez l'utiliser AWS Organizations pour créer un journal qui enregistre tous les événements pour tous les membres Comptes AWS de cette organisation. La piste appartient à un compte central. Si vous souhaitez générer une politique pour un utilisateur ou un rôle dans un compte différent de celui dans lequel sont stockées vos données de CloudTrail journal, vous devez accorder un accès entre comptes. Pour ce faire, vous avez besoin à la fois d'un rôle et d'une politique de compartiment qui accordent IAM à Access Analyzer des autorisations sur vos CloudTrail journaux. Pour plus d'informations sur la création de pistes Organisations, veuillez consulter Creating a trail for an organization (Création d'une piste pour une organisation).

Dans cet exemple, supposons que vous souhaitiez générer une politique pour un utilisateur ou un rôle dans le compte A. L' CloudTrail historique du compte A stocke les CloudTrail journaux dans un compartiment du compte B. Avant de pouvoir générer une politique, vous devez effectuer les mises à jour suivantes :

1. Choisissez un rôle existant ou créez un nouveau rôle de service qui accorde à IAM Access Analyzer l'accès au bucket du compte B (où sont stockés vos CloudTrail journaux).

2. Vérifiez la propriété des objets du compartiment Amazon S3 et la politique d'autorisation du compartiment dans le compte B afin qu'IAMAccess Analyzer puisse accéder aux objets du compartiment.

Étape 1 : choisir ou créer un rôle pour l'accès intercompte

• Sur l'écran Generate policy (Générer une politique), l'optionUse an existing role (Utiliser un rôle existant) est présélectionnée pour vous si un rôle avec les autorisations requises existe dans votre compte. Sinon, sélectionnez Create and use a new service role (Créer et utiliser un nouveau rôle de service). Le nouveau rôle est utilisé pour accorder à IAM Access Analyzer l'accès à votre compte CloudTrail de connexion B.

Étape 2 : vérifier la configuration du compartiment Amazon S3 dans le compte B

1. Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.

2. Dans la liste des compartiments, choisissez le nom du compartiment dans lequel sont stockés vos CloudTrail journaux de suivi.

3. Choisissez l'onglet Permissions (Autorisations) et accédez à la section Object ownership (Propriété des objets).

   Utilisez les paramètres de propriété des objets du compartiment Amazon S3 pour contrôler la propriété des objets que vous chargez dans vos compartiments. Par défaut, lorsque d'autres Comptes AWS chargent des objets dans votre compartiment, le compte de téléchargement est propriétaire des objets. Pour générer une politique, le propriétaire du compartiment doit posséder tous les objets du compartiment. En fonction de votre cas ACL d'utilisation, vous devrez peut-être modifier le paramètre de propriété de l'objet pour votre bucket. Définissez Object Ownership (Propriété de l'objet) sur l'une des options suivantes.

   • Bucket owner enforced (Propriétaire du compartiment imposé) (recommandé)

   • Bucket owner preferred (Propriétaire du compartiment préféré)

   Important

   Pour générer une politique avec succès, les objets du compartiment doivent appartenir au propriétaire du compartiment. Si vous choisissez d'utiliser Bucket owner preferred (Propriétaire du compartiment préféré), vous ne pouvez générer une politique que pour la période qui suit la modification de propriété de l'objet.

   Pour en savoir plus sur la propriété des objets dans Amazon S3, consultez la section Contrôle de la propriété des objets et désactivation ACLs de votre compartiment dans le guide de l'utilisateur d'Amazon S3.

4. Ajoutez des autorisations à votre politique de compartiment Amazon S3 dans le compte B afin d'autoriser l'accès au rôle dans le compte A.

   L'exemple de politique suivant autorise ListBucket et GetObject pour le compartiment nommé amzn-s3-demo-bucket. Il autorise l'accès si le rôle accédant au compartiment appartient à un compte de votre organisation et a un nom commençant par AccessAnalyzerMonitorServiceRole. L'utilisation de l'Resourceélément Condition en aws:PrincipalArntant qu'élément garantit que le rôle ne peut accéder à l'activité du compte que s'il appartient au compte A. Vous pouvez le amzn-s3-demo-bucket remplacer par le nom de votre bucket, optional-prefix par un préfixe facultatif pour le bucket et organization-id par l'ID de votre organisation.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Sid": "PolicyGenerationBucketPolicy",
         "Effect": "Allow",
         "Principal": {
           "AWS": "*"
         },
         "Action": [
           "s3:GetObject",
           "s3:ListBucket"
         ],
         "Resource": [
           "arn:aws:s3:::amzn-s3-demo-bucket",
           "arn:aws:s3:::amzn-s3-demo-bucket/optional-prefix/AWSLogs/organization-id/${aws:PrincipalAccount}/*"
         ],
         "Condition": {
           "StringEquals": {
             "aws:PrincipalOrgID": "organization-id"
           },
           "StringLike": {
             "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
           }
         }
       }
     ]
   }

5. Si vous cryptez vos journaux à l'aide de AWS KMS, mettez à jour votre politique en matière de AWS KMS clés dans le compte sur lequel vous stockez les CloudTrail journaux afin IAM d'autoriser Access Analyzer à utiliser votre clé, comme indiqué dans l'exemple de politique suivant. CROSS_ACCOUNT_ORG_TRAIL_FULL_ARNRemplacez-le par le ARN correspondant à votre sentier et organization-id par le numéro d'identification de votre organisation.

   {
     "Version": "2012-10-17",
     "Statement": [
       {
         "Effect": "Allow",
         "Principal": {
           "AWS": "*"
         },
         "Action": "kms:Decrypt",
         "Resource": "*",
         "Condition": {
           "StringEquals": {
             "kms:EncryptionContext:aws:cloudtrail:arn": "CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN",
             "aws:PrincipalOrgID": "organization-id"
           },
           "StringLike": {
             "kms:ViaService": [
               "access-analyzer.*.amazonaws.com",
               "s3.*.amazonaws.com"
             ],
             "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
           }
         }
       }
     ]
   }

Générer une politique basée sur CloudTrail l'activité (AWS CLI)

Vous pouvez utiliser les commandes suivantes pour générer une politique à l'aide de la AWS CLI.

Pour générer une politique

• analyseur d'accès AWS start-policy-generation

Pour afficher une politique générée

• analyseur d'accès AWS get-generated-policy

Pour annuler une demande de génération de politique

• analyseur d'accès AWS cancel-policy-generation

Pour afficher la liste des demandes de génération de politique

• analyseur d'accès AWS list-policy-generations

Générer une politique basée sur CloudTrail l'activité (AWS API)

Vous pouvez utiliser les opérations suivantes pour générer une politique à l'aide du AWS API.

Pour générer une politique

• StartPolicyGeneration

Pour afficher une politique générée

• GetGeneratedPolicy

Pour annuler une demande de génération de politique

• CancelPolicyGeneration

Pour afficher la liste des demandes de génération de politique

• ListPolicyGenerations