Génération d'une politique IAM Access Analyzer

Mode de mise au point

Génération d'une politique IAM Access Analyzer - AWS Identity and Access Management

Processus de génération de politique Informations de niveau service et action À savoir Autorisations nécessaires Générer une stratégie basée sur l'activité CloudTrail (console)Générer une politique en utilisant AWS CloudTrail les données d'un autre compte Génération d'une politique basée sur CloudTrail l'activité (AWS CLI)Générer une politique basée sur CloudTrail l'activité (AWS API)

En tant qu'administrateur ou développeur, vous pouvez octroyer plus d'autorisations à des entités IAM (utilisateurs ou rôles) qu'elle n'en ont besoin. IAM propose plusieurs options pour vous aider à affiner les autorisations que vous octroyez. Une option consiste à générer une politique IAM basée sur une activité d'accès pour une entité. IAM Access Analyzer examine vos AWS CloudTrail journaux et génère un modèle de politique qui contient les autorisations utilisées par l'entité dans la plage de dates spécifiée. Vous pouvez utiliser le modèle pour créer une politique avec des autorisations précises qui accordent uniquement les autorisations requises pour prendre en charge votre cas d'utilisation spécifique.

Rubriques

Processus de génération de politique
Informations de niveau service et action
Points à noter sur la génération de politiques
Autorisations nécessaires pour générer une politique
Générer une stratégie basée sur l'activité CloudTrail (console)
Générer une politique en utilisant AWS CloudTrail les données d'un autre compte
Génération d'une politique basée sur CloudTrail l'activité (AWS CLI)
Générer une politique basée sur CloudTrail l'activité (AWS API)
Services de génération d'une politique d'Analyseur d'accès IAM

Processus de génération de politique

IAM Access Analyzer analyse vos CloudTrail événements pour identifier les actions et les services utilisés par une entité IAM (utilisateur ou rôle). Il génère ensuite une politique IAM basée sur cette activité. Vous pouvez ajuster les autorisations d'une entité en remplaçant la politique d'autorisations étendues attachée à l'entité par la politique générée. Voici un aperçu général du processus de génération de politique.

Configuration pour la génération de modèles de politique : vous spécifiez une période maximale de 90 jours pour qu'IAM Access Analyzer analyse vos événements historiques AWS CloudTrail . Vous devez spécifier un rôle de service existant ou en créer un nouveau. Le rôle de service permet à IAM Access Analyzer d'accéder à votre historique et CloudTrail aux dernières informations auxquelles vous avez accédé afin d'identifier les services et les actions utilisés. Vous devez spécifier la CloudTrail trace qui enregistre les événements pour le compte avant de pouvoir générer une politique. Pour plus d'informations sur les quotas de CloudTrail données d'IAM Access Analyzer, consultez la section Quotas d'IAM Access Analyzer.
Générer une politique — IAM Access Analyzer génère une politique basée sur l'activité d'accès associée à vos CloudTrail événements.
Examiner et personnaliser la politique : Une fois la politique générée, vous pouvez consulter les services et actions qui ont été utilisés par l'entité pendant la plage de dates spécifiée. Vous pouvez personnaliser davantage la politique en ajoutant ou en supprimant des autorisations, en spécifiant des ressources et en ajoutant des conditions au modèle de politique.
Créer et attacher une politique : Vous avez la possibilité d'enregistrer la politique générée en créant une politique gérée. Vous pouvez attacher la politique que vous créez à l'utilisateur ou au rôle dont l'activité a été utilisée pour générer la politique.

Informations de niveau service et action

Lorsque IAM Access Analyzer génère une politique IAM, des informations sont renvoyées pour vous aider à la personnaliser. Deux catégories d'informations peuvent être renvoyées lorsqu'une politique est générée :

Politique avec informations au niveau de l'action — Pour certains AWS services, tels qu'Amazon EC2, IAM Access Analyzer peut identifier les actions trouvées dans vos CloudTrail événements et répertorie les actions utilisées dans la politique qu'il génère. Pour obtenir la liste des services pris en charge, consultez Services de génération d'une politique d'Analyseur d'accès IAM. Pour certains services, IAM Access Analyzer vous invite à ajouter des actions pour les services à la politique générée.
Politique avec des informations de niveau service : IAM Access Analyzer utilise les informations relatives aux derniers services consultés pour créer un modèle de politique avec tous les services récemment utilisés. Lorsque vous utilisez le AWS Management Console, nous vous invitons à consulter les services et à ajouter des actions pour compléter la politique.

Pour obtenir la liste des actions de chaque service, consultez la section Actions, ressources et clés de condition pour les AWS services dans la référence d'autorisation des services.

Points à noter sur la génération de politiques

Avant de générer une politique, veuillez consulter les conseils clés suivants.

Activer un CloudTrail suivi : vous devez avoir activé un CloudTrail suivi pour que votre compte puisse générer une politique basée sur l'activité d'accès. Lorsque vous créez un CloudTrail suivi, les CloudTrail événements liés à celui-ci sont envoyés vers un compartiment Amazon S3 que vous spécifiez. Pour savoir comment créer un CloudTrail parcours, consultez la section Création d'un parcours pour votre AWS compte dans le Guide de AWS CloudTrail l'utilisateur.
Événements de données non disponibles : l'analyseur d'accès IAM n'identifie pas l'activité au niveau action pour les événements de données, tels que les événements de données Amazon S3, dans les politiques générées.
PassRole— L'iam:PassRoleaction n'est pas suivie CloudTrail et n'est pas incluse dans les politiques générées.
Réduire le temps de génération des politiques– Pour générer une politique plus rapidement, réduisez la plage de dates spécifiée lors de la configuration.
Utilisation CloudTrail à des fins d'audit : n'utilisez pas la génération de politiques à des fins d'audit ; CloudTrail utilisez-la plutôt. Pour plus d'informations sur l'utilisation CloudTrail, consultez la section Journalisation des appels IAM et AWS STS API avec AWS CloudTrail.
Actions refusées : la génération de politiques passe en revue tous les CloudTrail événements, y compris les actions refusées.
Une politique par console IAM : Vous pouvez générer une politique à la fois dans la console IAM.
Disponibilité des politiques générées dans la console IAM : Vous pouvez consulter une politique générée dans la console IAM pendant 7 jours au maximum après sa génération. Après 7 jours, vous devez générer une nouvelle politique.
Quotas de génération de politiques : pour plus d'informations sur les quotas de génération de politiques d'analyseur d'accès IAM, veuillez consulter Quotas IAM Access Analyzer.
Les tarifs standard d'Amazon S3 s'appliquent : lorsque vous utilisez la fonctionnalité de génération de politiques, IAM Access Analyzer examine CloudTrail les journaux de votre compartiment S3. Aucun frais de stockage supplémentaire n'est facturé pour accéder à vos CloudTrail journaux afin de générer des politiques. AWS facture les tarifs standard d'Amazon S3 pour les demandes et le transfert de données des CloudTrail journaux stockés dans votre compartiment S3.
AWS Control Tower support — La génération de politiques ne prend pas en AWS Control Tower charge la génération de politiques.

Autorisations nécessaires pour générer une politique

Les autorisations dont vous avez besoin pour générer une politique pour la première fois diffèrent de celles dont vous avez besoin pour générer une politique les fois suivantes. Pour de plus amples informations, veuillez consulter Démarrer avec AWS Identity and Access Management Access Analyzer.

Première configuration

Lorsque vous générez une politique pour la première fois, vous devez choisir un rôle de service existant approprié dans votre compte ou créer un nouveau rôle de service. Le rôle de service permet à IAM Access Analyzer d'accéder aux informations de votre CloudTrail compte auxquelles vous avez accédé pour la dernière fois. Seuls les administrateurs doivent disposer des autorisations nécessaires pour créer et configurer des rôles. Par conséquent, nous recommandons qu'un administrateur crée le rôle de service lors de la première installation. Pour en savoir plus sur les autorisations requises pour créer des rôles de service, voir Création d'un rôle pour déléguer des autorisations à un AWS service.

Lorsque vous créez un rôle de service, vous configurez deux politiques pour ce rôle. Vous attachez une politique d'autorisations IAM au rôle qui spécifie ce que le rôle peut faire. Vous lui attachez également une politique d'approbation de rôle, qui spécifie le principal qui peut utiliser le rôle.

Le premier exemple de politique correspond à une politique d'autorisations à attacher au rôle de service requis pour générer une politique. Le deuxième exemple de politique correspond à une politique d'approbation de rôle à attacher au rôle de service. Vous pouvez utiliser ces politiques pour créer un rôle de service lorsque vous utilisez l' AWS API ou AWS CLI pour générer une politique. Lorsque vous utilisez la console IAM pour créer un rôle de service dans le cadre du processus de génération de politique, nous générons ces politiques pour vous.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudtrail:GetTrail",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetServiceLastAccessedDetails",
                "iam:GenerateServiceLastAccessedDetails"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

L'exemple de politique suivant correspond à une politique d'approbation de rôle avec les autorisations permettant à IAM Access Analyzer d'endosser le rôle.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "access-analyzer.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Autorisations nécessaires pour le rôle de service


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "cloudtrail:GetTrail",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:GetServiceLastAccessedDetails",
                "iam:GenerateServiceLastAccessedDetails"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:GetObject",
                "s3:ListBucket"
            ],
            "Resource": [
                "arn:aws:s3:::amzn-s3-demo-bucket",
                "arn:aws:s3:::amzn-s3-demo-bucket/*"
            ]
        }
    ]
}

L'exemple de politique suivant correspond à une politique d'approbation de rôle avec les autorisations permettant à IAM Access Analyzer d'endosser le rôle.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "access-analyzer.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Utilisations ultérieures

Pour générer des politiques dans le AWS Management Console, un utilisateur IAM doit disposer d'une politique d'autorisations lui permettant de transmettre le rôle de service utilisé pour la génération des politiques à IAM Access Analyzer. iam:PassRoleest généralement accompagné de iam:GetRole manière à ce que l'utilisateur puisse obtenir les détails du rôle à transmettre. Dans cet exemple, l'utilisateur peut transférer uniquement les rôles qui existent dans le compte spécifié avec des noms qui commencent par AccessAnalyzerMonitorServiceRole*. Pour en savoir plus sur le transfert de rôles IAM à des AWS services, consultez la section Accorder à un utilisateur l'autorisation de transférer un rôle à un AWS service.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowUserToPassRole",
      "Effect": "Allow",
      "Action": [
        "iam:GetRole",
        "iam:PassRole"
      ],
      "Resource": "arn:aws:iam::123456789012:role/service-role/AccessAnalyzerMonitorServiceRole*"
    }
  ]
}

Vous devez également disposer des autorisations IAM Access Analyzer suivantes pour générer des politiques dans l' AWS Management Console AWS API ou AWS CLI comme indiqué dans la déclaration de politique suivante.


{
  "Sid": "AllowUserToGeneratePolicy",
  "Effect": "Allow",
  "Action": [
    "access-analyzer:CancelPolicyGeneration",
    "access-analyzer:GetGeneratedPolicy",
    "access-analyzer:ListPolicyGenerations",
    "access-analyzer:StartPolicyGeneration"
  ],
  "Resource": "*"
}

Pour la première fois et les utilisations ultérieures

Lorsque vous utilisez le AWS Management Console pour générer une politique, vous devez être cloudtrail:ListTrails autorisé à répertorier les CloudTrail sentiers de votre compte, comme indiqué dans la déclaration de politique suivante.


{
  "Sid": "AllowUserToListTrails",
  "Effect": "Allow",
  "Action": [
    "CloudTrail:ListTrails"
  ],
  "Resource": "*"
}

Générer une stratégie basée sur l'activité CloudTrail (console)

Vous pouvez générer une politique pour un utilisateur ou un rôle IAM.

Étape 1 : générer une politique basée sur CloudTrail l'activité

La procédure suivante explique comment générer une politique pour un rôle à l'aide de la AWS Management Console.

Générer une politique pour un rôle IAM

Connectez-vous à la console IAM AWS Management Console et ouvrez-la à https://console.aws.amazon.com/iam/l'adresse.
Dans le panneau de navigation de gauche, sélectionnez Roles (Rôles).

Note
Les étapes à suivre pour générer une politique basée sur l'activité d'un utilisateur IAM sont presque identiques. Dans ce cas, sélectionnez Users (Utilisateurs) au lieu de Roles (Rôles).
Dans la liste des rôles de votre compte, sélectionnez le nom du rôle dont vous souhaitez utiliser l'activité pour générer une politique.
Dans l'onglet Autorisations, dans la section Générer une politique basée sur CloudTrail les événements, choisissez Générer une politique.
Sur la page Générer une politique, spécifiez la période pendant laquelle vous souhaitez qu'IAM Access Analyzer analyse vos CloudTrail événements pour déterminer les actions entreprises avec le rôle. Vous pouvez choisir une plage allant jusqu'à 90 jours. Nous vous recommandons de choisir la période la plus courte possible afin de réduire le temps de génération de politique.
Dans la section CloudTrail Accès, choisissez un rôle existant approprié ou créez-en un nouveau s'il n'existe pas de rôle approprié. Le rôle donne à IAM Access Analyzer l'autorisation d'accéder à vos CloudTrail données en votre nom afin d'examiner les activités d'accès afin d'identifier les services et les actions qui ont été utilisés. Pour en savoir plus sur les autorisations requises pour ce rôle, veuillez consulter Autorisations nécessaires pour générer une politique.
Dans la section CloudTrail trail to be analyzed (Piste Cloudtrail à analyser), spécifiez la piste CloudTrail qui consigne les événements pour le compte.

Si vous choisissez un CloudTrail parcours qui stocke les journaux sur un autre compte, une boîte d'information concernant l'accès entre comptes s'affiche. L'accès intercompte nécessite une configuration supplémentaire. Pour en savoir plus, veuillez consulter Choose a role for cross-account access plus loin dans cette rubrique.
Sélectionnez Generate policy (Générer une politique).
Lorsque la génération de politique est en cours, vous revenez à la page Roles Summary (Récapitulatif des rôles) sous l'onglet Permissions (Autorisations). Attendez que le statut de la section Policy request details (Détails de la demande de politique) affiche Success (Succès), puis sélectionnez View generated policy (Afficher la politique générée). Vous pouvez afficher la politique générée pendant sept jours au maximum. Si vous générez une autre politique, la politique existante est remplacée par la nouvelle politique que vous générez.

Étape 2 : Examiner les autorisations et ajouter des actions pour les services utilisés

Examinez les services et les mesures que l'analyseur d'accès IAM a constaté être utilisés par le rôle. Vous pouvez ajouter des actions pour tous les services qui ont été utilisés dans le modèle de politique généré.

Examinez les sections suivantes :
- Sur la page Review permissions (Vérifier les autorisations), veuillez consulter la liste des Actions included in the generated policy (Actions incluses dans la politique générée). La liste affiche les services et actions que l'analyseur d'accès IAM a constaté être utilisés par le rôle dans la plage de dates spécifiée.
- La section Services used (Services utilisés) affiche les services supplémentaires que l'analyseur d'accès IAM a constaté être utilisés par le rôle dans la plage de dates spécifiée. Il est possible que les informations sur les actions utilisées ne soient pas disponibles pour les services répertoriés dans cette section. Utilisez les menus de chaque service répertorié pour choisir manuellement les actions à inclure dans la politique.
Lorsque vous avez terminé d'ajouter des actions, cliquez sur Next (Suivant).

Étape 3 : Personnaliser la politique générée

Vous pouvez personnaliser la politique en ajoutant ou en supprimant des autorisations ou en spécifiant des ressources.

Pour personnaliser la politique générée

Mettez à jour le modèle de politique. Le modèle de politique contient des espaces réservés ARN de ressource pour les actions qui prennent en charge les autorisations au niveau des ressources, comme illustré dans l'image suivante. Les autorisations au niveau des ressources font référence à la possibilité de spécifier les ressources sur lesquelles les utilisateurs sont autorisés à exécuter des actions. Nous vous recommandons de spécifier vos ressources individuelles dans la politique pour les actions qui prennent en charge les autorisations au niveau des ressources. ARNs Vous pouvez remplacer la ressource fictive par ARNs une ressource valide ARNs pour votre cas d'utilisation.

Si une action ne prend pas en charge les autorisations au niveau des ressources, utilisez un caractère générique (*) pour spécifier que toutes les ressources peuvent être concernées par l'action. Pour savoir quels AWS services prennent en charge les autorisations au niveau des ressources, consultez la section AWS Services compatibles avec IAM. Pour obtenir la liste des actions dans chaque service et pour savoir quelles actions prennent en charge les autorisations au niveau des ressources, veuillez consulter Actions, ressources et clés de condition pour les services AWS.
(Facultatif) Ajoutez, modifiez ou supprimez des instructions de politique JSON dans le modèle. Pour en savoir plus sur l'écriture de politiques JSON, veuillez consulter Creating IAM policies (Création de politiques IAM) (console).
Lorsque vous avez terminé de personnaliser le modèle de politique, vous disposez des options suivantes :
- (Facultatif) Vous pouvez copier le JSON dans le modèle pour l'utiliser séparément en dehors de la page Generated policy (Politique générée). Par exemple, si vous souhaitez utiliser le JSON pour créer une politique dans un autre compte. Si la politique de votre modèle dépasse la limite de 6 144 caractères pour les politiques JSON, la politique est divisée en plusieurs politiques.
- Cliquez sur Next (Suivant) pour consulter et créer une politique gérée dans le même compte.

Étape 4 : Examiner et créer une politique gérée

Si vous disposez des autorisations nécessaires pour créer et attacher des politiques IAM, vous pouvez créer une politique gérée à partir de la politique qui a été générée. Vous pouvez ensuite attacher la politique à un utilisateur ou à un rôle de votre compte.

Pour examiner et créer une politique

Dans la page Review and create managed policy (Examiner et créer une politique), spécifiez un nom sous Name et une Description (facultatif) pour la politique que vous êtes en train de créer.
(Facultatif) Dans la section Summary (Résumé), vous pouvez consulter les autorisations qui seront incluses dans la politique.
(Facultatif) Ajoutez des métadonnées à la politique en associant les balises sous forme de paires clé-valeur. Pour de plus amples informations sur l'utilisation de balises dans IAM, veuillez consulter Balisage des ressources IAM.
Lorsque vous avez terminé, effectuez l'une des opérations suivantes :
- Vous pouvez attacher la nouvelle politique directement au rôle qui a été utilisé pour générer la politique. Pour ce faire, au bas de la page, cochez la case à côté de la politique Attacher à YourRoleName. Ensuite, sélectionnez Create and attach policy (Créer et attacher une politique).
- Sinon, cliquez sur Create policy (Créer une politique). Vous trouverez la politique que vous avez créée dans la liste des politiques du panneau de navigation Policies (Politiques) de la console IAM.
Vous pouvez attacher la politique que vous avez créée à une entité de votre compte. Après avoir attaché la politique, vous pouvez supprimer toute autre politique trop étendue qui pourrait être attachée à l'entité. Pour savoir comment attacher une politique gérée, veuillez consulter Adding IAM identity permissions (Ajout d'autorisations d'identité IAM) (console).

Générer une politique en utilisant AWS CloudTrail les données d'un autre compte

Vous pouvez créer des CloudTrail pistes qui stockent les données dans des comptes centraux afin de rationaliser les activités de gouvernance. Par exemple, vous pouvez l'utiliser AWS Organizations pour créer un journal qui enregistre tous les événements pour tous les membres Comptes AWS de cette organisation. La piste appartient à un compte central. Si vous souhaitez générer une politique pour un utilisateur ou un rôle dans un compte différent de celui dans lequel sont stockées vos données de CloudTrail journal, vous devez accorder un accès entre comptes. Pour ce faire, vous avez besoin à la fois d'un rôle et d'une politique de compartiment qui accordent à IAM Access Analyzer des autorisations sur vos CloudTrail journaux. Pour plus d'informations sur la création de pistes Organisations, veuillez consulter Creating a trail for an organization (Création d'une piste pour une organisation).

Dans cet exemple, supposons que vous souhaitiez générer une politique pour un utilisateur ou un rôle dans le compte A. L' CloudTrail historique du compte A stocke les CloudTrail journaux dans un compartiment du compte B. Avant de pouvoir générer une politique, vous devez effectuer les mises à jour suivantes :

Choisissez un rôle existant ou créez un nouveau rôle de service qui accorde à IAM Access Analyzer l'accès au bucket du compte B (où sont stockés vos CloudTrail journaux).
Vérifiez votre politique de propriété d'objets de compartiment Amazon S3 et d'autorisations de compartiment dans le compte B afin que l'analyseur d'accès IAM puisse accéder aux objets du compartiment.

Étape 1 : choisir ou créer un rôle pour l'accès intercompte

Sur l'écran Generate policy (Générer une politique), l'optionUse an existing role (Utiliser un rôle existant) est présélectionnée pour vous si un rôle avec les autorisations requises existe dans votre compte. Sinon, sélectionnez Create and use a new service role (Créer et utiliser un nouveau rôle de service). Le nouveau rôle est utilisé pour accorder à IAM Access Analyzer l'accès à votre compte de CloudTrail connexion B.

Étape 2 : vérifier la configuration du compartiment Amazon S3 dans le compte B

Connectez-vous à la console Amazon S3 AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/s3/.
Dans la liste des compartiments, choisissez le nom du compartiment dans lequel sont stockés vos CloudTrail journaux de suivi.
Choisissez l'onglet Permissions (Autorisations) et accédez à la section Object ownership (Propriété des objets).

Utilisez les paramètres de propriété des objets du compartiment Amazon S3 pour contrôler la propriété des objets que vous chargez dans vos compartiments. Par défaut, lorsque d'autres Comptes AWS chargent des objets dans votre compartiment, le compte de téléchargement est propriétaire des objets. Pour générer une politique, le propriétaire du compartiment doit posséder tous les objets du compartiment. Selon votre cas d'utilisation ACL, vous pouvez modifier le réglage Object Ownership (Propriété de l'objet) pour votre compartiment. Définissez Object Ownership (Propriété de l'objet) sur l'une des options suivantes.
- Bucket owner enforced (Propriétaire du compartiment imposé) (recommandé)
- Bucket owner preferred (Propriétaire du compartiment préféré)
Important
Pour générer une politique avec succès, les objets du compartiment doivent appartenir au propriétaire du compartiment. Si vous choisissez d'utiliser Bucket owner preferred (Propriétaire du compartiment préféré), vous ne pouvez générer une politique que pour la période qui suit la modification de propriété de l'objet.

Pour en savoir plus sur la propriété des objets dans Amazon S3, consultez la section Contrôle de la propriété des objets et désactivation ACLs de votre compartiment dans le guide de l'utilisateur d'Amazon S3.

Ajoutez des autorisations à votre politique de compartiment Amazon S3 dans le compte B afin d'autoriser l'accès au rôle dans le compte A.

L'exemple de politique suivant autorise ListBucket et GetObject pour le compartiment nommé amzn-s3-demo-bucket. Il autorise l'accès si le rôle accédant au compartiment appartient à un compte de votre organisation et a un nom commençant par AccessAnalyzerMonitorServiceRole. L’utilisation d’aws:PrincipalArn en tant que Condition dans l’élément Resource garantit que le rôle ne peut accéder à l’activité du compte que s’il appartient au compte A. Vous pouvez remplacer amzn-s3-demo-bucket par le nom de votre compartiment, optional-prefix par un préfixe facultatif pour le compartiment et organization-id par votre ID d’organisation.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "PolicyGenerationBucketPolicy",
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": [
        "s3:GetObject",
        "s3:ListBucket"
      ],
      "Resource": [
        "arn:aws:s3:::amzn-s3-demo-bucket",
        "arn:aws:s3:::amzn-s3-demo-bucket/optional-prefix/AWSLogs/organization-id/${aws:PrincipalAccount}/*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:PrincipalOrgID": "organization-id"
        },
        "StringLike": {
          "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
        }
      }
    }
  ]
}

Si vous chiffrez vos journaux en utilisant AWS KMS, mettez à jour votre politique de AWS KMS clé dans le compte sur lequel vous stockez les CloudTrail journaux afin d'autoriser IAM Access Analyzer à utiliser votre clé, comme indiqué dans l'exemple de politique suivant. Remplacez CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN par l'ARN pour votre piste et organization-id par l'ID de votre organisation.


{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "AWS": "*"
      },
      "Action": "kms:Decrypt",
      "Resource": "*",
      "Condition": {
        "StringEquals": {
          "kms:EncryptionContext:aws:cloudtrail:arn": "CROSS_ACCOUNT_ORG_TRAIL_FULL_ARN",
          "aws:PrincipalOrgID": "organization-id"
        },
        "StringLike": {
          "kms:ViaService": [
            "access-analyzer.*.amazonaws.com",
            "s3.*.amazonaws.com"
          ],
          "aws:PrincipalArn": "arn:aws:iam::${aws:PrincipalAccount}:role/service-role/AccessAnalyzerMonitorServiceRole*"
        }
      }
    }
  ]
}

Génération d'une politique basée sur CloudTrail l'activité (AWS CLI)

Vous pouvez utiliser les commandes suivantes pour générer une politique à l'aide de la AWS CLI.

Générer une politique basée sur CloudTrail l'activité (AWS API)

Vous pouvez utiliser les opérations suivantes pour générer une politique à l'aide de l' AWS API.

Pour générer une politique

StartPolicyGeneration

Pour afficher une politique générée

GetGeneratedPolicy

Pour annuler une demande de génération de politique

CancelPolicyGeneration

Pour afficher la liste des demandes de génération de politique

ListPolicyGenerations

Avertissement JavaScript est désactivé ou n'est pas disponible dans votre navigateur.

Pour que vous puissiez utiliser la documentation AWS, Javascript doit être activé. Vous trouverez des instructions sur les pages d'aide de votre navigateur.