Générer des politiques basées sur l'activité d'accès

En tant qu'administrateur ou développeur, vous pouvez octroyer plus d'autorisations à des entités IAM (utilisateurs ou rôles) qu'elle n'en ont besoin. IAM propose plusieurs options pour vous aider à affiner les autorisations que vous octroyez. Une option consiste à générer une politique IAM basée sur une activité d'accès pour une entité. IAM Access Analyzer examine vos AWS CloudTrail journaux et génère un modèle de politique qui contient les autorisations utilisées par l'entité dans la plage de dates spécifiée. Vous pouvez utiliser le modèle pour créer une politique avec des autorisations précises qui accordent uniquement les autorisations requises pour prendre en charge votre cas d'utilisation spécifique.

Par exemple, imaginez que vous êtes un développeur et que votre équipe d'ingénierie a travaillé sur un projet pour créer une nouvelle application. Pour encourager l'expérimentation et permettre à votre équipe de progresser rapidement, vous avez configuré un rôle avec des autorisations étendues pendant le développement de l'application. Maintenant, l'application est prête pour la production. Avant de la lancer dans le compte de production, vous souhaitez identifier et accorder uniquement les autorisations dont le rôle a besoin pour que l'application fonctionne. Cela vous permet de mieux respecter la bonne pratique qui consiste à appliquer le principe du moindre privilège. Vous pouvez générer une politique basée sur l'activité d'accès du rôle que vous avez utilisé pour l'application dans le compte de développement. Vous pouvez ajuster davantage la politique générée, puis l'attacher à une entité de votre compte de production.

Pour en savoir plus sur la génération de politiques IAM Access Analyzer, veuillez consulter IAM Access Analyzer policy generation (Génération de politiques IAM Access Analyzer).