Configuration de Macie pour récupérer des échantillons de données sensibles à des fins de recherche - Amazon Macie
Avant de commencerConfiguration et activation des paramètres MacieDésactivation des paramètres Macie

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configuration de Macie pour récupérer des échantillons de données sensibles à des fins de recherche

Vous pouvez éventuellement configurer et utiliser Amazon Macie pour récupérer et révéler des échantillons de données sensibles que Macie rapporte dans ses conclusions individuelles relatives aux données sensibles. Les exemples peuvent vous aider à vérifier la nature des données sensibles découvertes par Macie. Ils peuvent également vous aider à personnaliser votre enquête sur un objet ou un bucket Amazon Simple Storage Service (Amazon S3) concernés. Vous pouvez récupérer et révéler des échantillons de données sensibles dans tous les Régions AWS où Macie est actuellement disponible, sauf dans les régions Asie-Pacifique (Osaka) et Israël (Tel Aviv).

Lorsque vous récupérez et révélez des échantillons de données sensibles pour une recherche, Macie utilise les données du résultat de découverte de données sensibles correspondant pour localiser les occurrences de données sensibles dans l'objet S3 concerné. Macie extrait ensuite des échantillons de ces occurrences de l'objet concerné. Macie chiffre les données extraites avec un AWS Key Management Service (AWS KMS) clé que vous spécifiez, stocke temporairement les données chiffrées dans un cache et renvoie les données dans vos résultats pour la recherche. Peu après l'extraction et le chiffrement, Macie supprime définitivement les données du cache, sauf si une conservation supplémentaire est temporairement requise pour résoudre un problème opérationnel.

Pour récupérer et révéler des échantillons de données sensibles à des fins de recherche, vous devez d'abord configurer et activer les paramètres de votre compte Macie. Vous devez également configurer les ressources de support et les autorisations pour votre compte. Les rubriques de cette section vous guident tout au long du processus de configuration de Macie pour récupérer et révéler des échantillons de données sensibles, et de gestion de l'état de la configuration de votre compte.

Astuce

Pour obtenir des recommandations et des exemples de politiques que vous pouvez utiliser pour contrôler l'accès à cette fonctionnalité, consultez le billet de blog suivant sur le AWS Blog sur la sécurité  : Comment utiliser Amazon Macie pour prévisualiser les données sensibles contenues dans des compartiments S3.

Avant de commencer

Avant de configurer Amazon Macie pour récupérer et révéler des échantillons de données sensibles à des fins de recherche, effectuez les tâches suivantes pour vous assurer que vous disposez des ressources et des autorisations dont vous avez besoin.

Ces tâches sont facultatives si vous avez déjà configuré Macie pour récupérer et révéler des échantillons de données sensibles et que vous souhaitez uniquement modifier vos paramètres de configuration.

Étape 1 : Configuration d'un référentiel pour les résultats de découverte de données sensibles

Lorsque vous récupérez et révélez des échantillons de données sensibles pour une recherche, Macie utilise les données du résultat de découverte de données sensibles correspondant pour localiser les occurrences de données sensibles dans l'objet S3 concerné. Il est donc important de vérifier que vous avez configuré un référentiel pour vos résultats de découverte de données sensibles. Sinon, Macie ne sera pas en mesure de localiser les échantillons de données sensibles que vous souhaitez récupérer et révéler.

Pour déterminer si vous avez configuré ce référentiel pour votre compte, vous pouvez utiliser la console Amazon Macie : choisissez Discovery results (sous Paramètres) dans le volet de navigation. Pour ce faire par programmation, utilisez le GetClassificationExportConfigurationfonctionnement d'Amazon Macie. API Pour en savoir plus sur les résultats de découverte de données sensibles et sur la façon de configurer ce référentiel, consultezStockage et conservation des résultats de découverte de données sensibles.

Étape 2 : Déterminer comment accéder aux objets S3 concernés

Pour accéder aux objets S3 concernés et en extraire des échantillons de données sensibles, deux options s'offrent à vous. Vous pouvez configurer Macie pour qu'il utilise votre AWS Identity and Access Management (IAM) informations d'identification de l'utilisateur. Vous pouvez également configurer Macie pour qu'il assume un IAM rôle qui délègue l'accès à Macie. Vous pouvez utiliser l'une ou l'autre configuration avec n'importe quel type de compte Macie : un compte administrateur Macie délégué pour une organisation, un compte de membre Macie dans une organisation ou un compte Macie autonome. Avant de configurer les paramètres dans Macie, déterminez la méthode d'accès que vous souhaitez utiliser. Pour plus de détails sur les options et les exigences de chaque méthode, consultezOptions de configuration pour la récupération d'échantillons.

Si vous envisagez d'utiliser un IAM rôle, créez-le et configurez-le avant de configurer les paramètres dans Macie. Assurez-vous également que les politiques de confiance et d'autorisation relatives au rôle répondent à toutes les exigences pour que Macie assume le rôle. Si votre compte fait partie d'une organisation qui gère de manière centralisée plusieurs comptes Macie, contactez d'abord votre administrateur Macie pour déterminer si et comment configurer le rôle de votre compte.

Étape 3 : Configuration d'un AWS KMS key

Lorsque vous récupérez et révélez des échantillons de données sensibles à des fins de recherche, Macie chiffre les échantillons à l'aide d'un AWS Key Management Service (AWS KMS) clé que vous spécifiez. Par conséquent, vous devez déterminer lequel AWS KMS key que vous souhaitez utiliser pour chiffrer les échantillons. La clé peut être une KMS clé existante de votre propre compte ou une KMS clé existante détenue par un autre compte. Si vous souhaitez utiliser une clé détenue par un autre compte, obtenez le nom de ressource Amazon (ARN) de la clé. Vous devez le spécifier ARN lorsque vous entrez les paramètres de configuration dans Macie.

La KMS clé doit être une clé de chiffrement symétrique gérée par le client. Il doit également s'agir d'une clé à région unique activée dans le même Région AWS comme compte Macie. La KMS clé peut se trouver dans un magasin de clés externe. Cependant, la clé peut alors être plus lente et moins fiable qu'une clé entièrement gérée dans AWS KMS. Si un problème de latence ou de disponibilité empêche Macie de chiffrer les échantillons de données sensibles que vous souhaitez récupérer et révéler, une erreur se produit et Macie ne renvoie aucun échantillon pour la recherche.

En outre, la politique clé pour la clé doit autoriser les principaux appropriés (IAMrôles, IAM utilisateurs ou Comptes AWS) pour effectuer les actions suivantes :

  • kms:Decrypt

  • kms:DescribeKey

  • kms:GenerateDataKey

Important

Comme niveau supplémentaire de contrôle d'accès, nous vous recommandons de créer une KMS clé dédiée pour le chiffrement des échantillons de données sensibles récupérés, et de limiter l'utilisation de la clé aux personnes principales qui doivent être autorisées à récupérer et à révéler des échantillons de données sensibles. Si un utilisateur n'est pas autorisé à effectuer les actions précédentes pour la clé, Macie rejette sa demande de récupération et de divulgation d'échantillons de données sensibles. Macie ne renvoie aucun échantillon pour la découverte.

Pour plus d'informations sur la création et la configuration des KMS clés, consultez la section Gestion des clés dans AWS Key Management Service Guide du développeur. Pour plus d'informations sur l'utilisation de politiques clés pour gérer l'accès aux KMS clés, voir Politiques clés dans AWS KMS dans le .AWS Key Management Service Guide du développeur.

Étape 4 : Vérifiez vos autorisations

Avant de configurer les paramètres dans Macie, vérifiez également que vous disposez des autorisations nécessaires. Pour vérifier vos autorisations, utilisez AWS Identity and Access Management (IAM) pour passer en revue les IAM politiques liées à votre IAM identité. Comparez ensuite les informations contenues dans ces politiques à la liste suivante des actions que vous devez être autorisé à effectuer.

Amazon Macie

Pour Macie, vérifiez que vous êtes autorisé à effectuer les actions suivantes :

  • macie2:GetMacieSession

  • macie2:UpdateRevealConfiguration

La première action vous permet d'accéder à votre compte Macie. La deuxième action vous permet de modifier vos paramètres de configuration pour récupérer et révéler des échantillons de données sensibles. Cela inclut l'activation et la désactivation de la configuration de votre compte.

Vérifiez éventuellement que vous êtes également autorisé à effectuer l'macie2:GetRevealConfigurationaction. Cette action vous permet de récupérer vos paramètres de configuration actuels et l'état actuel de la configuration de votre compte.

AWS KMS

Si vous prévoyez d'utiliser la console Amazon Macie pour entrer les paramètres de configuration, vérifiez également que vous êtes autorisé à effectuer les opérations suivantes AWS Key Management Service (AWS KMS) actions :

  • kms:DescribeKey

  • kms:ListAliases

Ces actions vous permettent de récupérer des informations sur AWS KMS keys pour votre compte. Vous pouvez ensuite choisir l'une de ces touches lorsque vous entrez les paramètres.

IAM

Si vous envisagez de configurer Macie pour qu'il assume un IAM rôle de récupération et de divulgation d'échantillons de données sensibles, vérifiez également que vous êtes autorisé à effectuer l'IAMaction suivante :iam:PassRole. Cette action vous permet de passer le rôle à Macie, qui à son tour permet à Macie d'assumer le rôle. Lorsque vous entrez les paramètres de configuration de votre compte, Macie peut également vérifier que le rôle existe dans votre compte et qu'il est correctement configuré.

Si vous n'êtes pas autorisé à effectuer les actions requises, demandez à AWS administrateur pour obtenir de l'aide.

Configuration et activation des paramètres Macie

Après avoir vérifié que vous disposez des ressources et des autorisations nécessaires, vous pouvez configurer les paramètres dans Amazon Macie et activer la configuration de votre compte.

Si votre compte fait partie d'une organisation qui gère de manière centralisée plusieurs comptes Macie, notez ce qui suit avant de configurer ou de modifier ultérieurement les paramètres de votre compte :

  • Si vous avez un compte membre, contactez votre administrateur Macie pour déterminer si et comment configurer les paramètres de votre compte. Votre administrateur Macie peut vous aider à déterminer les paramètres de configuration appropriés pour votre compte.

  • Si vous disposez d'un compte administrateur Macie et que vous modifiez les paramètres d'accès aux objets S3 concernés, vos modifications peuvent affecter d'autres comptes et ressources de votre organisation. Cela dépend si Macie est actuellement configuré pour assumer un AWS Identity and Access Management (IAM) rôle pour récupérer des échantillons de données sensibles. Si tel est le cas et que vous reconfigurez Macie pour utiliser les informations IAM d'identification utilisateur, Macie supprime définitivement les paramètres existants pour le IAM rôle, à savoir le nom du rôle et l'ID externe de votre configuration. Si votre organisation choisit par la suite d'utiliser à nouveau les IAM rôles, vous devrez spécifier un nouvel identifiant externe dans la politique de confiance pour le rôle dans chaque compte membre applicable.

Pour plus de détails sur les options de configuration et les exigences relatives à chaque type de compte, consultezOptions de configuration pour la récupération d'échantillons.

Pour configurer les paramètres dans Macie et activer la configuration de votre compte, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API

Console

Suivez ces étapes pour configurer et activer les paramètres à l'aide de la console Amazon Macie.

Pour configurer et activer les paramètres Macie

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. En utilisant le Région AWS sélecteur dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez configurer et permettez à Macie de récupérer et de révéler des échantillons de données sensibles.

  3. Dans le volet de navigation, sous Paramètres, sélectionnez Afficher les échantillons.

  4. Dans la section Settings (Paramètres), choisissez Edit (Modifier).

  5. Pour Status (Statut), choisissez Enabled (Activé).

  6. Sous Accès, spécifiez la méthode d'accès et les paramètres que vous souhaitez utiliser pour récupérer des échantillons de données sensibles à partir des objets S3 concernés :

    • Pour utiliser un IAM rôle qui délègue l'accès à Macie, choisissez Assumer un IAM rôle. Si vous choisissez cette option, Macie récupère les échantillons en assumant le IAM rôle que vous avez créé et configuré dans votre Compte AWS. Dans le champ Nom du rôle, entrez le nom du rôle.

    • Pour utiliser les informations d'identification de l'IAMutilisateur qui demande les échantillons, choisissez Utiliser les informations IAM d'identification de l'utilisateur. Si vous choisissez cette option, chaque utilisateur de votre compte utilise son IAM identité individuelle pour récupérer les échantillons.

  7. Sous Chiffrement, spécifiez le AWS KMS key que vous souhaitez utiliser pour chiffrer les échantillons de données sensibles récupérés :

    • Pour utiliser une KMS clé de votre propre compte, choisissez Sélectionner une clé de votre compte. Puis, dans le AWS KMS keyliste, choisissez la clé à utiliser. La liste affiche les KMS clés de chiffrement symétriques existantes pour votre compte.

    • Pour utiliser une KMS clé détenue par un autre compte, choisissez Entrer ARN la clé d'un autre compte. Puis, dans le AWS KMS key ARNdans cette case, entrez le nom de ressource Amazon (ARN) de la clé à utiliser, par exemple. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab

  8. Lorsque vous avez fini de saisir les paramètres, choisissez Enregistrer.

Macie teste les paramètres et vérifie qu'ils sont corrects. Si vous avez configuré Macie pour qu'il assume un IAM rôle, Macie vérifie également que le rôle existe dans votre compte et que les politiques de confiance et d'autorisation sont correctement configurées. En cas de problème, Macie affiche un message décrivant le problème.

Pour résoudre un problème lié au AWS KMS key, reportez-vous aux exigences de la rubrique précédente et spécifiez une KMS clé qui répond à ces exigences. Pour résoudre un problème lié au IAM rôle, commencez par vérifier que vous avez saisi le nom de rôle correct. Si le nom est correct, assurez-vous que les politiques du rôle répondent à toutes les exigences pour que Macie assume le rôle. Pour plus de détails, voirConfiguration d'un IAM rôle pour accéder aux objets S3 concernés. Une fois les problèmes résolus, vous pouvez enregistrer et activer les paramètres.

Note

Si vous êtes l'administrateur Macie d'une organisation et que vous avez configuré Macie pour qu'il assume un IAM rôle, Macie génère et affiche un identifiant externe après avoir enregistré les paramètres de votre compte. Notez cet identifiant. La politique de confiance pour le IAM rôle dans chacun de vos comptes de membre applicables doit spécifier cet identifiant. Dans le cas contraire, vous ne pourrez pas récupérer d'échantillons de données sensibles à partir d'objets S3 détenus par les comptes.

API

Pour configurer et activer les paramètres par programmation, utilisez le UpdateRevealConfigurationfonctionnement d'Amazon Macie. API Dans votre demande, spécifiez les valeurs appropriées pour les paramètres pris en charge :

  • Pour les retrievalConfiguration paramètres, spécifiez la méthode d'accès et les paramètres que vous souhaitez utiliser lors de la récupération d'échantillons de données sensibles à partir des objets S3 concernés :

    • Pour assumer un IAM rôle qui délègue l'accès à Macie, ASSUME_ROLE spécifiez le retrievalMode paramètre et le nom du rôle pour le roleName paramètre. Si vous spécifiez ces paramètres, Macie récupère les exemples en assumant le IAM rôle que vous avez créé et configuré dans votre Compte AWS.

    • Pour utiliser les informations d'identification de l'IAMutilisateur qui demande les échantillons, spécifiez CALLER_CREDENTIALS le retrievalMode paramètre. Si vous spécifiez ce paramètre, chaque utilisateur de votre compte utilise son IAM identité individuelle pour récupérer les échantillons.

    Important

    Si vous ne spécifiez aucune valeur pour ces paramètres, Macie définit la méthode d'accès (retrievalMode) surCALLER_CREDENTIALS. Si Macie est actuellement configuré pour utiliser un IAM rôle pour récupérer les échantillons, Macie supprime également définitivement le nom du rôle actuel et l'ID externe de votre configuration. Pour conserver ces paramètres pour une configuration existante, incluez-les retrievalConfiguration dans votre demande et spécifiez vos paramètres actuels pour ces paramètres. Pour récupérer vos paramètres actuels, utilisez l'GetRevealConfigurationopération ou, si vous utilisez AWS Command Line Interface (AWS CLI), exécutez la get-reveal-configurationcommande.

  • Pour le kmsKeyId paramètre, spécifiez le AWS KMS key que vous souhaitez utiliser pour chiffrer les échantillons de données sensibles récupérés :

    • Pour utiliser une KMS clé de votre propre compte, spécifiez le nom de ressource Amazon (ARN), l'ID ou l'alias de la clé. Si vous spécifiez un alias, incluez le alias/ préfixe, par exemple,. alias/ExampleAlias

    • Pour utiliser une KMS clé détenue par un autre compte, spécifiez ARN la clé, par exemple,. arn:aws:kms:us-east-1:111122223333:key/1234abcd-12ab-34cd-56ef-1234567890ab Ou spécifiez ARN l'alias de la clé, par exemple,. arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias

  • Pour le status paramètre, spécifiez ENABLED d'activer la configuration pour votre compte Macie.

Dans votre demande, assurez-vous également de spécifier Région AWS dans lequel vous souhaitez activer et utiliser la configuration.

Pour configurer et activer les paramètres à l'aide du AWS CLI, exécutez la update-reveal-configurationcommande et spécifiez les valeurs appropriées pour les paramètres pris en charge. Par exemple, si vous utilisez le AWS CLI sous Microsoft Windows, exécutez la commande suivante :

C:\> aws macie2 update-reveal-configuration ^
--region us-east-1 ^
--configuration={\"kmsKeyId\":\"arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias\",\"status\":\"ENABLED\"} ^
--retrievalConfiguration={\"retrievalMode\":\"ASSUME_ROLE\",\"roleName\":\"MacieRevealRole\"}

Où :

  • us-east-1 est la région dans laquelle activer et utiliser la configuration. Dans cet exemple, la région de l'est des États-Unis (Virginie du Nord).

  • arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias est ARN l'alias du AWS KMS key à utiliser. Dans cet exemple, la clé appartient à un autre compte.

  • ENABLEDest l'état de la configuration.

  • ASSUME_ROLE est la méthode d'accès à utiliser. Dans cet exemple, assumez le IAM rôle spécifié.

  • MacieRevealRole est le nom du IAM rôle que Macie doit assumer lors de la récupération d'échantillons de données sensibles.

L'exemple précédent utilise le caractère de continuation de ligne caret (^) pour améliorer la lisibilité.

Lorsque vous soumettez votre demande, Macie teste les paramètres. Si vous avez configuré Macie pour qu'il assume un IAM rôle, Macie vérifie également que le rôle existe dans votre compte et que les politiques de confiance et d'autorisation sont correctement configurées. En cas de problème, votre demande échoue et Macie renvoie un message décrivant le problème. Pour résoudre un problème lié au AWS KMS key, reportez-vous aux exigences de la rubrique précédente et spécifiez une KMS clé qui répond à ces exigences. Pour résoudre un problème lié au IAM rôle, commencez par vérifier que vous avez spécifié le nom de rôle correct. Si le nom est correct, assurez-vous que les politiques du rôle répondent à toutes les exigences pour que Macie assume le rôle. Pour plus de détails, voirConfiguration d'un IAM rôle pour accéder aux objets S3 concernés. Une fois le problème résolu, soumettez à nouveau votre demande.

Si votre demande aboutit, Macie active la configuration de votre compte dans la région spécifiée et vous recevez un résultat similaire à ce qui suit.

{
  "configuration": {
    "kmsKeyId": "arn:aws:kms:us-east-1:111122223333:alias/ExampleAlias",
    "status": "ENABLED"
  },
  "retrievalConfiguration": {
    "externalId": "o2vee30hs31642lexample",
    "retrievalMode": "ASSUME_ROLE",
    "roleName": "MacieRevealRole"
  }
}

kmsKeyId précise le AWS KMS key à utiliser pour chiffrer les échantillons de données sensibles récupérés, et status indique l'état de la configuration de votre compte Macie. Les retrievalConfiguration valeurs indiquent la méthode d'accès et les paramètres à utiliser lors de la récupération des échantillons.

Note

Si vous êtes l'administrateur Macie d'une organisation et que vous avez configuré Macie pour qu'il assume un IAM rôle, notez l'ID externe (externalId) dans la réponse. La politique de confiance pour le IAM rôle dans chacun de vos comptes de membre applicables doit spécifier cet identifiant. Dans le cas contraire, vous ne pourrez pas récupérer d'échantillons de données sensibles à partir des objets S3 concernés détenus par les comptes.

Pour vérifier ultérieurement les paramètres ou l'état de la configuration de votre compte, utilisez l'GetRevealConfigurationopération ou, pour AWS CLI, exécutez la get-reveal-configurationcommande.

Désactivation des paramètres Macie

Vous pouvez désactiver les paramètres de configuration de votre compte Amazon Macie à tout moment. Si vous désactivez la configuration, Macie conserve le paramètre qui spécifie lequel AWS KMS key à utiliser pour chiffrer les échantillons de données sensibles récupérés. Macie supprime définitivement les paramètres d'accès Amazon S3 pour la configuration.

Avertissement

Lorsque vous désactivez les paramètres de configuration de votre compte Macie, vous supprimez également définitivement les paramètres actuels qui indiquent comment accéder aux objets S3 concernés. Si Macie est actuellement configuré pour accéder aux objets concernés en supposant un AWS Identity and Access Management (IAM), cela inclut : le nom du rôle et l'ID externe généré par Macie pour la configuration. Ces paramètres ne peuvent pas être restaurés après leur suppression.

Pour désactiver les paramètres de configuration de votre compte Macie, vous pouvez utiliser la console Amazon Macie ou Amazon Macie. API

Console

Suivez ces étapes pour désactiver les paramètres de configuration de votre compte à l'aide de la console Amazon Macie.

Pour désactiver les paramètres Macie

  1. Ouvrez la console Amazon Macie à l'adresse. https://console.aws.amazon.com/macie/

  2. En utilisant le Région AWS sélecteur dans le coin supérieur droit de la page, sélectionnez la région dans laquelle vous souhaitez désactiver les paramètres de configuration de votre compte Macie.

  3. Dans le volet de navigation, sous Paramètres, sélectionnez Afficher les échantillons.

  4. Dans la section Settings (Paramètres), choisissez Edit (Modifier).

  5. Dans le champ État, choisissez Désactiver.

  6. Choisissez Save (Enregistrer).

API

Pour désactiver les paramètres de configuration par programmation, utilisez le UpdateRevealConfigurationfonctionnement d'Amazon Macie. API Dans votre demande, assurez-vous de spécifier le Région AWS dans lequel vous souhaitez désactiver la configuration. Pour le paramètre status, spécifiez DISABLED.

Pour désactiver les paramètres de configuration à l'aide du AWS Command Line Interface (AWS CLI), exécutez la update-reveal-configurationcommande. Utilisez le region paramètre pour spécifier la région dans laquelle vous souhaitez désactiver la configuration. Pour le paramètre status, spécifiez DISABLED. Par exemple, si vous utilisez le AWS CLI sous Microsoft Windows, exécutez la commande suivante :

C:\> aws macie2 update-reveal-configuration --region us-east-1 --configuration={\"status\":\"DISABLED\"}

Où :

  • us-east-1 est la région dans laquelle vous souhaitez désactiver la configuration. Dans cet exemple, la région de l'est des États-Unis (Virginie du Nord).

  • DISABLEDest le nouveau statut de la configuration.

Si votre demande aboutit, Macie désactive la configuration de votre compte dans la région spécifiée et vous recevez un résultat similaire à ce qui suit.

{
    "configuration": {
        "status": "DISABLED"
    }
}

status est le nouveau statut de la configuration de votre compte Macie.

Si Macie a été configuré pour assumer un IAM rôle dans la récupération d'échantillons de données sensibles, vous pouvez éventuellement supprimer le rôle et la politique d'autorisation du rôle. Macie ne supprime pas ces ressources lorsque vous désactivez les paramètres de configuration de votre compte. De plus, Macie n'utilise pas ces ressources pour effectuer d'autres tâches pour votre compte. Pour supprimer le rôle et sa politique d'autorisations, vous pouvez utiliser la IAM console ou le IAMAPI. Pour plus d'informations, consultez la section Suppression de rôles dans AWS Identity and Access Management Guide de l'utilisateur.