L’analyseur d’accès AWS Gestion des identités et des accès (AWS IAM) vous guide vers le moindre privilège en fournissant des capacités permettant de définir, de vérifier et d’affiner les autorisations. L’analyseur d’accès IAM permet d’analyser les résultats liés aux accès ainsi que de contrôler et de générer des politiques.

Lorsque vous activez l’analyseur d’accès IAM, vous créez un analyseur qui vérifie régulièrement vos comptes ou votre organisation AWS pour détecter les accès externes et non utilisés. L’analyseur génère des résultats d’accès pour vos rôles et vos utilisateurs IAM ainsi que vos ressources AWS. Vous pouvez activer deux types d’analyseurs : analyseur d’accès externe et analyseur d’accès non utilisé :

• Un analyseur d’accès externe crée des résultats relatifs à l’accès public et intercompte pour les ressources AWS. Cela est disponible sans frais supplémentaires.
• Un analyseur d’accès non utilisés inspecte les accès non utilisés afin de vous orienter vers le moindre privilège. Il s’agit d’une fonctionnalité payante. Pour chaque analyseur d’accès non utilisé que vous activez, vous payez des frais par rôle IAM ou par utilisateur IAM par et mois. Les rôles et utilisateurs IAM étant mondiaux, vous n’avez besoin d’activer qu’un seul analyseur pour toutes les régions d’une partition.

Les frais liés à l’analyseur d’accès non utilisé sont facturés une fois lors de la configuration, puis tous les mois le premier jour du mois.

L’analyseur d’accès IAM propose également deux types de contrôles de politique :

• La validation de politique de l’analyseur d’accès IAM vous aide à créer et à valider des politiques sécurisées et fonctionnelles sur la base des bonnes pratiques IAM. Cela est disponible sans frais supplémentaires.
• Les contrôles de politique personnalisés de l’analyseur d’accès IAM valident avant le déploiement la conformité des politiques créées par les développeurs aux normes de sécurité que vous avez spécifiées. Il s’agit d’une fonctionnalité payante. Les contrôles de politique personnalisés utilisent le raisonnement automatisé (une assurance de sécurité démontrable étayée par des preuves mathématiques), de sorte que les équipes de sécurité peuvent détecter de manière proactive les mises à jour non conformes des politiques. Les contrôles de politique personnalisés vous sont facturés en fonction du nombre de contrôles que vous effectuez en appelant les API d’analyseur d’accès IAM.

La génération de polices de l’analyseur d’accès IAM crée des stratégies précises basées sur l’activité d’accès capturée dans vos journaux. Cela est disponible sans frais supplémentaires.