J’ai essayé d’utiliser AWS Identity and Access Management Access Analyzer pour générer une politique basée sur les événements AWS CloudTrail, mais des erreurs des erreurs s’affichent.
Brève description
J’ai suivi les instructions pour utiliser IAM Access Analyzer afin de générer une politique basée sur l’activité de CloudTrail, mais des erreurs similaires à celles-ci s’affichent :
« An error occurred Invalid accessRole: Incorrect permissions assigned to access CloudTrail S3 bucket »
« The role is not authorized to perform: kms:Decrypt on the resource »
Résolution
Vérifiez les politiques associées au rôle de service IAM Access Analyzer
Vérifiez que le rôle de service pour IAM Access Analyzer dispose des autorisations requises pour générer une politique. Vous devez créer ou modifier un rôle de service pour permettre à IAM Access Analyzer d’accéder à CloudTrail. Vous devez également autoriser IAM Access Analyzer à accéder aux dernières informations du service AWS consultées sur votre compte AWS. Assurez-vous que le service AWS fonctionne avec IAM.
Remarque : il est recommandé de demander à un administrateur de créer le rôle de service pour la configuration initiale. Pour plus d’informations, consultez la section Créer un rôle pour déléguer des autorisations à un service AWS.
Vérifiez la politique de compartiment Amazon S3 dans laquelle les journaux CloudTrail sont stockés
Passez en revue la politique en matière de bucket dans laquelle les journaux CloudTrail sont stockés. Assurez-vous que les déclarations de politique ne refusent pas l’accès au rôle de service IAM Access Analyzer. Si les journaux CloudTrail sont stockés dans un autre compte, assurez-vous que la politique accorde un accès explicite au rôle de service Access Analyzer.
Supposons, par exemple, qu’un compartiment Amazon Simple Storage Service (Amazon S3) soit stocké sur un autre compte pour vos organisations AWS. La politique de compartiment pour le compartiment Amazon S3 doit autoriser l’accès aux actions d’API GetObject et ListBuckets au rôle de service IAM Access Analyzer.
Vérifiez la politique de clé AWS KMS que vous utilisez pour chiffrer les journaux CloudTrail
Si vous utilisez AWS Key Management Service (AWS KMS) pour chiffrer vos journaux CloudTrail, mettez à jour votre politique relative aux clés AWS KMS. Vérifiez la politique relative aux clés AWS KMS dans le compte sur lequel vous stockez les journaux CloudTrail. Assurez-vous que la politique de clé AWS KMS autorise l’accès à IAM Access Analyzer. Assurez-vous que la politique de clé AWS KMS ne contient pas de refus explicite pour le rôle de service IAM Access Analyzer.
Informations connexes
Génération de politiques IAM Access Analyzer
Utilisation d’AWS Identity and Access Management Access Analyzer
Comment utiliser AWS IAM Access Analyzer pour surveiller mes ressources AWS dans mes comptes d’organisation AWS ?