Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
# Visualisez les rapports d'identification IAM pour tous les comptes AWS à l'aide d'Amazon Quick Sight
*Parag Nagwekar et Arun Chanapillai, Amazon Web Services*
## Résumé
|
|
| Avertissement : les utilisateurs IAM disposent d'informations d'identification à long terme, ce qui présente un risque de sécurité. Pour atténuer ce risque, nous vous recommandons de ne fournir à ces utilisateurs que les autorisations dont ils ont besoin pour effectuer la tâche et de supprimer ces autorisations lorsqu’elles ne sont plus nécessaires. |
| --- |
Vous pouvez utiliser les rapports d'identification d'AWS Identity and Access Management (IAM) pour vous aider à répondre aux exigences de sécurité, d'audit et de conformité de votre organisation. [Les rapports d'identification](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_getting-report.html) fournissent une liste de tous les utilisateurs de vos comptes AWS et indiquent l'état de leurs informations d'identification, telles que les mots de passe, les clés d'accès et les dispositifs d'authentification multifactorielle (MFA). Vous pouvez utiliser les rapports d'identification pour plusieurs comptes AWS gérés par [AWS Organizations](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/core-concepts.html).
Ce modèle inclut des étapes et du code pour vous aider à créer et à partager des rapports d'identification IAM pour tous les comptes AWS de votre organisation à l'aide des tableaux de bord Amazon Quick Sight. Vous pouvez partager les tableaux de bord avec les parties prenantes de votre organisation. Les rapports peuvent aider votre organisation à atteindre les résultats commerciaux ciblés suivants :
+ Identifier les incidents de sécurité liés aux utilisateurs IAM
+ Suivez la migration en temps réel des utilisateurs IAM vers l'authentification unique (SSO)
+ Suivez les régions AWS auxquelles les utilisateurs IAM ont accédé
+ Restez en conformité
+ Partage d'informations avec d'autres parties prenantes
## Conditions préalables et limitations
**Conditions préalables**
+ Un compte AWS actif
+ Une [organisation](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_tutorials_basic.html) avec des comptes membres
+ Un [rôle IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_use.html) avec des autorisations d'accès aux comptes dans Organizations
+ [Interface de ligne de commande AWS (AWS CLI) version 2[, installée et](https://docs.aws.amazon.com/cli/latest/userguide/getting-started-install.html#getting-started-install-instructions) configurée](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html)
+ Un [abonnement](https://docs.aws.amazon.com/quicksight/latest/user/signing-up.html) à l'[édition Amazon Quick Enterprise](https://docs.aws.amazon.com/quicksight/latest/user/editions.html)
## Architecture
**Pile technologique**
+ Amazon Athena
+ Amazon EventBridge
+ Amazon Quick Sight
+ Amazon Simple Storage Service (Amazon S3)
+ AWS Glue
+ AWS Identity and Access Management (IAM)
+ AWS Lambda
+ AWS Organizations
**Architecture cible**
Le schéma suivant montre une architecture permettant de configurer un flux de travail qui capture les données des rapports d'identification IAM provenant de plusieurs comptes AWS.
![\[La capture d'écran suivante illustre le schéma d'architecture\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/images/pattern-img/8724ff28-40f6-4c43-9c65-fbd18bbbfd0f/images/e780916a-4ab7-4fdc-8ecc-c837c7d90d13.png)
1. EventBridge invoque une fonction Lambda tous les jours.
1. La fonction Lambda assume un rôle IAM dans chaque compte AWS de l'organisation. La fonction crée ensuite le rapport d'informations d'identification IAM et stocke les données du rapport dans un compartiment S3 centralisé. Vous devez activer le chiffrement et désactiver l'accès public sur le compartiment S3.
1. Un robot d'exploration AWS Glue explore le compartiment S3 quotidiennement et met à jour la table Athena en conséquence.
1. Quick Sight importe et analyse les données du rapport d'identification et crée un tableau de bord qui peut être visualisé et partagé avec les parties prenantes.
## Outils
**Services AWS**
+ [Amazon Athena](https://docs.aws.amazon.com/athena/latest/ug/what-is.html) est un service de requête interactif qui facilite l'analyse des données dans Amazon S3 à l'aide du langage SQL standard.
+ [Amazon EventBridge](https://docs.aws.amazon.com/eventbridge/latest/userguide/eb-what-is.html) est un service de bus d'événements sans serveur qui vous permet de connecter vos applications à des données en temps réel provenant de diverses sources. Par exemple, les fonctions Lambda, les points de terminaison d'appel HTTP utilisant des destinations d'API ou les bus d'événements dans d'autres comptes AWS.
+ [Amazon Quick Sight](https://docs.aws.amazon.com/quicksight/latest/user/welcome.html) est un service de business intelligence (BI) à l'échelle du cloud qui vous permet de visualiser, d'analyser et de rapporter vos données dans un tableau de bord unique. Quick Sight est un composant essentiel d'Amazon Quick. Il fournit une visualisation interactive des données, des analyses SPICE en mémoire, des analyses intégrées et le partage de tableaux de bord.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html) vous aide à gérer en toute sécurité l'accès à vos ressources AWS en contrôlant qui est authentifié et autorisé à les utiliser.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html) est un service de calcul qui vous permet d'exécuter du code sans avoir à approvisionner ou à gérer des serveurs. Il exécute votre code uniquement lorsque cela est nécessaire et évolue automatiquement, de sorte que vous ne payez que pour le temps de calcul que vous utilisez.
**Code**
Le code de ce modèle est disponible dans le GitHub [getiamcredsreport-allaccounts-org](https://github.com/aws-samples/getiamcredsreport-allaccounts-org)référentiel. Vous pouvez utiliser le code de ce référentiel pour créer des rapports d'identification IAM sur les comptes AWS dans Organizations et les stocker dans un emplacement central.
## Épopées
### Configuration de l'infrastructure
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Configurez l'édition Amazon Quick Enterprise. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/visualize-iam-credential-reports-for-all-aws-accounts-using-amazon-quicksight.html) | Administrateur AWS, AWS DevOps, administrateur du cloud, architecte du cloud |
| Intégrez Amazon Quick Sight à Amazon S3 et Athena. | Vous devez [autoriser](https://docs.aws.amazon.com/quicksight/latest/user/troubleshoot-connect-to-datasources.html) Quick Sight à utiliser Amazon S3 et Athena avant de déployer la pile AWS CloudFormation . | Administrateur AWS, AWS DevOps, administrateur du cloud, architecte du cloud |
### Déployer l'infrastructure
| Sous-tâche | Description | Compétences requises |
| --- | --- | --- |
| Clonez le GitHub dépôt. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/visualize-iam-credential-reports-for-all-aws-accounts-using-amazon-quicksight.html) | Administrateur AWS |
| Déployez l'infrastructure. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/visualize-iam-credential-reports-for-all-aws-accounts-using-amazon-quicksight.html) | Administrateur AWS |
| Créez une politique d'autorisation IAM. | [Créez une politique IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) pour chaque compte AWS de votre organisation avec les autorisations suivantes :{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:GenerateCredentialReport",
"iam:GetCredentialReport"
],
"Resource": "*"
}
]
} | AWS DevOps, administrateur de cloud, architecte de cloud, ingénieur de données |
| Créez un rôle IAM avec une politique de confiance. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/visualize-iam-credential-reports-for-all-aws-accounts-using-amazon-quicksight.html){
"Version": "2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Principal":{
"AWS":[
"arn:aws:iam:::role/"
]
},
"Action":"sts:AssumeRole"
}
]
}`arn:aws:iam:::role/`Remplacez-le par l'ARN du rôle Lambda que vous avez noté précédemment.Organisations utilisent généralement l'automatisation pour créer des rôles IAM pour leurs comptes AWS. Nous vous recommandons d'utiliser cette automatisation, si elle est disponible. Vous pouvez également utiliser le `CreateRoleforOrg.py` script depuis**** le référentiel de code. Le script nécessite un rôle administratif existant ou tout autre rôle IAM autorisé à créer une politique et un rôle IAM dans chaque compte AWS. | Administrateur cloud, architecte cloud, administrateur AWS |
| Configurez Amazon Quick Sight pour visualiser les données. | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/fr_fr/prescriptive-guidance/latest/patterns/visualize-iam-credential-reports-for-all-aws-accounts-using-amazon-quicksight.html) | AWS DevOps, administrateur de cloud, architecte de cloud, ingénieur de données |
## Informations supplémentaires
**Considérations supplémentaires**
Éléments à prendre en compte :
+ Après CloudFormation avoir déployé l'infrastructure, vous pouvez attendre que les rapports soient créés dans Amazon S3 et analysés par Athena jusqu'à ce que Lambda et AWS Glue soient exécutés conformément à leurs plannings. Vous pouvez également exécuter Lambda manuellement pour obtenir les rapports dans Amazon S3, puis exécuter le robot d'exploration AWS Glue pour obtenir la table Athena créée à partir des données.
+ Quick est un puissant outil d'analyse et de visualisation des données en fonction des besoins de votre entreprise. Vous pouvez utiliser des [paramètres](https://docs.aws.amazon.com/quicksight/latest/user/parameters-in-quicksight.html) dans Quick pour contrôler les données du widget en fonction des champs de données que vous choisissez. Vous pouvez également utiliser une analyse rapide pour créer des paramètres (par exemple, des champs Compte, Date et Utilisateur tels que `partition_0``partition_1`, et `user` respectivement) à partir de votre ensemble de données afin d'ajouter des contrôles pour les paramètres Compte, Date et Utilisateur.
+ Pour créer vos propres tableaux de bord Quick Sight, consultez [Quick Workshops sur](https://catalog.workshops.aws/quicksight/en-US) le site Web d'AWS Workshop Studio.
+ Pour voir des exemples de tableaux de bord Quick Sight, consultez le référentiel de GitHub [getiamcredsreport-allaccounts-org](https://github.com/aws-samples/getiamcredsreport-allaccounts-org)code.
**Résultats commerciaux ciblés**
Vous pouvez utiliser ce modèle pour obtenir les résultats commerciaux ciblés suivants :
+ **Identifiez les incidents de sécurité liés aux utilisateurs IAM** : examinez chaque utilisateur de chaque compte AWS de votre organisation à l'aide d'un seul écran. Vous pouvez suivre la tendance des dernières régions AWS consultées par un utilisateur IAM et des services qu'il a utilisés.
+ **Suivez la migration en temps réel des utilisateurs IAM vers l'authentification SSO** : grâce à l'authentification unique, les utilisateurs peuvent se connecter une seule fois avec un seul identifiant et accéder à plusieurs comptes et applications AWS. Si vous envisagez de migrer vos utilisateurs IAM vers le SSO, ce modèle peut vous aider à passer au SSO et à suivre l'utilisation de toutes les informations d'identification des utilisateurs IAM (telles que l'accès à la console de gestion AWS ou l'utilisation des clés d'accès) sur tous les comptes AWS.
+ **Suivez les régions AWS auxquelles les utilisateurs IAM accèdent** : vous pouvez contrôler l'accès des utilisateurs IAM aux régions à diverses fins, telles que la souveraineté des données et le contrôle des coûts. Vous pouvez également suivre l'utilisation des régions par n'importe quel utilisateur IAM.
+ **Restez en conformité** : en suivant le principe du moindre privilège, vous ne pouvez accorder que les autorisations IAM spécifiques requises pour effectuer une tâche spécifique. Vous pouvez également suivre l'accès aux services AWS, à l'AWS Management Console et l'utilisation des informations d'identification à long terme.
+ **Partagez des informations avec d'autres parties prenantes** : vous pouvez partager des tableaux de bord personnalisés avec d'autres parties prenantes, sans leur accorder l'accès aux rapports d'identification IAM ou aux comptes AWS.