Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra. # `AWSSupport-TroubleshootIAMAccessDeniedEvents` **Description** **Le** manuel AWSSupport-TroubleshootIAMAccessDeniedEvents d'automatisation permet de résoudre les problèmes de refus d'accès Gestion des identités et des accès AWS (IAM). Le runbook interroge CloudTrail les récents événements de refus d'accès liés à l'entité IAM et à la source d'événement de AWS service spécifiées. Il analyse les événements dans un intervalle de temps configurable allant jusqu'à 24 heures et traite jusqu'à 10 événements par exécution. Chaque événement de refus d'accès identifié est examiné pour aider à comprendre le contexte du refus et des actions tentées. L'automatisation analyse à la fois les politiques IAM basées sur l'identité et les ressources. Pour les politiques basées sur l'identité, il examine les politiques intégrées et gérées associées à l'entité IAM. Pour les politiques basées sur les ressources, il évalue les politiques de plusieurs services, AWS notamment Amazon Simple Storage Service (Amazon S3), AWS Key Management Service (AWS KMS), AWS Lambda Amazon Simple Notification Service (Amazon SNS), Amazon Elastic Container Registry (Amazon ECR), Amazon API Gateway, Amazon Elastic CodeArtifact File System (Amazon EFS), Amazon Simple Queue Service (Amazon Simple Queue Service), Amazon Service, Signer, et AWS Cloud9. OpenSearch AWS AWS Serverless Application Repository AWS Secrets Manager Le runbook utilise les fonctionnalités de simulation des politiques IAM pour évaluer ces politiques par rapport aux actions refusées détectées lors des événements. CloudTrail Le runbook tire parti des capacités de simulation des politiques d'IAM à la fois [SimulatePrincipalPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulatePrincipalPolicy.html)pour les utilisateurs IAM et [SimulateCustomPolicy](https://docs.aws.amazon.com/IAM/latest/APIReference/API_SimulateCustomPolicy.html)pour les rôles IAM afin d'évaluer ces politiques par rapport aux actions refusées détectées lors des événements. CloudTrail L'automatisation produit un rapport qui permet d'identifier les actions spécifiques qui ont été refusées, de faire la différence entre les refus implicites et explicites, de répertorier les politiques responsables des refus d'accès et de fournir des explications pour chaque refus. Le rapport suggère également des solutions potentielles, telles que l'identification des déclarations d'autorisation manquantes ou des déclarations de refus contradictoires **Fonctionnement** Le runbook exécute les étapes suivantes : + Décrit et valide `RequesterARN` (rôle ou utilisateur) pour obtenir des informations telles que le type d'entité IAM et l'identifiant IAM. + Récupère les CloudTrail événements associés à `RequesterARN``EventSource`, et `ResourceARN` s'ils sont fournis. + Analyse les CloudTrail événements pour déterminer l'action exécutée lorsque l'erreur Accès refusé a été renvoyée, puis examine toutes les politiques IAM, telles que les politiques intégrées et gérées associées à l'entité IAM, ainsi que les politiques basées sur les ressources. Il simule ensuite ces politiques par rapport aux actions détectées dans les erreurs d'accès refusé issues des CloudTrail événements en question afin de déterminer la cause de l'erreur. + Produit un rapport qui détermine le type d'erreur d'accès refusé, les politiques responsables de ces erreurs et propose des solutions potentielles à l'erreur. [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-TroubleshootIAMAccessDeniedEvents) **Type de document**  Automatisation **Propriétaire** Amazon **Plateformes** / **Autorisations IAM requises** Le `AutomationAssumeRole` paramètre nécessite les actions suivantes pour utiliser correctement le runbook. + `apigateway:GetRestApis` + `cloudtrail:LookupEvents` + `cloud9:GetEnvironment` + `codeartifact:GetRepositoryPermissionsPolicy` + `ecr:GetRepositoryPolicy` + `elasticfilesystem:GetFileSystemPolicy` + `es:DescribeDomain` + `iam:GetPolicy` + `iam:GetPolicyVersion` + `iam:GetRole` + `iam:GetRolePolicy` + `iam:GetUser` + `iam:GetUserPolicy` + `iam:ListAttachedRolePolicies` + `iam:ListAttachedUserPolicies` + `iam:ListRolePolicies` + `iam:ListUserPolicies` + `iam:SimulatePrincipalPolicy` + `iam:SimulateCustomPolicy` + `kms:GetKeyPolicy` + `lambda:GetPolicy` + `secretsmanager:GetResourcePolicy` + `serverlessrepo:GetApplication` + `signer:GetSigningProfile` + `sns:GetTopicAttributes` + `ssm:StartAutomationExecution` + `ssm:StopAutomationExecution` + `sqs:GetQueueAttributes` + `s3:GetBucketPolicy` Exemple de politique : ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "iam:GetUser", "iam:GetRole", "iam:SimulatePrincipalPolicy", "iam:ListUserPolicies", "iam:ListRolePolicies", "iam:GetRolePolicy", "iam:ListAttachedRolePolicies", "iam:GetPolicy", "iam:GetUserPolicy", "iam:GetPolicyVersion", "iam:ListAttachedUserPolicies", "ssm:StartAutomationExecution", "ssm:StopAutomationExecution", "cloudtrail:LookupEvents", "iam:SimulateCustomPolicy" ], "Resource": "*", "Effect": "Allow" }, { "Action": [ "s3:GetBucketPolicy", "kms:GetKeyPolicy", "lambda:GetPolicy", "sns:GetTopicAttributes", "ecr:GetRepositoryPolicy", "apigateway:GET", "codeartifact:GetRepositoryPermissionsPolicy", "elasticfilesystem:DescribeFileSystemPolicy", "sqs:GetQueueAttributes", "cloud9:DescribeEnvironmentStatus", "es:DescribeDomain", "signer:GetSigningProfile", "serverlessrepo:GetApplication", "secretsmanager:GetResourcePolicy" ], "Resource": "*", "Effect": "Allow" } ] } ``` ------ **Instructions** Pour configurer l'automatisation, procédez comme suit : 1. Accédez [https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootIAMAccessDeniedEvents/description](https://console.aws.amazon.com/systems-manager/documents/AWSSupport-TroubleshootIAMAccessDeniedEvents/description)à Systems Manager sous Documents. 1. Sélectionnez **Execute automation** (Exécuter l'automatisation). 1. Pour les paramètres d'entrée, entrez ce qui suit : + **AutomationAssumeRole (Facultatif) :** + Description : (Facultatif) Le nom de ressource Amazon (ARN) du rôle Gestion des identités et des accès AWS (IAM) qui permet à SSM Automation d'effectuer les actions en votre nom. Le rôle doit être ajouté à votre entrée d'accès au cluster Amazon EKS ou à votre autorisation RBAC pour autoriser les appels d'API Kubernetes. + Type : `AWS::IAM::Role::Arn` + **RequesterArn (obligatoire) :** + Description : (Obligatoire) L'ARN de l'utilisateur ou du rôle IAM pour lequel vous souhaitez étudier les autorisations d'accès sur une AWS ressource spécifique. + Type : `String` + Autoriser le modèle : `^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):iam::[0-9]{12}:(role|user)\\/[\\w+\\/=,.@-]+$` + **ResourceArn (facultatif) :** + Description : (Facultatif) L'ARN de AWS la ressource pour laquelle l'accès a été refusé est évalué. La ressource AWS cible doit se trouver dans la même région que celle où le runbook d'automatisation est exécuté. + Type : `String` + Autoriser le modèle : `^$|^arn:(aws|aws-cn|aws-us-gov|aws-iso(-[a-z])?):([a-zA-Z0-9\\-]{1,63}):([a-z0-9\\-]{0,63})?:(\\d{12})?:([a-zA-Z0-9\\-_/:.]{1,1024})$` + **EventSource (Obligatoire) :** + Description : (Obligatoire) Le point de terminaison de l'API Amazon d'où provient l' CloudTrailévénement. Par exemple : `s3.amazonaws.com`. + Type : `String` + Autoriser le modèle : `^([a-zA-Z0-9.-]+)\\.amazonaws\\.com$` + **EventName (Facultatif) :** + Description : (Facultatif) Le nom de l'action de l'API Amazon associée à l' CloudTrail événement. Par exemple : `s3:CreateBucket`. + Type : `String` + Autoriser le modèle : `^$|^[a-z0-9]+:[A-Za-z0-9]+$` + **LookBackHours (Facultatif) :** + Description : (Facultatif) Le nombre d'heures nécessaires pour consulter les CloudTrail événements lors de la recherche d'`Access Denied`événements. Plage valide : `1` jusqu'à 8 `24` heures. + Type : Integer + Autoriser le modèle : `^([1-9]|1[0-9]|2[0-4])$` + Par défaut : 12 + **MaxEvents (Facultatif) :** + Description : (Facultatif) Le nombre maximum d' CloudTrail `Access Denied`événements renvoyés lors de la recherche d'événements. Plage valide : `1` jusqu'aux `5` événements. + Type : Integer + Autoriser le modèle : `^([1-9]|1[0-9]|2[0-4])$` + Valeur par défaut : 3 + **UseContextEntries (Facultatif) :** + Description : (Facultatif) Si vous le spécifiez`true`, l'automatisation extrait de l' CloudTrail événement les détails relatifs au contexte de la demande d'API et les inclut pour la simulation de politique IAM. + Type : Boolean + Autoriser le modèle : `^([1-9]|1[0-9]|2[0-4])$` + Valeur par défaut : 3 1. Sélectionnez **Exécuter**. 1. L'automatisation démarre. 1. Le document exécute les étapes suivantes : + **ValidateRequesterArn** Valide et déconstruit l'`RequesterArn`ARN, en récupérant des informations sur l'utilisateur ou le rôle IAM cible. + **GetCloudTrailEvents****WithAccessDeniedError** Interroge les CloudTrail événements pour connaître les `Access Denied` événements récents liés à l'entité et au AWS service `EventSource` IAM spécifiés. + **Évaluer IAMRequester les politiques** Évalue les autorisations IAM de l'entité IAM demandeuse par rapport aux actions résultant des événements. CloudTrail Cette évaluation inclut l'analyse des politiques basées sur l'identité et les ressources associées au demandeur. L'automatisation utilise les capacités de simulation des politiques d'IAM pour évaluer ces politiques dans le contexte des actions refusées identifiées lors des CloudTrail événements. 1. Une fois terminé, consultez la section **Sorties** pour obtenir les résultats détaillés de l'exécution : + **PermissionEvaluationResults** Produit un rapport qui aide à identifier les actions spécifiques qui ont été refusées, en distinguant les refus implicites des refus explicites. Il répertorie également les politiques responsables des refus d'accès et fournit des explications pour chaque refus. Le rapport suggère également des solutions potentielles, telles que l'identification des déclarations d'autorisation manquantes ou des déclarations de refus contradictoires **Références** Systems Manager Automation + [Exécuter cette automatisation (console)](https://console.aws.amazon.com/systems-manager/documents/TroubleshootIAMAccessDeniedEvents/description) + [Exécuter une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-working-executing.html) + [Configuration d'une automatisation](https://docs.aws.amazon.com//systems-manager/latest/userguide/automation-setup.html) + [Page d'accueil de Support Automation Workflows](https://aws.amazon.com/premiumsupport/technology/saw/)